Guida rapida di Risk Analytics

Scopri come utilizzare la dashboard di analisi del rischio per identificare comportamenti insoliti e comprendere il potenziale rischio che le entità rappresentano per la tua azienda. Nei sistemi che utilizzano controllo dell'accesso basato sui ruoli (RBAC), solo gli utenti con ambito globale possono accedere all'analisi del rischio. Per saperne di più, vedi Ruoli utente.

La dashboard Risk Analytics è composta dalle seguenti sezioni:

• Analisi comportamentale: elenca le entità in base ai punteggi di rischio delle entità di Google Security Operations.
• Watchlist: elenca le entità in base ai calcoli interni del rischio aziendale.

Una finestra di calcolo del rischio in alto a destra modifica il punteggio di rischio calcolato visualizzato nella dashboard di analisi del rischio. Puoi modificare questa impostazione a seconda del tipo di attacco che stai cercando. Ad esempio, gli attacchi di forza bruta sono più visibili se imposti la Finestra di calcolo del rischio su 24 ore. Per visualizzare l'attacco a lungo termine, imposta la finestra di calcolo del rischio su 7 giorni.

Puoi visualizzare i punteggi di rischio storici selezionando una data e un'ora specifiche nel selettore date accanto a Finestra di calcolo del rischio. Mostra i rischi dell'entità calcolati per il periodo di 24 ore o 7 giorni, che termina alla data e all'ora scelte.

Prima di iniziare

Per accedere alla dashboard Risk Analytics:

1. Nella barra di navigazione, fai clic su Rilevamento.
2. In Rilevamento, fai clic su Analisi del rischio.

Analisi comportamentale

L'analisi comportamentale è costituita da:

La pagina Analisi comportamentale è composta da:

• Sezione Metriche riepilogative: una visualizzazione di primo livello di una dashboard di analisi del rischio che ti consente di esaminare le entità di rischio in base alla modellazione del rischio delle entità di Google SecOps. Puoi monitorare fino a 10.000 entità.
• Entità: una tabella che integra il punteggio di rischio esistente utilizzato per monitorare il rischio di un'entità nel tempo, come metrica per i casi d'uso del rilevamento e come contesto investigativo. Chiamate anche metriche di rischio delle entità, un'entità è una rappresentazione contestuale degli elementi nel tuo ambiente. Esempi di entità sono account utente, server, laptop o smartphone. Puoi visualizzare in dettaglio ogni entità facendo clic sul nome dell'entità. Verrà visualizzata la pagina Analisi delle entità.

Per saperne di più sulle entità, consulta Oggetti logici: evento ed entità. Per ulteriori informazioni su come vengono calcolati i punteggi di rischio, consulta la sezione Calcolo del punteggio di rischio.

Analisi delle entità

La pagina Analisi delle entità è composta da una finestra Intervallo di eventi nell'angolo in alto a destra, una sezione Cronologia dei risultati e una tabella dettagliata Risultati.

Seleziona un intervallo di tempo per analizzare i rischi

1. Nella finestra Intervallo di eventi, seleziona un intervallo di tempo massimo di 90 giorni ("Ultimi 3 mesi").
2. Per Selezione, fai clic su Visualizza analisi per la selezione. Si apre una barra laterale che mostra le analisi associate a questa entità nell'intervallo di tempo selezionato. Ogni analisi mostra un aggregato di tutti i valori di analisi all'interno dell'intervallo di tempo.
3. Fai clic su Visualizza altro per aprire la visualizzazione corrispondente di Avvisi o Rilevamento. Quando viene rilevato, un'analisi include un elenco di avvisi e rilevamenti correlati che possono essere esaminati ulteriormente.

Per maggiori informazioni, vedi Esaminare un avviso.

Casi d'uso

Ecco alcuni casi d'uso per la dashboard Risk Analytics.

Caso d'uso 1: volume di download elevato

Un volume elevato di download di dati comporta il rischio di divulgazione di informazioni riservate. Google SecOps calcola i numeri del punteggio di rischio elevato per le entità con volumi di download elevati.

Caso d'uso 2: numero sospetto di tentativi di accesso non riusciti

Un numero sospetto di tentativi di accesso non riusciti indica che un hacker o un malware sta tentando di accedere a un account utente. Google SecOps calcolerà i numeri del punteggio di rischio elevato per le entità con un numero sospetto di tentativi di accesso non riusciti. Tuttavia, se questa operazione viene eseguita internamente, nell'ambito di un test di penetrazione, puoi modificare il punteggio di rischio dell'entità.

Caso d'uso 3: messaggio di dialogo che si spaccia per Google

Un messaggio di dialogo che si spaccia per Google e chiede di aggiornare il browser Chrome sta tentando di ottenere l'accesso agli account utente. Google SecOps calcola i numeri del punteggio di rischio elevato per le entità in cui questi messaggi di dialogo vengono rilevati nel codice.

Passaggi successivi

• Modificare il punteggio di rischio di un'entità
• Indagare su un asset

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.