此页面由 Cloud Translation API 翻译。

风险分析快速入门指南

支持的语言：

Google SecOps SIEM

了解如何使用风险分析信息中心来识别异常行为，并了解实体对企业构成的潜在风险。在采用基于角色的访问权限控制 (RBAC) 的系统中，只有具有全局范围的用户才能访问风险分析。如需了解详情，请参阅用户角色。

“风险分析”信息中心包含以下部分：

右上角的风险计算窗口期会更改风险分析信息中心内显示的计算风险得分。您可以根据要搜索的攻击类型更改此设置。例如，将风险计算窗口设置为 24 小时，可以更清楚地发现暴力攻击。如需查看长期攻击，请将风险计算窗口设置为 7 天。

您可以在风险计算窗口期旁边的日期选择器中选择特定日期和时间，以查看历史风险得分。此图表显示了在所选日期和时间结束的 24 小时或 7 天窗口期内计算出的实体风险。

准备工作

如需前往“风险分析”信息中心，请按以下步骤操作：

行为分析包括：

行为分析页面包含以下内容：

摘要指标部分：风险分析信息中心的高级视图，可让您根据 Google SecOps 实体风险建模来调查风险实体。您最多可以跟踪 10,000 个实体。
实体：一个表格，用于补充现有的风险得分，以便跟踪实体的风险随时间的变化情况，作为检测使用情形的指标，以及作为调查背景信息。实体风险指标也称为实体风险指标，实体是环境中元素的上下文表示形式。实体的示例包括用户账号、服务器、笔记本电脑或手机。您可以点击实体名称，深入了解每个实体。系统会将您转到实体分析页面。

如需详细了解实体，请参阅逻辑对象：事件和实体。如需详细了解风险得分的计算方式，请参阅风险得分计算。

实体分析页面包含右上角的事件范围窗口、发现时间轴部分和详细的发现表格。

在活动范围窗口中，选择最长为 90 天的时间范围（“过去 3 个月”）。
对于所选实体，点击查看对所选实体的分析。这会打开一个边栏，其中显示所选时间范围内与相应实体相关联的分析数据。每项分析都会显示相应时间范围内所有分析值的汇总。
点击查看更多，打开相应的“提醒”或“检测”视图。检测到分析结果后，系统会显示相关提醒和检测结果的列表，供您进一步检查。

检测结果表格会显示实体在所选时间范围内发生的所有检测结果。如果出现以下情况，提醒就是复合检测：

这表示是检测或一系列检测触发了提醒，而不是原始事件或实体本身。

您可以使用以下功能在检测表中查看和分析这些底层检测结果：

如需了解详情，请参阅调查提醒。

以下是风险分析信息中心的一些使用场景。

大量下载数据可能会导致机密信息泄露。 Google SecOps 会为下载量高的实体计算出较高的风险分数。

如果登录尝试失败次数异常多，则表明黑客或恶意软件正在尝试获取用户账号的访问权限。Google SecOps 会针对登录尝试失败次数可疑的实体计算高风险得分。不过，如果这是在内部作为渗透测试的一部分完成的，您可以修改实体的风险得分。

冒充 Google 的对话框消息要求更新 Chrome 浏览器，试图获取用户账号的访问权限。Google SecOps 会针对在代码中检测到这些对话框消息的实体计算高风险得分。