此页面由 Cloud Translation API 翻译。

风险分析快速入门指南

支持的语言：

Google SecOps SIEM

了解如何使用风险分析信息中心来识别异常行为，并了解实体对企业构成的潜在风险。在采用基于角色的访问权限控制 (RBAC) 的系统中，只有具有全局范围的用户才能访问风险分析。如需了解详情，请参阅用户角色。

“风险分析”信息中心包含以下部分：

右上角的风险计算窗口期会更改风险分析信息中心内显示的计算风险得分。您可以根据要搜索的攻击类型更改此设置。例如，通过将风险计算窗口设置为 24 小时，可以更清楚地发现暴力攻击。如需查看长期攻击，请将风险计算窗口设置为 7 天。

您可以在风险计算窗口期旁边的日期选择器中选择特定日期和时间，以查看历史风险得分。此图表显示了在所选日期和时间结束的 24 小时或 7 天窗口期内计算出的实体风险。

准备工作

如需前往“风险分析”信息中心，请按以下步骤操作：

行为分析包括：

行为分析页面包含以下内容：

摘要指标部分：风险分析信息中心的高级视图，可让您根据 Google SecOps 实体风险建模来调查风险实体。您最多可以跟踪 1 万个实体。
实体：一个表格，用于补充现有的风险得分，以便跟踪实体随时间变化的风险、作为检测用例的指标以及作为调查背景信息。实体风险指标也称为实体风险指标，实体是环境中元素的上下文表示形式。实体的示例包括用户账号、服务器、笔记本电脑或手机。您可以点击实体名称，深入了解每个实体。系统会将您转到实体分析页面。

如需详细了解实体，请参阅逻辑对象：事件和实体。如需详细了解风险得分的计算方式，请参阅风险得分计算。

实体分析页面包含右上角的事件范围窗口、发现时间轴部分和详细的发现表格。

在活动范围窗口中，选择最长为 90 天的时间范围（“过去 3 个月”）。
对于所选实体，点击查看所选实体的分析数据。这会打开一个边栏，其中显示所选时间范围内与相应实体相关联的分析数据。每项分析都会显示相应时间范围内所有分析值的汇总。
点击查看更多，打开相应的“提醒”或“检测”视图。检测到分析时，分析会包含相关提醒和检测的列表，您可以进一步检查这些提醒和检测。

如需了解详情，请参阅调查提醒。

以下是风险分析信息中心的一些使用场景。

大量下载数据可能会导致机密信息泄露。 Google SecOps 会为下载量高的实体计算出较高的风险得分。

如果登录尝试失败次数异常多，则表明黑客或恶意软件正在尝试获取用户账号的访问权限。Google SecOps 将为登录尝试失败次数可疑的实体计算高风险得分。不过，如果这是在内部作为渗透测试的一部分完成的，您可以修改实体的风险得分。

冒充 Google 的对话框消息要求更新 Chrome 浏览器，试图获取用户账号的访问权限。Google SecOps 会针对在代码中检测到这些对话框消息的实体计算高风险得分。