風險分析快速入門指南

瞭解如何使用風險分析資訊主頁找出異常行為，以及瞭解實體對企業造成的潛在風險。在採用角色型存取權控管 (RBAC) 的系統中，只有具備全域範圍的使用者可以存取風險分析。詳情請參閱「使用者角色」。

風險分析資訊主頁包含下列區段：

• 行為分析：根據 Google Security Operations 實體風險分數列出實體。
• 監控清單： 根據企業內部風險計算結果列出實體。

右上方的「風險計算期間」 會變更風險分析資訊主頁中顯示的計算風險分數。您可以根據要搜尋的攻擊類型變更這項設定。舉例來說，將「風險計算時間範圍」設為「24 小時」，可更清楚地掌握暴力攻擊。如要查看長期攻擊，請將「風險計算時間範圍」設為「7 天」。

如要查看歷史風險分數，請在「風險計算期間」旁的日期選取器中選取特定日期和時間。這會顯示在所選日期和時間結束的 24 小時或 7 天期間內，計算出的實體風險。

事前準備

如要前往風險分析資訊主頁，請按照下列步驟操作：

1. 點按導覽列中的「偵測」。
2. 在「偵測」中，按一下「風險分析」。

行為分析

行為分析包含：

「行為分析」頁面包含：

• 「摘要指標」部分：風險分析資訊主頁的頂層檢視畫面，可讓您根據 Google SecOps 實體風險模型調查風險實體。最多可追蹤 10,000 個實體。
• 實體：這個表格可做為現有風險分數的補充資訊，用於追蹤實體的風險變化、做為偵測用例的指標，以及做為調查背景資訊。實體風險指標又稱為實體風險指標，是環境中元素的脈絡表示法。實體範例包括使用者帳戶、伺服器、筆電或手機。按一下實體名稱，即可逐一查看各個實體。系統會將您帶往「實體分析」頁面。

如要進一步瞭解實體，請參閱「邏輯物件：事件和實體」。如要進一步瞭解風險分數的計算方式，請參閱「風險分數計算方式」。

實體分析

「實體數據分析」頁面包含右上角的「事件範圍」視窗、「發現時間軸」部分，以及詳細的「發現」表格。

選取要分析風險的時間範圍

1. 在「事件範圍」視窗中，選取最多 90 天的時間範圍 (例如「過去 3 個月」)。
2. 如要查看「精選」的數據分析，請按一下「查看精選的數據分析」。系統會開啟側欄，顯示所選時間範圍內與這個實體相關的數據分析。每項數據分析都會顯示時間範圍內所有數據分析值的匯總。
3. 按一下「查看更多」，開啟對應的「快訊」或「偵測」檢視畫面。系統偵測到異常狀況時，分析結果會列出相關快訊和偵測結果，供您進一步檢查。

詳情請參閱「調查快訊」。

應用實例

以下列出風險分析資訊主頁的幾項應用實例。

用途 1：下載量高

大量下載資料可能會導致機密資訊外洩。 Google SecOps 會針對下載量高的實體計算高風險分數。

應用情境 2：登入失敗次數異常

如果登入失敗次數異常，表示駭客或惡意軟體正嘗試存取使用者帳戶。Google SecOps 會針對登入嘗試失敗次數異常的實體，計算高風險分數。不過，如果是在內部進行這項作業，做為滲透測試的一環，您可以修改實體風險評分。

用途 3：冒充 Google 的對話訊息

如果對話方塊冒用 Google 名義，要求更新 Chrome 瀏覽器，就是試圖存取使用者帳戶。如果程式碼中偵測到這些對話方塊訊息，Google SecOps 就會計算實體的高風險分數。

後續步驟

• 修改實體風險分數
• 調查資產

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。