מרכז הבקרה של ניתוח הסיכונים

נתמך ב:

לוח הבקרה Risk Analytics מאפשר לכם לראות את הסביבה שלכם דרך עדשה שמבוססת על סיכונים. הצגה חזותית של מגמות הסיכון של ישויות עוזרת לכם לזהות התנהגות חריגה ולהבין את הסיכון הפוטנציאלי שהישויות מהוות לארגון שלכם.

במרכז הבקרה Risk Analytics מפורטים ישויות בסיכון ופרטים על גורמי הסיכון. במערכות שמשתמשות ב-RBAC של נתונים, רק משתמשים עם היקף גלובלי יכולים לגשת לניתוח הסיכונים. מידע נוסף זמין במאמר בנושא ההשפעה של RBAC של נתונים על ניתוח הסיכונים.

כדי לפתוח את לוח הבקרה Risk Analytics:

  1. בסרגל הניווט, לוחצים על זיהוי.
  2. בקטע זיהוי, לוחצים על ניתוח סיכונים.

ספירת ישויות, דירוג סיכון וטבלת ישויות

על סמך המסננים שתבחרו, בלוח הבקרה Risk Analytics יוצגו רק 10,000 הישויות עם הסיכון הגבוה ביותר בארגון. כל הגרפים והטבלאות בלוח הבקרה מייצגים רק את קבוצת הישויות הזו.

בתרשים Total entity count (מספר הישויות הכולל) בפינה הימנית העליונה מוצג מספר הישויות שנמצאות במעקב בארגון שלכם עם סיכון שגדול מ-0. עדיין מתבצע מעקב אחרי ישויות עם ציון סיכון של 0, אבל הן לא יוצגו בתרשים הזה. המספר הכולל מחולק בין נכסים לבין משתמשים.

מידע נוסף על ישויות זמין במאמר אובייקטים לוגיים: אירוע וישות. מידע נוסף על אופן החישוב של ציוני הסיכון זמין במאמר חישוב ציון הסיכון.

בטבלה Entities, יש כמה עמודות שקשורות לדירוג הסיכון של הישות:

עמודה ערך
שם הישות שם הישות.
סוג ישות סוג הישות (נכס או משתמש).
מנורמל הציונים המנורמלים מחושבים על פני ישויות, והם מותאמים לטווח שבין 0 ל-1,000 באמצעות נורמליזציה של מינימום-מקסימום.
שינוי מנורמל השינוי בציון הסיכון של הישות המנורמל מאז חלון חישוב הסיכון הקודם.
מגמה מנורמלת עלייה או ירידה באחוז השינוי של ציון הסיכון הנורמלי בהשוואה לחלון הסיכון הקודם.
תוכנית בסיסית דירוג הסיכון של ישות הבסיס שווה לדירוג הסיכון המקסימלי של הממצאים בתוספת המשקל כפול סכום דירוגי הסיכון של שאר הממצאים.

משקל ברירת המחדל הוא 0 .2, ואפשר לשנות אותו בהגדרות.
שינוי במינוי הבסיסי השינוי בציון הסיכון של ישות הבסיס מאז חלון חישוב הסיכון הקודם.
מגמת הבסיס עלייה או ירידה באחוז השינוי של ציון הסיכון הבסיסי בהשוואה לחלון הסיכון הקודם.
מספר הממצאים מספר הממצאים (התראות וזיהויים) שכוללים את הישות הזו במהלך חלון חישוב הסיכון.
הוצגה לראשונה בחלון חותמת הזמן שבה הישות נראתה לראשונה בממצא (התראה או זיהוי) במהלך חלון חישוב הסיכון.
התחברת לאחרונה בחלון חותמת זמן של הפעם האחרונה שהישות נראתה בממצא (התראה או זיהוי) במהלך חלון חישוב הסיכון.

שינוי חלון חישוב הסיכון

רמת הסיכון המחושבת של ישות משתנה בהתאם לתקופת הזמן שנבדקת. שינוי ההגדרה חלון לחישוב סיכון בפינה השמאלית העליונה (אפשר לבחור באפשרות חלון של 24 שעות או חלון של 7 ימים) משנה את ציון הסיכון המחושב שמוצג כאן. יכול להיות שתרצו לשנות את ההגדרה הזו בהתאם לסוג המתקפה שאתם מחפשים. לדוגמה, קל יותר לזהות מתקפות brute force אם מגדירים את חלון חישוב הסיכון ל-24 שעות. מסגרות זמן ארוכות יותר מאפשרות לכם לזהות התקפות לטווח ארוך. ציוני הסיכון של הישויות משתנים בהתאם לחלון חישוב הסיכון שנבחר.

ציוני הסיכון של ישויות מחושבים מחדש כמה פעמים ביום עבור חלונות מבט לאחור של 24 שעות ו-7 ימים, על סמך הממצאים שנוצרו בתקופות המבט לאחור המתאימות. בלוח הבקרה של הסיכון מוצגים ציוני הסיכון שחושבו לאחרונה. אפשר גם לראות את ציוני הסיכון הקודמים על ידי בחירת תאריך ושעה ספציפיים בכלי לבחירת תאריכים לצד ההגדרה 'חלון לחישוב סיכון'. יוצגו הסיכונים של הישות שחושבו לחלון של 24 שעות או 7 ימים שמסתיים בתאריך ובשעה שנבחרו.

צמצום החיפוש באמצעות מסננים מהירים

מסננים מהירים מאפשרים לצמצם את החיפוש ולהציג רק תוצאות שרלוונטיות לצרכים הספציפיים שלכם.

כדי להשתמש במסננים מהירים בלוח הבקרה Risk Analytics:

  1. לוחצים על filter_alt מעל הטבלה ישויות. מופיע החלון Filters.
  2. בוחרים אחת מהעמודות:
    • מספר הממצאים
    • ציון סיכון נורמלי של ישות
    • מגמת הסיכון של ישות שעברה נורמליזציה
    • סוג
  3. בוחרים באפשרות הצגה רק של או סינון.
  4. בוחרים ערך (אפשר לבחור יותר מערך אחד כדי להרחיב את הטווח):
    • מספר הממצאים: ערכים מ-0 ועד יותר מ-1,000.
    • ציון סיכון של ישות בנורמליזציה: ערכים מ-0 עד 1,000.
    • מגמת הסיכון של הישות בנורמליזציה: אחוזים מ-‎-99% ומטה עד 199% ומעלה.
    • סוג: בוחרים באפשרות נכסים או משתמשים.
  5. (אופציונלי) כדי להוסיף עוד מסננים, לוחצים על הוספת מסנן וחוזרים על התהליך הזה משלב 2.
  6. כשמסיימים להגדיר את המסננים, לוחצים על אישור.

לדוגמה, אם בוחרים באפשרות מגמת הסיכון של ישות מנורמלת, בוחרים באפשרות הצגה רק של ומסמנים את התיבה >199%‎, יוצגו רק הישויות עם שינוי בסיכון של ישות מנורמלת שגדול מ-199%.

בדיקת ישות באמצעות דף הישות

כדי לחקור ישות, פועלים לפי השלבים הבאים:

  1. גוללים בעמודה שם הישות או משתמשים בסרגל החיפוש כדי למצוא ישות.
  2. לוחצים על הישות שרוצים לבדוק.

ייפתח דף הישות. בדף הזה אפשר לבדוק רק את הממצאים שקשורים לישות הזו. בתרשים ציר הזמן של הממצאים בחלק העליון מוצגים ציוני הסיכון של הישויות והממצאים לאורך זמן. התרשים הזה מורכב ממדדים שחושבו מראש ומוצגים בפורמט של תרשים קו, כדי להציג מגמות לאורך זמן. אפשר לראות את האנומליות כקפיצות בתרשים הקו. מתחת לתרשים מופיעה הטבלה Findings, שבה מוצגים האירועים והפעילויות שהישות שנבחרה קושרה אליהם.

בפינה השמאלית התחתונה יש חלונית שאפשר לכווץ הצגת פרטי הישות, והיא מכילה סיכום של פרטים חשובים על הישות שנבחרה. כדי לבצע בדיקה מפורטת של הישות שנבחרה, לוחצים על הצגת פרטי הישות כדי לראות את הישות בתצוגה נכס או בתצוגה משתמש, בהתאם לסוג הישות (נכס או משתמש). מידע נוסף זמין במאמרים בדיקת ישות מסוג נכס או בדיקת משתמש.

בדיקת ישות באמצעות ניתוח ישויות

ניתוח נתונים של ישויות מספק לצוותי SOC ולחוקרי איומים תצוגה מפורטת של התנהגות הישות, כולל פרופיל הבסיס של הישות, חריגות והעשרה הקשרית.

בדף הישות, בוחרים טווח זמן של עד 90 ימים בציר הזמן של הממצאים ולוחצים על הצגת ניתוח הנתונים של הבחירה. פעולה זו תפתח סרגל צד שבו יוצגו נתוני הניתוח שמשויכים לישות הזו בטווח הזמן שנבחר. כל ניתוח מציג את הערך המצטבר של כל הערכים של הניתוח בטווח הזמן. כשמזוהה ניתוח, הוא כולל רשימה של התראות וזיהויים קשורים שאפשר לבדוק לעומק בלחיצה על פרטים נוספים כדי לפתוח את התצוגה המתאימה של התראות או זיהוי. מידע נוסף מופיע במאמר חקירת התראה.

אלה ניתוחי הישויות שמוצגים:

  • מספר האירועים של התראה
  • ניסיונות אימות מוצלחים
  • ניסיונות האימות נכשלים
  • סה"כ ניסיונות אימות
  • DNS Bytes Outbound
  • שאילתות DNS נכשלות
  • הצלחה של שאילתות DNS
  • סה"כ שאילתות DNS
  • הפעלות קבצים מוצלחות
  • הפעלת קבצים נכשלת
  • סך כל ההפעלות של קבצים
  • הצלחה של שאילתות HTTP
  • שאילתות HTTP נכשלות
  • סה"כ שאילתות HTTP
  • נפח נתונים נכנסים ברשת
  • בייטים יוצאים מהרשת
  • נפח כולל (בייטים) ברשת
  • סה"כ ניסיונות אימות ב-Workspace
  • סך כל האימיילים שנשלחו ב-Workspace
  • Workspace Network Bytes Outbound
  • סה"כ בייטים ברשת Workspace
  • סך כל פעולות השינוי ב-Workspace
  • סך כל פעולות ההורדה ב-Workspace

שינוי דירוג הסיכון של ישות

כשמידע או אירועים חיצוניים משפיעים על הסיכון האמיתי של ישות, אפשר לעדכן את ציון הסיכון של הישות.

לדוגמה, אתם יכולים להקטין באופן זמני את ציון הסיכון של עובד שסיים תרגיל של צוות אדום (כמו בדיקת חדירה), כדי שהאנליסטים לא יבזבזו זמן על חקירה של הסיבה לעלייה בסיכון של העובד הזה. אפשר גם להגדיל באופן זמני את ציון הסיכון של עובד שמעורב בהליך משפטי.

  1. בטבלה Entities בדף Risk Analytics, מעבירים את מצביע העכבר מעל העמודה השמאלית ביותר בשורה. יכול להיות שתצטרכו לגלול שמאלה במסך. לוחצים על more_vert.

    ואז בוחרים באפשרות עדכון ציון הסיכון של הישות.

  2. בתיבת הדו-שיח Update entity risk score (עדכון ציון הסיכון של הישות), מגדירים את הערכים של האפשרויות הבאות:

    • פקטור הכפלה: מאפשר להגדיל או להקטין את ציון הסיכון של ישות באמצעות פקטור הכפלה של 0.0 עד 100.0. לדוגמה, אם גיליתם ראיות חדשות לגבי ישות מסוימת שמגדילות את הסיכון שלה פי שניים, תוכלו לעדכן את מקדם ההכפלה ל-50 כדי לשקף את גורם הסיכון האמיתי של הישות.
    • תקופת זמן: תקופת הזמן שבה מקדם ההכפלה חל. אפשר לבחור באפשרות עכשיו או בטווח של יום אחד עד 14 ימים. אם בוחרים באפשרות עכשיו, מקדם ההכפלה מוחל על ציון הסיכון של הישות בחלון הנוכחי של חישוב הסיכון. החישוב כולל רק התראות וזיהויים קיימים. כשתקופת הזמן שנבחרה מסתיימת, העדכונים של ציון הסיכון של הישות מפסיקים והציון חוזר למצב הרגיל.
    • סיבה: כאן אפשר להוסיף הקשר למשתמשים אחרים לגבי הסיבה לעדכון. אפשר לבחור מבין האפשרויות הבאות: ראיות חדשות, ציון סיכון שגוי, פרופיל סיכון שונה, דרישות תאימות או אחר.

אם תנסו לבצע שינוי שכבר בוצע (לדוגמה, תרצו לעדכן את מקדם ההכפלה של ישות ל-25%, אבל חבר צוות אחר כבר ביצע את השינוי הזה), יוצג לכם תיבת דו-שיח עם הודעה שהשינוי כבר בוצע, כולל מידע על מי ביצע את השינוי ומתי.

צפייה בעדכונים של ציון הסיכון בפרטי הישות

אפשר לראות את כל העדכונים של ניקוד הסיכון של ישות בדף פרופיל הישות.

  1. לוחצים על הישות שרוצים לראות את היסטוריית העדכונים של ציון הסיכון שלה כדי לפתוח את הדף פרופיל הישות.
  2. בתרשים ציר הזמן של האירועים, בכל פעם שמישהו שינה את ציון הסיכון של הישות, התווית שינוי ציון הסיכון מופיעה בטקסט לבן.
  3. מעבירים את מצביע העכבר מעל הטקסט כדי להציג תיבת דו-שיח עם התאריך, המשתמש והסיבה לשינוי.

רשימות המניות למעקב

בדף רשימות מעקב אפשר לעקוב אחרי ישויות ספציפיות בכל הארגון.

  1. בסרגל הניווט הימני, לוחצים על זיהוי.
  2. בקטע זיהוי, לוחצים על ניתוח סיכונים.
  3. לוחצים על הכרטיסייה רשימות צפייה.

הוספת רשימת צפייה

כדי להוסיף רשימת מעקב לחשבון Google Security Operations, צריך לבצע את השלבים הבאים. אפשר להגדיר עד 200 רשימות מעקב.

  1. לוחצים על יצירת רשימת מניות למעקב.
  2. מציינים שם לרשימת המניות למעקב.
  3. (אופציונלי) מציינים תיאור.
  4. (אופציונלי) מציינים מקדם הכפלה בין 0 ל-100. ברירת המחדל היא 1.
  5. (אופציונלי) מציינים ישויות בצד שמאל של החלון בקטע הוספת ישויות לרשימת מעקב. אפשר להוסיף כאן את סוגי הישויות הבאים:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. לוחצים על יצירת רשימת מניות למעקב.

הצמדת רשימת מניות למעקב

  1. לוחצים על עריכת התצוגה.
  2. לוחצים על תיבת הסימון לצד רשימת המעקב שרוצים להצמיד.
  3. לוחצים על Save.

ביטול הצמדה של רשימת אתרים למעקב

  1. במרכז הבקרה רשימות מניות למעקב, בוחרים את רשימת המניות למעקב שרוצים לבטל את ההצמדה שלה ולוחצים על more_vert .
  2. לוחצים על הסרה מהתצוגה.

עריכת מניות למעקב

  1. במרכז הבקרה רשימות צפייה, בוחרים את רשימת הצפייה שרוצים לערוך ולוחצים על סמל more_vert .
  2. לוחצים על עריכת רשימת המעקב.

מחיקת רשימת מניות למעקב

  1. במרכז הבקרה רשימות מניות למעקב, בוחרים את רשימת המניות למעקב שרוצים למחוק ולוחצים על more_vert .
  2. לוחצים על מחיקת רשימת המעקב.

הוספת ישויות לרשימת הצפייה

כדי להוסיף ישויות לרשימת המעקב, מציינים את שם הישות, הסוג ומרחב השמות (אופציונלי) שורה אחר שורה באחד מהפורמטים הבאים.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    הערך TYPE יכול להיות אחד מהבאים:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    אפשר לציין את NAMESPACE רק לסוגי ישויות של נכסים:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

לדוגמה:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

בדוגמה הזו מופיעות שתי ישויות שנוספו לרשימת המעקב: כתובת IP של נכס 205.148.5.0 ושם מארח website.com במרחב השמות chronicle. אפשר להוסיף לרשימת הצפייה עד 10,000 ישויות.

הסרת ישויות מרשימת צפייה

כדי להסיר ישויות מרשימת המעקב, מסירים את השורות שמייצגות את הישויות שרוצים להסיר ולוחצים על שמירה.

שינוי ההגדרות של ניקוד הסיכון

בדף Entity Risk Score (ציון סיכון של ישות) אפשר להגדיר איך מחושבים ציוני הסיכון של ישויות, התראות וזיהויים. בדף הזה אפשר להתאים את אופן חישוב הסיכון בהתאם לצרכים הייחודיים של החיפוש.

בדף Entity Risk Score (ציון הסיכון של הישות) יש שלושה שדות שאפשר לעדכן:

כדי לשנות את אחת מההגדרות האלה:

  1. בסרגל הניווט, בוחרים באפשרות הגדרות > ציוני סיכון של ישויות.
  2. מעדכנים את ציוני הסיכון בהתאם.
  3. לוחצים על Save. כשחוזרים לדף הראשי של Risk Analytics, מופיעה הודעה בחלק העליון של המסך שמאשרת שבוצע שינוי בציון הסיכון של הישות.
  4. (אופציונלי) כדי לאפס את אחד מהערכים האלה, לוחצים על איפוס משמאל לערך.

העדכונים יחולו רק על התראות וזיהויים חדשים. יכול להיות שיעברו עד 30 דקות עד שהשינויים ייכנסו לתוקף.

שקלול של ציון הסיכון של ישות

המשקל מגדיר את מידת ההשפעה של ציוני הסיכון של ההתראות והזיהוי על חישוב ציוני הסיכון של הישויות. המשקל הוא ערך מ-0 עד 1, וערך ברירת המחדל הוא 0.2.

ריכזנו כאן כמה דוגמאות לאופן שבו מספרים שונים משפיעים על החישוב של ציון הסיכון של הישות:

  • שקלול של דירוג הסיכון של הישות 0. דירוג הסיכון הגולמי הוא דירוג הסיכון המקסימלי לזיהוי מבין כל הזיהויים של הישות.
  • שקלול של ציון הסיכון של הישות 1. ציון הסיכון הגולמי הוא סכום כל ציון הסיכון של הזיהוי עבור הישות.
  • שקלול של דירוג הסיכון של ישות 0.5. דירוג הסיכון נותן משקל מלא לזיהוי עם דירוג הסיכון המקסימלי לישות, וחצי מהמשקל לכל שאר הזיהויים.

ציון הסיכון שמוגדר כברירת מחדל לגבי זיהויים

ציון סיכון ברירת מחדל לזיהויים מאפשר להקצות ערך ברירת מחדל לציוני סיכון של זיהויים. ציוני הסיכון של זיהוי משמשים לחישוב ציוני הסיכון של ישויות. ציוני הסיכון של זיהויים מוגדרים כשכותבים כלל. אם לא מוגדר ציון סיכון בכלל, המערכת תשתמש בערך ברירת המחדל. ניקוד ברירת המחדל הוא 15 וטווח ניקוד הסיכון הוא 0-100.

ציון הסיכון שמוגדר כברירת מחדל להתראות

בדומה לציון סיכון ברירת מחדל לגבי זיהויים, השדה הזה מאפשר להקצות ערך ברירת מחדל לציוני סיכון של התראות. אם לא מוגדר ציון סיכון בכלל, ברירת המחדל היא 40. טווח דירוג הסיכון הוא 0-1000.

מידע על הגדרת ציון הסיכון בכלל מופיע בקטע תחביר של קטע התוצאה.

מקדם התראה סגורה

המקדם של התראות סגורות משנה את ציון הסיכון של התראות שסומנו כסגורות על ידי אנליסטים. זהו משנה של נקודה צפה (floating-point) בין 0 ל-1 כולל. ברירת המחדל היא 1.0, כלומר כל ההתראות הפתוחות והסגורות שומרות על הניקוד המקורי שלהן. אם המקדם של ההתראות שנסגרו הוא 0.0, כל ההתראות שנסגרו מקבלות ציון סיכון של 0, והן לא יגדילו יותר את ציון הסיכון של הישות הכוללת.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.