Analizzare i rischi utilizzando la dashboard

La dashboard Analisi dei rischi ti consente di visualizzare il tuo ambiente in base al rischio. La visualizzazione delle tendenze di rischio delle entità ti aiuta a identificare comportamenti insoliti e a comprendere il potenziale rischio che le entità rappresentano per la tua azienda.

La dashboard Analisi dei rischi elenca le entità a rischio e i dettagli dei fattori di rischio. Nei sistemi che utilizzano l'RBAC dei dati, solo gli utenti con ambito globale possono accedere all'analisi dei rischi. Per saperne di più, consulta Impatto dell'RBAC dei dati sull'analisi dei rischi.

Per accedere alla dashboard Analisi dei rischi:

1. Nella barra di navigazione, fai clic su Rilevamento.
2. In Rilevamento, fai clic su Analisi dei rischi.

Conteggio entità, punteggio di rischio e tabella delle entità

In base ai filtri selezionati, la dashboard Analisi dei rischi mostra solo le 10.000 entità con il rischio più elevato nell'azienda. Tutti i grafici e le tabelle nella dashboard rappresentano solo questo insieme di entità.

Il grafico Conteggio totale entità in alto a sinistra mostra il numero di entità monitorate nella tua azienda con un rischio maggiore di 0. Le entità con un punteggio di rischio pari a 0 vengono comunque monitorate, ma non verranno rappresentate in questo grafico. Il conteggio totale è suddiviso tra Asset e Utenti.

Per saperne di più sulle entità, consulta Oggetti logici: evento ed entità. Per saperne di più su come vengono calcolati i punteggi di rischio, consulta Calcolo del punteggio di rischio.

Nella tabella Entità sono presenti più colonne relative al punteggio di rischio dell'entità:

Regolare la finestra di calcolo del rischio

Il rischio calcolato rappresentato da un'entità cambia a seconda del periodo di tempo in esame. La modifica dell'impostazione Finestra di calcolo del rischio in alto a destra (seleziona Finestra di 24 ore o Finestra di 7 giorni) modifica il punteggio di rischio calcolato visualizzato qui. Potresti voler modificare questa impostazione a seconda del tipo di attacco che stai cercando. Ad esempio, gli attacchi di forza bruta sono più evidenti se imposti la Finestra di calcolo del rischio su 24 ore. I periodi di tempo più lunghi ti consentono di individuare gli attacchi a lungo termine. I punteggi di rischio dell'entità cambiano a seconda della finestra di calcolo del rischio selezionata.

I punteggi di rischio dell'entità vengono ricalcolati più volte al giorno per le finestre di analisi di 24 ore e 7 giorni, in base ai risultati generati nei rispettivi periodi di analisi. La dashboard dei rischi fornisce i punteggi di rischio calcolati più di recente. Puoi anche visualizzare i punteggi di rischio storici selezionando una data e un'ora specifiche nel selettore di date accanto all'impostazione "Finestra di calcolo del rischio". Verranno visualizzati i rischi dell'entità calcolati per la finestra di 24 ore o 7 giorni che termina alla data e all'ora scelte.

Restringere la ricerca con i filtri rapidi

I filtri rapidi ti consentono di restringere la ricerca mostrando solo i risultati pertinenti alle tue esigenze specifiche.

Per utilizzare i filtri rapidi nella dashboard Analisi dei rischi:

1. Fai clic su filter_alt sopra la tabella Entità. Viene visualizzata la finestra Filtri.
2. Seleziona una delle colonne:
   • Numero di risultati
   • Punteggio di rischio dell'entità normalizzato
   • Tendenza di rischio dell'entità normalizzata
   • Tipo
3. Seleziona Mostra solo o Filtra.
4. Seleziona un valore (puoi selezionare più valori per espandere l'intervallo):
   • Numero di risultati: valori da 0 a maggiori di 1000.
   • Punteggio di rischio dell'entità normalizzato: valori da 0 a 1000.
   • Tendenza di rischio dell'entità normalizzata: percentuali da meno di -99% a maggiori di 199%.
   • Tipo: seleziona Asset o Utenti.
5. (Facoltativo) Per aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti questa procedura dal passaggio 2.
6. Dopo aver configurato i filtri, fai clic su Applica.

Ad esempio, se selezioni Tendenza di rischio dell'entità normalizzata, selezioni Mostra solo e selezioni >199%, vengono visualizzate solo le entità con una variazione di rischio dell'entità normalizzata maggiore del 199%.

Esaminare un'entità utilizzando la pagina dell'entità

Per esaminare un'entità:

1. Scorri la colonna Nome entità o utilizza la barra di ricerca per trovare un'entità.
2. Fai clic sull'entità che vuoi esaminare.

Verrà aperta la pagina dell'entità. Questa pagina ti consente di esaminare solo i risultati associati a una singola entità. Il grafico Sequenza temporale dei risultati in alto tiene traccia dei punteggi di rischio e dei risultati dell'entità nel tempo. Questo grafico è composto da metriche precalcolate visualizzate in un grafico a linee per mostrare le tendenze nel tempo. Le anomalie possono essere visualizzate come picchi nel grafico a linee. Sotto il grafico è presente la tabella Risultati, che mostra gli eventi e le attività a cui è stata associata l'entità selezionata.

In basso a destra è presente un riquadro comprimibile Visualizza dettagli entità che contiene un riepilogo dei dettagli importanti sull'entità selezionata. Per completare un esame dettagliato dell'entità selezionata, fai clic su Visualizza dettagli entità per visualizzare l'entità nella visualizzazione Asset o Utente , a seconda che l'entità sia un asset o un utente. Per saperne di più, consulta Esaminare un'entità asset o Esaminare un utente.

Esaminare un'entità utilizzando l'analisi delle entità

L'analisi delle entità fornisce agli analisti SOC e ai cacciatori di minacce una visualizzazione dettagliata del comportamento di un'entità, inclusi il profilo di base dell'entità, le anomalie e gli arricchimenti contestuali.

Nella pagina dell'entità, seleziona un intervallo di tempo massimo di 90 giorni nella Sequenza temporale dei risultati, e fai clic su Visualizza analisi per la selezione. Viene visualizzata una barra laterale che mostra l'analisi associata a questa entità nell'intervallo di tempo selezionato. Ogni analisi mostra un aggregato di tutti i valori analitici all'interno dell'intervallo di tempo. Quando viene rilevata, un'analisi include un elenco di avvisi e rilevamenti correlati che possono essere esaminati ulteriormente facendo clic su Visualizza altro per aprire la visualizzazione Avvisi o Rilevamento corrispondente. Per saperne di più, consulta Esaminare un avviso.

Vengono fornite le seguenti analisi delle entità:

• Conteggio nomi eventi di avviso
• Tentativi di autenticazione riusciti
• Tentativi di autenticazione non riusciti
• Tentativi di autenticazione totali
• Byte DNS in uscita
• Query DNS non riuscite
• Query DNS riuscite
• Query DNS totali
• Esecuzioni di file riuscite
• Esecuzioni di file non riuscite
• Esecuzioni di file totali
• Query HTTP riuscite
• Query HTTP non riuscite
• Query HTTP totali
• Byte di rete in entrata
• Byte di rete in uscita
• Byte di rete totali
• Tentativi di autenticazione totali di Workspace
• Email di Workspace inviate totali
• Byte di rete in uscita di Workspace
• Byte di rete totali di Workspace
• Azioni di modifica totali di Workspace
• Azioni di download totali di Workspace

Modificare un punteggio di rischio dell'entità

Quando informazioni o eventi esterni influiscono sul rischio effettivo di un'entità, puoi aggiornarne il punteggio di rischio.

Ad esempio, puoi ridurre temporaneamente il punteggio di rischio di un dipendente che ha appena terminato un esercizio di red team (ad esempio un penetration test) in modo che gli analisti non debbano perdere tempo a indagare sul motivo per cui il rischio del dipendente è aumentato. Puoi anche aumentare temporaneamente il punteggio di rischio di un dipendente coinvolto in una causa giudiziaria.

1. Nella tabella Entità della pagina Analisi dei rischi, tieni il puntatore sulla colonna all'estrema destra della riga. Potresti dover scorrere la visualizzazione verso destra. Fai clic su more_vert

   e seleziona Aggiorna punteggio di rischio dell'entità.

2. Nella finestra di dialogo Aggiorna punteggio di rischio dell'entità, configura i valori per:

   • Fattore di moltiplicazione: consente di aumentare o diminuire il punteggio di rischio di un'entità con un fattore di moltiplicazione compreso tra 0,0 e 100,0. Ad esempio, se hai scoperto nuove prove su un'entità che la rendono due volte più rischiosa, aggiorna il fattore di moltiplicazione a 50 per riflettere il vero fattore di rischio dell'entità.
   • Periodo di tempo: periodo di tempo in cui viene applicato il fattore di moltiplicazione. Puoi selezionare Adesso o un intervallo compreso tra 1 giorno e 14 giorni. Se selezioni Adesso, il fattore di moltiplicazione viene applicato al punteggio di rischio dell'entità per la finestra di calcolo del rischio attuale. Nel calcolo vengono inclusi solo gli avvisi e i rilevamenti esistenti. Al termine del periodo di tempo selezionato, gli aggiornamenti al punteggio di rischio dell'entità verranno interrotti e il punteggio di rischio tornerà alla normalità.
   • Motivo: consente di lasciare un contesto aggiuntivo per gli altri utenti su perché è stato eseguito questo aggiornamento. Scegli tra le seguenti opzioni: Nuove prove, Punteggio di rischio errato, Profilo di rischio modificato, Requisiti di conformità o Altro.

Se tenti di apportare una modifica già apportata (ad esempio, vuoi aggiornare il fattore di moltiplicazione di un'entità al 25%, ma un altro membro del team ha già apportato questa modifica), verrà visualizzata una finestra di dialogo che indica che la modifica è già stata apportata, incluse informazioni su chi ha apportato la modifica e quando.

Visualizzare gli aggiornamenti del punteggio di rischio nei dettagli dell'entità

Puoi visualizzare tutti gli aggiornamenti del punteggio di rischio per un'entità nella pagina Profilo entità.

1. Fai clic sull'entità di cui vuoi visualizzare la cronologia degli aggiornamenti del punteggio di rischio per aprire la pagina Profilo entità.
2. Nel grafico a cronologia degli eventi, ogni volta che qualcuno ha modificato il punteggio di rischio dell'entità è indicato dall'etichetta Modifica del punteggio di rischio in testo bianco.
3. Tieni il puntatore sopra il testo per visualizzare una finestra di dialogo con la data, l'utente e il motivo della modifica.

Liste di titoli

La pagina Liste di titoli ti consente di monitorare entità specifiche della tua azienda.

Andare alla scheda Liste di titoli

1. Nella barra di navigazione a sinistra, fai clic su Rilevamento.
2. In Rilevamento, fai clic su Analisi dei rischi.
3. Fai clic sulla scheda Liste di titoli.

Aggiungere una lista di titoli

Per aggiungere una lista di titoli al tuo account Google Security Operations, completa i seguenti passaggi. Puoi configurare fino a 200 liste di titoli.

1. Fai clic su Crea lista di titoli.
2. Specifica un Nome lista di titoli.
3. (Facoltativo) Specifica una Descrizione.
4. (Facoltativo) Specifica un Fattore di moltiplicazione compreso tra 0 e 100. Il valore predefinito è 1.
5. (Facoltativo) Specifica le entità sul lato destro della finestra seguendo la Aggiungere entità a una lista di titoli sezione. Qui puoi aggiungere i seguenti tipi di entità:
   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID
6. Fai clic su Crea lista di titoli.

Aggiungere una lista di titoli ai preferiti

1. Fai clic su Modifica visualizzazione.
2. Fai clic sulla casella di controllo accanto alla lista di titoli che vuoi aggiungere ai preferiti.
3. Fai clic su Salva.

Rimuovere una lista di titoli dai preferiti

1. Nella dashboard Liste di titoli, seleziona la lista di titoli che vuoi rimuovere dai preferiti e seleziona more_vert .
2. Fai clic su Rimuovi dalla visualizzazione.

Modificare una lista di titoli

1. Nella dashboard Liste di titoli, seleziona la lista di titoli che vuoi modificare e fai clic sull'icona more_vert .
2. Fai clic su Modifica lista di titoli.

Eliminare una lista di titoli

1. Nella dashboard Liste di titoli, seleziona la lista di titoli che vuoi eliminare e fai clic su more_vert .
2. Fai clic su Elimina lista di titoli.

Aggiungere entità a una lista di titoli

Per aggiungere entità a una lista di titoli, specifica il nome, il tipo e (facoltativo) lo spazio dei nomi dell'entità riga per riga utilizzando uno dei seguenti formati.

• NAME,TYPE

• NAME,TYPE,NAMESPACE

  TYPE può essere uno dei seguenti:

  • ASSET_IP_ADDRESS
  • EMAIL
  • EMPLOYEE_ID
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID
  • USERNAME
  • WINDOWS_SID

  NAMESPACE può essere specificato solo per i tipi di entità asset:

  • ASSET_IP_ADDRESS
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID

Ad esempio:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Questo esempio rappresenta due entità aggiunte alla lista di titoli, un indirizzo IP asset 205.148.5.0 e un nome host website.com nello spazio dei nomi chronicle. Una lista di titoli può contenere fino a 10.000 entità.

Rimuovere entità da una lista di titoli

Per rimuovere entità da una lista di titoli, rimuovi le righe che rappresentano le entità che vuoi rimuovere e fai clic su Salva.

Modificare le impostazioni del punteggio di rischio

La pagina Punteggio di rischio dell'entità ti consente di definire la modalità di calcolo dei punteggi di rischio per entità, avvisi e rilevamenti. Questa pagina ti consente di personalizzare la modalità di calcolo del rischio in base alle esigenze specifiche della tua ricerca.

Nella pagina Punteggio di rischio dell'entità sono presenti tre campi che puoi aggiornare:

• Ponderazione del punteggio di rischio dell'entità
• Punteggio di rischio degli avvisi predefinito
• Punteggio di rischio dei rilevamenti predefinito

Per modificare una di queste impostazioni:

1. Nella barra di navigazione, seleziona Impostazioni > Punteggi di rischio dell'entità.
2. Aggiorna i punteggi di rischio di conseguenza.
3. Fai clic su Salva. Quando torni alla pagina principale Analisi dei rischi, nella parte superiore dello schermo viene visualizzato un messaggio che conferma che è stata apportata una modifica al Punteggio di rischio dell'entità.
4. (Facoltativo) Per reimpostare uno di questi valori, fai clic su Reimposta a destra del valore.

Gli aggiornamenti verranno applicati solo ai nuovi avvisi e rilevamenti. Potrebbero essere necessari fino a 30 minuti prima che le modifiche diventino effettive.

Ponderazione del punteggio di rischio dell'entità

La ponderazione definisce il contributo dei punteggi di rischio di avvisi e rilevamenti ai calcoli del punteggio di rischio dell'entità. La ponderazione è un valore compreso tra 0 e 1 e il valore predefinito è 0,2.

Ecco alcuni esempi di come i diversi numeri influiscono sul calcolo del punteggio di rischio dell'entità:

• Ponderazione del punteggio di rischio dell'entità 0. Il punteggio di rischio non elaborato è il punteggio di rischio di rilevamento massimo tra tutti i rilevamenti per l'entità.
• Ponderazione del punteggio di rischio dell'entità 1. Il punteggio di rischio non elaborato è la somma di tutti i punteggi di rischio di rilevamento per l'entità.
• Ponderazione del punteggio di rischio dell'entità 0.5. Il punteggio di rischio assegna un peso completo al rilevamento con il punteggio di rischio massimo per l'entità e la metà del peso per tutti gli altri rilevamenti.

Punteggio di rischio predefinito per i rilevamenti

Punteggio di rischio predefinito per i rilevamenti ti consente di assegnare un valore predefinito per i punteggi di rischio dei rilevamenti. I punteggi di rischio dei rilevamenti vengono utilizzati per calcolare i punteggi di rischio dell'entità. I punteggi di rischio dei rilevamenti vengono definiti quando viene scritta una regola. Se nella regola non è definito alcun punteggio di rischio, viene utilizzato il valore predefinito. Il punteggio predefinito è 15 e l'intervallo di punteggio di rischio è 0-100.

Punteggio di rischio predefinito per gli avvisi

Analogamente a Punteggio di rischio predefinito per i rilevamenti, questo campo ti consente di assegnare un valore predefinito per i punteggi di rischio degli avvisi. Se nella regola non è definito alcun punteggio di rischio, viene utilizzato il valore predefinito di 40. L'intervallo di punteggio di rischio è 0-1000.

Per informazioni sulla definizione del punteggio di rischio in una regola, consulta Sintassi della sezione Outcome.

Coefficiente di avviso chiuso

Il coefficiente di avviso chiuso modifica il punteggio di rischio degli avvisi contrassegnati come chiusi dagli analisti. È un modificatore a virgola mobile compreso tra 0 e 1 inclusi. Il valore predefinito è 1,0, il che significa che tutti gli avvisi aperti e chiusi mantengono i punteggi originali. Se il coefficiente di avviso chiuso ha un valore pari a 0,0, tutti gli avvisi chiusi ricevono un punteggio di rischio pari a 0 e non aumentano più il punteggio di rischio dell'entità complessiva.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.