Esta página foi traduzida pela API Cloud Translation.

Perguntas frequentes sobre as estatísticas de risco

Suportado em:

Google secops SIEM

O que é a análise de risco?

O painel de controlo de estatísticas de risco ajuda a identificar comportamentos invulgares e potenciais riscos colocados por entidades numa empresa. É composto por duas secções principais: estatísticas comportamentais e listas de observação.

Quem pode aceder à análise de risco?

Apenas os utilizadores com os privilégios relevantes podem aceder à análise de risco. Se a sua organização usar RBAC de dados, tem de ter âmbito global para aceder às estatísticas de risco.

O que é a análise comportamental?

A secção Análise comportamental apresenta uma lista de entidades com base nas respetivas classificações de risco de entidades do Google Security Operations.

A secção oferece estes componentes principais:

Métricas de resumo: mostra uma vista de nível superior das entidades com base na modelagem de risco de entidades do Google SecOps. Esta visualização apresenta até 10 000 entidades com as pontuações de risco mais elevadas.
Tabela de entidades: acompanha o risco de uma entidade ao longo do tempo e fornece contexto para investigações.

Como funciona o período de cálculo de risco?

A janela de cálculo de risco permite aos utilizadores alterar o período do painel de controlo, o que permite a análise de dados em diferentes períodos. Os intervalos de tempo mais curtos, como 24 horas, ajudam a descobrir eventos como tentativas de início de sessão por força bruta, enquanto os intervalos de tempo mais longos, como 7 dias, ajudam a examinar a atividade maliciosa a longo prazo.

Posso ver as classificações de risco do histórico?

Sim, pode ver as pontuações de risco do histórico selecionando uma data e uma hora específicas, que apresenta os riscos calculados para o período de 24 horas ou 7 dias selecionado.

O que é uma pontuação de risco normalizada?

As pontuações normalizadas são definidas entre 1 e 1000 para distinguir as entidades com deteções das que não têm.

O que são as pontuações de risco base?

As pontuações base são calculadas adicionando as pontuações de risco nas conclusões (alertas e deteções) de uma entidade durante o período de risco, com ponderação aplicada.

Como é aplicada a ponderação às pontuações de risco?

A ponderação da pontuação de risco define a forma como as pontuações de risco de deteção e de alerta contribuem para os cálculos da pontuação de risco da entidade, com valores que variam de 0 a 1, em que uma ponderação de 1 não tem impacto na pontuação de risco. O valor de ponderação predefinido é 0.2 e pode ser modificado em Definições.

Como é calculada a pontuação de risco da entidade base?

A fórmula para a pontuação de risco da entidade base é: (Pontuação de risco máxima para a descoberta) + (Ponderação * (Soma das pontuações de risco restantes para as descobertas)).

Quais são as pontuações de risco predefinidas para alertas e deteções?

A pontuação de risco predefinida para alertas é 40 e para deteções é 15. Pode modificar estas predefinições nas Definições ou nas regras.

O que é o coeficiente de alertas fechados?

Se um analista de segurança marcar um alerta como fechado, a respetiva pontuação de risco é multiplicada por um coeficiente que varia de 0 a 1 .

Como funcionam as modificações da pontuação de risco com TTL e sem TTL?

A classificação de risco da entidade base é modificada por um fator de multiplicação para o intervalo de tempo e a classificação de risco de deteção é modificada com um fator de multiplicação. Estes fatores são especificados pela Google SecOps.

Como são calculadas as pontuações de risco normalizadas?

As pontuações de risco das entidades base são normalizadas através da normalização min-max e variam de 1 a 1000. As entidades com uma pontuação de risco de 0 são excluídas.

O que é a página de estatísticas da entidade?

Clicar no nome de uma entidade na tabela Entidades acede à página Estatísticas de entidades, que apresenta uma janela Intervalo de eventos, uma cronologia de resultados e uma tabela de resultados detalhada. O período de intervalo de eventos permite filtrar até 90 dias.

Quais são alguns exemplos de como a análise de risco pode ser usada?

Pode usar a análise de risco para identificar volumes elevados de transferências de dados, números suspeitos de tentativas de início de sessão falhadas ou mensagens de diálogo que possam indicar software malicioso.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.