Esta página foi traduzida pela API Cloud Translation.

Perguntas frequentes sobre análise de risco

Compatível com:

Google SecOps SIEM

O que é análise de dados de risco?

O painel de análise de risco ajuda a identificar comportamentos incomuns e possíveis riscos representados por entidades em uma empresa. Ele consiste em duas seções principais: análise comportamental e listas de observação.

Quem pode acessar o Risk Analytics?

Somente usuários com os privilégios relevantes podem acessar a análise de risco. Se a sua organização usa RBAC de dados, você precisa ter escopo global para acessar a análise de risco.

O que é análise comportamental?

A seção Análise comportamental lista entidades com base nas pontuações de risco de entidade do Google Security Operations.

A seção oferece estes componentes principais:

Métricas de resumo: mostram uma visão de alto nível das entidades com base na modelagem de risco de entidade do Google SecOps. Essa visualização mostra até 10.000 entidades com as pontuações de risco mais altas.
Tabela de entidades: acompanha o risco de uma entidade ao longo do tempo e fornece contexto para investigações.

Como funciona a janela de cálculo de risco?

A janela de cálculo de risco permite que os usuários mudem o período do painel, possibilitando a análise de dados em diferentes períodos. Períodos mais curtos, como 24 horas, ajudam a descobrir eventos como tentativas de login por força bruta, enquanto períodos mais longos, como 7 dias, ajudam a examinar atividades maliciosas de longo prazo.

Posso consultar pontuações de risco históricas?

Sim, é possível conferir as pontuações de risco históricas selecionando uma data e hora específicas, que mostram os riscos calculados para a janela de 24 horas ou 7 dias selecionada.

O que é uma pontuação de risco normalizada?

As pontuações normalizadas são definidas entre 1 e 1.000 para distinguir entidades com detecções daquelas sem.

O que são pontuações de risco base?

As pontuações básicas são calculadas adicionando as pontuações de risco em descobertas (alertas e detecções) para uma entidade durante a janela de risco, com ponderação aplicada.

Como a ponderação é aplicada às pontuações de risco?

A ponderação da pontuação de risco define como as pontuações de risco de alerta e detecção contribuem para os cálculos da pontuação de risco da entidade, com valores que variam de 0 a 1. Uma ponderação de 1 não tem impacto na pontuação de risco. O valor de ponderação padrão é 0.2 e pode ser modificado em Configurações.

Como a pontuação de risco básica da entidade é calculada?

A fórmula para a pontuação de risco básica da entidade é: (Pontuação de risco máxima da descoberta) + (Ponderação * (Soma das pontuações de risco restantes das descobertas)).

Quais são as pontuações de risco padrão para alertas e detecções?

A pontuação de risco padrão para alertas é 40 e para detecções é 15. É possível modificar esses padrões em Configurações ou nas regras.

O que é o coeficiente de alerta fechado?

Se um analista de segurança marcar um alerta como fechado, a pontuação de risco será multiplicada por um coeficiente que varia de 0 a 1 .

Como funcionam as modificações da pontuação de risco com e sem TTL?

A pontuação de risco básica da entidade é modificada por um fator de multiplicação para o período, e a pontuação de risco de detecção é modificada com um fator de multiplicação. Esses fatores são especificados pela Google SecOps.

Como as pontuações de risco normalizadas são calculadas?

As pontuações de risco básicas da entidade são normalizadas usando a normalização min-max e variam de 1 a 1.000. Entidades com uma pontuação de risco 0 são excluídas.

O que é a página "Análise de entidades"?

Ao clicar no nome de uma entidade na tabela "Entidades", você acessa a página Análise de entidades, que mostra uma janela de período de eventos, uma linha do tempo de descobertas e uma tabela detalhada de descobertas. A janela de período de eventos permite filtrar até 90 dias.

Quais são alguns exemplos de como a análise de risco pode ser usada?

Use a análise de risco para identificar grandes volumes de downloads de dados, números suspeitos de tentativas de login com falha ou mensagens de caixa de diálogo que podem indicar malware.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.