Présentation de l'analyse des risques

Compatible avec :

L'analyse des risques permet d'identifier les comportements inhabituels et de comprendre le risque potentiel que les entités représentent pour votre entreprise. Sur les systèmes qui utilisent le contrôle RBAC des données, seuls les utilisateurs disposant d'un champ d'application global peuvent accéder à l'analyse des risques. Le tableau de bord "Analyse des risques" comprend une section "Analyse comportementale", qui liste les entités en fonction des scores de risque des entités Google Security Operations, et une section "Liste de surveillance", qui liste les entités en fonction des calculs de risque internes de l'entreprise.

Les scores de risque sont utilisés dans Google SecOps. Leur définition et leur fonction varient en fonction de la fonctionnalité que vous utilisez.

L'analyse des risques est disponible avec les licences Enterprise et Enterprise Plus, ou en tant que module complémentaire d'une licence autonome Google SecOps SIEM.

Entités, risques et résultats dans l'analyse des risques

Cette section définit les concepts d'entités, de risques et de résultats tels qu'ils sont présentés dans le tableau de bord "Analyse des risques".

  • Entités : représentation contextuelle d'un élément ou d'un utilisateur dans votre environnement. Tous les événements associés aux entités fournissent un contexte sur le niveau de risque de l'entité. Pour en savoir plus, consultez Objets logiques : événement et entité.

  • Période de calcul du risque : vous permet de modifier la période du tableau de bord, ce qui vous permet d’examiner les données sur différentes périodes. Par exemple, vous pouvez découvrir des tentatives de connexion par force brute en utilisant la période la plus courte ou examiner une activité malveillante à long terme en définissant la période la plus longue.

  • Normalisé : les scores normalisés sont définis entre 1 et 1 000 pour distinguer les entités sans score de celles qui ont des détections pendant la période de risque.

  • Tendance normalisée : variation du score de risque normalisé de l'entité depuis la période précédente.

  • Base : les scores de base sont calculés en additionnant les scores de risque des résultats (alertes et détections) pour une entité pendant la période de risque avec une pondération appliquée.

    La pondération définit la contribution des scores de risque des alertes et des détections aux calculs du score de risque des entités. La pondération peut prendre une valeur comprise entre 0 et 1.
    Si la valeur de pondération est 1, la pondération n'aura aucun impact. Toutes les autres valeurs sont des pourcentages (par exemple, 0,5 équivaut à 50%). La valeur de pondération par défaut est 0,2 et peut être modifiée dans les paramètres. Pour en savoir plus, consultez Pondération des scores de risque des entités.

  • Variation de base : variation du score de risque de base de l'entité depuis la période précédente.

  • Première/dernière apparition dans la période : code temporel correspondant au moment où l'entité est apparue pour la première ou la dernière fois dans un résultat (alerte ou détection) pour la période spécifiée dans la période de risque.

Résultats dans l'analyse des risques

Les termes suivants sont utilisés sur la page "Résultats" (cliquez sur une entité dans le tableau des entités pour l'ouvrir sur la page "Résultats").

  • Résultats : nombre de résultats (alertes et détections) comprenant cette entité pour la période de la période de risque.

  • Gravité : le niveau de gravité est défini par la source à la création d'un résultat.

  • Priorité : la priorité est définie par la source à la création d'un résultat.

  • Score de risque : les scores de risque sont définis par la source à la création d'un résultat. Si les scores de risque ne sont pas définis, le score de risque par défaut pour les alertes et les détections est utilisé. Le score de risque par défaut pour les alertes est de 40. Le score de risque par défaut pour les détections est de 15.

Calcul du score de risque

Le calcul du score de risque pour chaque entité est basé sur le score de risque des résultats et est modifié en fonction d'un ensemble de paramètres que vous pouvez spécifier et d'un ensemble de paramètres contrôlés par Google SecOps. Vous pouvez accéder aux paramètres que vous pouvez contrôler en accédant à la barre de navigation et en cliquant sur Paramètres > Scores de risque des entités :

  • Coefficient d'alerte clôturée : si les analystes de sécurité marquent une alerte comme clôturée, elle est multipliée par ce modificateur à virgule flottante. La plage de valeurs est comprise entre 0 et 1. La valeur par défaut est 1.

  • Score de risque des détections par défaut : spécifiez le score de risque des détections dans le moteur de règles. La plage de valeurs est comprise entre 0 et 1 000. La valeur par défaut est 15.

Les paramètres suivants sont spécifiés par Google SecOps :

  • Modification du score de risque avec TTL : le score de risque de base de l'entité est modifié par un facteur de multiplication pour la période.

  • Modification du score de risque sans TTL : le score de risque de détection est modifié par un facteur de multiplication.

Voici les formules utilisées pour calculer le score de risque et le score de risque normalisé :

  • Calcul du score de risque : (score de risque de base de l'entité) = (score de risque maximal pour le résultat) + (pondération x (somme des scores de risque restants pour les résultats))

  • Score de risque normalisé : les scores de risque de base des entités sont normalisés sur toutes les entités. Le score de risque de base de l'entité utilise la normalisation min-max et est compris entre 1 et 1 000. Les entités dont le risque est nul ne sont pas incluses.

Priorité des entités pour l'attribution du score de risque

Lors de l'attribution du score de risque, Google SecOps utilise un sous-ensemble des types de noms de premier niveau principal, src, target et about, et attribue un score de risque en fonction des champs alias des sous-types d'événements user et asset.

Google SecOps attribue le score de risque à l'alias le plus fiable d'une entité. Le champ d'alias avec le classement le plus élevé est prioritaire pour déterminer et attribuer le score de risque (1 étant le classement le plus élevé).

Pour les champs d'alias user, Google SecOps utilise le classement suivant lors de l'attribution du score de risque :

  1. windows_sid
  2. email_addresses
  3. userid
  4. employee_id
  5. product_object_id

Pour les champs d'alias asset, Google SecOps utilise le classement suivant lors de l'attribution du score de risque :

  1. hostname
  2. mac
  3. asset_id
  4. ip
  5. product_object_id

Exemple de calcul du score de risque

La procédure complète de calcul du score de détection des risques pour une entité est décrite ci-dessous :

  1. Entrée : les détections générées par les règles sont regroupées en fonction de leurs indicateurs sous-jacents.
  2. (Facultatif) Coefficient d'alerte clôturée : si le score de risque de détection concerne une alerte clôturée, le score est multiplié par le coefficient d'alerte clôturée.
  3. (Facultatif) Modification du score de risque par défaut : s'il n'est pas explicitement défini dans une règle, le score de risque de détection par défaut est appliqué. Les scores de risque de détection avec ou sans alerte par défaut peuvent être modifiés dans les paramètres des scores de risque des entités.
  4. (Facultatif) Modification des détections composites : si une entité à noter n'est pas explicitement définie à l'aide du mot clé $risk_entity_to_score dans une règle, le score de risque est attribué à toutes les entités de la section des événements échantillonnés et des résultats.
  5. Calcul du score de risque : le facteur de pondération est multiplié par la somme de toutes les détections (à l'exception du score de risque de détection maximal), puis ajouté au score de risque de détection maximal. Cette valeur représente le score de risque brut de l'entité.
  6. Pondération de la modification : le score de risque brut de l'entité est multiplié par la pondération de la modification. Cette modification est une opération unique, sauf si un TTL est défini. Cette valeur correspond au score de risque de base de l'entité.
  7. Pondération de la liste de surveillance : si une entité fait partie d'une liste de surveillance, la pondération de la liste de surveillance est ajoutée au score de risque de détection.
  8. Score de risque normalisé : le score de risque de base de l'entité est normalisé sur toutes les entités à l'aide de la normalisation min-max.

Paramètres du score de risque

La page Scores de risque des entités vous permet de définir le mode de calcul des scores de risque pour les entités, les alertes et les détections. Vous pouvez appliquer une pondération aux calculs du score de risque des entités, et définir des scores de risque par défaut pour les alertes et les détections. Les modifications ne s'appliquent qu'aux nouvelles alertes et détections, et peuvent prendre jusqu'à 30 minutes pour être appliquées.

  • Pondération du score de risque des entités : la pondération définit la manière dont les scores de risque des alertes et des détections sont pris en compte dans les calculs du score de risque des entités. La pondération est une valeur comprise entre 0 et 1. La formule du score de risque de base de l'entité est définie comme suit :

    Score de risque de base de l'entité = (score de risque maximal pour le résultat) + (pondération x (somme des scores de risque restants pour les résultats))

  • Scores de risque par défaut pour les alertes : spécifiez le score de risque d'alerte par défaut sur la page Paramètres. La valeur par défaut est 40. Vous pouvez modifier les scores de risque des alertes individuelles dans les règles elles-mêmes. Ces valeurs remplacent toutes les valeurs par défaut configurées sur la page Paramètres.

  • Scores de risque par défaut pour les détections : spécifiez le score de risque de détection par défaut sur la page Paramètres. La valeur par défaut est 15. Vous pouvez modifier les scores de risque des détections individuelles dans les règles elles-mêmes. Ces valeurs remplacent toutes les valeurs par défaut configurées sur la page Paramètres.

Analyse des risques en temps quasi réel pour les clients Enterprise

Ce recalcul rapide vous permet d'utiliser les alertes basées sur les risques pour atteindre les objectifs de niveau de service (SLO) des alertes d'entreprise en minimisant le délai d'identification et de réponse aux éléments probablement compromis.

Résolution MRI pour le scoring de risque dans UEBA

Pour l'analyse du comportement des utilisateurs et des entités (UEBA), la logique de résolution de l'indicateur le plus fiable (MRI, Most Reliable Indicator) identifie l'identifiant le plus faisant autorité pour une entité (par exemple, un utilisateur, un élément, un fichier ou une ressource) lorsque plusieurs indicateurs sont présents. Ce processus est nécessaire pour l'indexation et le scoring de risque. Cela garantit que le risque est attribué à l'identité la plus stable disponible pour un utilisateur dans différentes sources de données. La résolution MRI utilise les processus suivants pour identifier l'indicateur le plus fiable :

  • Priorité basée sur le type : chaque catégorie d'indicateur possède une carte de priorité interne où les valeurs les plus élevées indiquent une plus grande fiabilité. Par exemple, WINDOWS_SID (priorité 4) est intrinsèquement plus fiable que l'ID d'employé (priorité 1).
  • Départage : si deux indicateurs ont la même priorité, le système compare leurs noms d'affichage et leurs espaces de noms pour déterminer quel indicateur est plus fiable.

Hiérarchie de fiabilité dans les types d'entités

La hiérarchie suivante répertorie les indicateurs disponibles, du plus fiable (priorité 4) au moins fiable (priorité 0) dans chaque type d'entité.

  1. Indicateurs utilisateur
    1. SID Windows : priorité 4
    2. Adresse e-mail : priorité 3
    3. Nom d'utilisateur : priorité 2
    4. ID d'employé : priorité 1
    5. ID d'objet produit : priorité 0
  2. Indicateurs d'élément
    1. Nom d'hôte : noms d'hôtes de premier niveau prioritaires s'ils sont configurés (priorité 4)
    2. Adresse MAC : priorité 3
    3. ID spécifique au produit ou ID d'élément : priorité 2
    4. Adresse IP d'élément : priorité 1
    5. ID d'objet produit : priorité 0
  3. Indicateurs génériques et de ressources
    1. Nom de la ressource : priorité 1
    2. ID d'objet produit : priorité 0

Résolution du champ d'application MRI

Le champ d'application de la résolution MRI est limité aux types d'entités suivants :

  • ASSET_IP_ADDRESS
  • MAC, HOSTNAME
  • PRODUCT_SPECIFIC_ID
  • E-MAIL
  • NOM D'UTILISATEUR
  • WINDOWS_SID
  • EMPLOYEE_ID
  • PRODUCT_OBJECT_ID

Nous n'utilisons pas la résolution MRI avec les indicateurs de processus et de fichiers.

Variable de résultat risk_entity_to_score

La variable de résultat risk_entity_to_score spécifie l'entité à noter, et non le champ sous lequel afficher le score. Google SecOps consolide toujours le risque sous le MRI disponible pour l'entité sélectionnée afin d'éviter la fragmentation des risques. Toutefois, si vous utilisez un non-MRI comme identifiant pour une entité dans risk_entity_to_score, Google SecOps met à jour le MRI pour cette entité au lieu de l'identifiant spécifié.

Pour en savoir plus, consultez Variable de résultat risk_entity_to_score.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.