סקירה כללית של ניתוח סיכונים

נתמך ב:

ניתוח סיכונים משמש לזיהוי התנהגות חריגה ולהבנת הסיכון הפוטנציאלי שיש לישויות לעסק. במערכות שמשתמשות ב-RBAC של נתונים, רק משתמשים עם היקף גלובלי יכולים לגשת לניתוח הסיכונים. מרכז הבקרה של ניתוח הסיכונים כולל קטע של ניתוח התנהגותי, שבו מוצגים ישויות לפי ציוני הסיכון של ישויות ב-Google Security Operations, וקטע של רשימת מעקב, שבו מוצגים ישויות לפי חישובים פנימיים של סיכונים בארגון.

ציוני הסיכון משמשים בכל Google SecOps. ההגדרה והפונקציה של הציונים האלה משתנות בהתאם לתכונה שבה אתם משתמשים.

התכונה 'ניתוח סיכונים' זמינה עם רישיונות Enterprise ו-Enterprise Plus, או כתוסף לרישיון עצמאי של Google SecOps SIEM.

ישויות, סיכונים וממצאים בניתוח סיכונים

בקטע הזה מוסברים המושגים ישויות, סיכון וממצאים, כפי שהם מוצגים במרכז הבקרה של ניתוח הסיכונים.

  • ישויות: ייצוג הקשרי של נכס או משתמש בסביבה שלכם. כל האירועים שמשויכים לישויות מספקים הקשר לגבי רמת הסיכון של הישות. מידע נוסף זמין במאמר אובייקטים לוגיים: אירוע וישות.

  • חלון חישוב הסיכון: מאפשר לשנות את מסגרת הזמן של לוח הבקרה, כדי לבחון את הנתונים בתקופות שונות. לדוגמה, אפשר לחשוף ניסיונות התחברות בכוח על ידי שימוש בחלון הזמן הקצר יותר, או לבדוק פעילות זדונית לטווח ארוך על ידי הגדרת חלון הזמן הארוך יותר.

  • נורמלי: הניקוד הנורמלי מוגדר בין 1 ל-1,000 כדי להבחין בין ישויות ללא ניקוד לבין ישויות שזוהו בחלון הסיכון.

  • מגמה מנורמלת: השינוי בציון הסיכון של הישות אחרי נרמול מאז החלון הקודם.

  • בסיס: ציוני הבסיס מחושבים על ידי הוספת ציוני הסיכון של ממצאים (התראות וזיהויים) של ישות במהלך חלון הסיכון, עם החלת משקולות.

    המשקל מגדיר את מידת ההשפעה של ציוני הסיכון של ההתראות והזיהוי על החישובים של ציוני הסיכון של הישויות. הערך של המשקל יכול להיות בין 0 ל-1.
    אם ערך המשקל הוא 1, המשקל לא ישפיע. כל שאר הערכים הם אחוזים (לדוגמה, 0.5 שווה ל-50%). ערך המשקל שמוגדר כברירת מחדל הוא 0 .2, ואפשר לשנות אותו בהגדרות. מידע נוסף זמין במאמר בנושא שקלול של ניקוד הסיכון של ישויות.

  • שינוי בסיסי: השינוי בציון הסיכון של ישות הבסיס מאז החלון הקודם.

  • הפעם הראשונה או האחרונה שבה נצפה בחלון: חותמת זמן שמתאימה לפעם הראשונה או האחרונה שבה נצפה הישות בממצא (התראה או זיהוי) לתקופה שצוינה בחלון הסיכון.

ממצאים ב-Risk Analytics

המונחים הבאים מופיעים בדף 'ממצאים' (כדי לפתוח ישות בדף 'ממצאים', לוחצים על הישות בטבלת הישויות).

  • ממצאים: מספר הממצאים (התראות וזיהויים) שכוללים את הישות הזו לתקופה בחלון הסיכון.

  • רמת חומרה: רמת החומרה מוגדרת על ידי המקור כשמזהים ממצא.

  • עדיפות: העדיפות מוגדרת על ידי המקור כשמזהים ממצא.

  • ציון סיכון: ציוני הסיכון מוגדרים על ידי המקור כשמזהים ממצא. אם לא מגדירים את ציוני הסיכון, המערכת תשתמש בציון הסיכון שמוגדר כברירת מחדל להתראות ולזיהויים. ציון הסיכון שמוגדר כברירת מחדל להתראות הוא 40. דירוג הסיכון שמוגדר כברירת מחדל לאיתורים הוא 15.

חישוב ציון הסיכון

חישוב ציון הסיכון של כל ישות מבוסס על ציון הסיכון של הממצאים, והוא משתנה בהתאם לקבוצת פרמטרים שאתם יכולים לציין ולקבוצת פרמטרים שנשלטת על ידי Google SecOps. כדי לגשת לפרמטרים שאפשר לשלוט בהם, עוברים לסרגל הניווט ולוחצים על הגדרות > ציוני סיכון של ישויות:

  • מקדם התראה שנסגרה: אם אנליסט האבטחה מסמן התראה כסגורה, היא מוכפלת במקדם הזה של נקודה צפה. הטווח הוא 0-1. ערך ברירת המחדל הוא 1.

  • דירוג סיכון ברירת מחדל לזיהוי: מציינים את דירוג הסיכון לזיהויים במנוע הכללים. הטווח הוא 0-1000. ערך ברירת המחדל הוא 15.

הפרמטרים הבאים מוגדרים על ידי Google SecOps:

  • שינוי ציון הסיכון באמצעות TTL: ציון הסיכון של ישות הבסיס משתנה באמצעות פקטור הכפלה לטווח הזמן.

  • שינוי של דירוג הסיכון ללא TTL: דירוג הסיכון לזיהוי משתנה באמצעות מקדם כפל.

אלה הנוסחאות שמשמשות לחישוב ציון הסיכון וציון הסיכון המנורמל:

  • חישוב ציון הסיכון: (ציון הסיכון של ישות הבסיס) = (ציון הסיכון המקסימלי של הממצא) + (משקל * (סכום ציוני הסיכון הנותרים של הממצאים))

  • ציון סיכון מנורמל: ציוני הסיכון של ישויות הבסיס מנורמלים בכל הישויות. ציון הסיכון של ישות הבסיס מחושב באמצעות נורמליזציה של מינימום-מקסימום, והוא נע בין 1 ל-1,000. לא נכללות ישויות עם סיכון אפס.

סדר העדיפות של ישויות בהקצאת ציון סיכון

כשמערכת Google SecOps מקצה את ציון הסיכון, היא משתמשת בקבוצת משנה של סוגי שמות עצם ברמה העליונה principal, src, target ו-about, ומקצה ציון סיכון בהתאם לשדות alias של סוגי המשנה של האירועים user ו-asset.

‫Google SecOps מקצה את ציון הסיכון לכינוי הכי אמין של ישות. השדה של הכינוי עם הדירוג הגבוה יותר מקבל קדימות בקביעה של ציון הסיכון והקצאה שלו (1 הוא הדירוג הגבוה ביותר).

בשדות של כינויים ב-user, מערכת Google SecOps משתמשת בדירוג הבא כשהיא מקצה את ציון הסיכון:

  1. windows_sid
  2. email_addresses
  3. userid
  4. employee_id
  5. product_object_id

בשדות של כינויים ב-asset, מערכת Google SecOps משתמשת בדירוג הבא כשהיא מקצה את ציון הסיכון:

  1. hostname
  2. mac
  3. asset_id
  4. ip
  5. product_object_id

דוגמה לחישוב ציון סיכון

הקטע הבא מתאר את הרצף המלא של חישוב ציון זיהוי הסיכון עבור ישות:

  1. קלט: זיהויים שנוצרו על ידי כללים מקובצים על סמך האינדיקטורים הבסיסיים שלהם.
  2. (אופציונלי) מקדם התראה סגורה: אם ציון הסיכון של הזיהוי הוא של התראה סגורה, הציון מוכפל במקדם ההתראה הסגורה.
  3. (אופציונלי) שינוי ניקוד הסיכון שמוגדר כברירת מחדל אם לא מגדירים ניקוד סיכון באופן מפורש בכלל, יוחל ניקוד הסיכון שמוגדר כברירת מחדל. אפשר לשנות את ברירת המחדל של ניקוד הסיכון לזיהוי עם התראות או לזיהוי ללא התראות בהגדרות של ניקוד הסיכון לישות.
  4. (אופציונלי) שינוי של זיהויים מורכבים: אם ישות שצריך לתת לה ניקוד לא מוגדרת באופן מפורש באמצעות מילת המפתח $risk_entity_to_score בכלל, ניקוד הסיכון משויך לכל הישויות מקטע התוצאה ומאירועים שנדגמו.
  5. חישוב ציון הסיכון: מכפילים את מקדם המשקל בסכום של כל הזיהויים (למעט ציון הסיכון המקסימלי של הזיהוי), ואז מוסיפים את התוצאה לציון הסיכון המקסימלי של הזיהוי. הערך הזה מייצג את ציון הסיכון של הישות הגולמית.
  6. משקל השינוי: ציון הסיכון הגולמי של הישות מוכפל במשקל השינוי. השינוי הזה הוא חד-פעמי, אלא אם מוגדר TTL. הערך הזה הוא ציון הסיכון של ישות הבסיס.
  7. משקל רשימת הצפייה: אם ישות מסוימת כלולה ברשימת צפייה, המשקל של רשימת הצפייה מתווסף לציון הסיכון לגילוי.
  8. ציון סיכון מנורמל: ציון הסיכון של ישות הבסיס מנורמל בכל הישויות באמצעות נורמליזציה של מינימום-מקסימום.

הגדרות של ציון הסיכון

בדף Entity risk scores (ציוני סיכון של ישויות) אפשר להגדיר איך מחושבים ציוני הסיכון של ישויות, התראות וזיהויים. אתם יכולים להחיל משקולות על חישובים של ציון הסיכון של ישויות ולהגדיר ציוני סיכון של ברירת מחדל להתראות ולזיהוי. השינויים חלים רק על התראות וזיהויים חדשים, ויכול להיות שיחלפו עד 30 דקות לפני שהם ייכנסו לתוקף.

  • שקלול ציון הסיכון של ישות: השקלול מגדיר איך ציוני הסיכון של ההתראות והזיהוי משוקללים בחישובים של ציון הסיכון של הישות. המשקל הוא ערך בין 0 ל-1. הנוסחה לחישוב ציון הסיכון של ישות הבסיס מוגדרת באופן הבא:

    דירוג הסיכון של ישות הבסיס = (דירוג הסיכון המקסימלי של הממצא) + (משקל * (סכום דירוגי הסיכון הנותרים של הממצאים))

  • ציוני סיכון שמוגדרים כברירת מחדל להתראות: אפשר לציין את ציון הסיכון שמוגדר כברירת מחדל להתראות בדף הגדרות. ערך ברירת המחדל הוא 40. אפשר לשנות את ציוני הסיכון של התראות ספציפיות בכללים עצמם. ההגדרות האלה מקבלות עדיפות על פני הגדרות ברירת המחדל שנקבעו בדף ההגדרות.

  • ציוני סיכון שמוגדרים כברירת מחדל לגבי זיהויים: מציינים את ציון הסיכון שמוגדר כברירת מחדל לגבי זיהויים בדף הגדרות. ערך ברירת המחדל הוא 15. אפשר לשנות את ציוני הסיכון של זיהויים ספציפיים בכללים עצמם. ההגדרות האלה מקבלות עדיפות על פני הגדרות ברירת המחדל שמוגדרות בדף ההגדרות.

ניתוח סיכונים כמעט בזמן אמת ללקוחות Enterprise

החישוב המהיר הזה מאפשר לכם להשתמש בהתראות מבוססות-סיכון (RBA) כדי לעמוד ביעדים למדידת רמת השירות (SLOs) של התראות לארגונים, על ידי צמצום העיכוב בזיהוי נכסים שנפרצו והתגובה להם.

רזולוציית MRI לחישוב של ציון סיכונים ב-UEBA

לניתוח התנהגות משתמשים וישויות (UEBA), לוגיקת הרזולוציה של המדד הכי מהימן (MRI) מזהה את המזהה הסמכותי ביותר של ישות (לדוגמה, משתמש, נכס, קובץ או משאב) כשקיימים כמה מדדים. זהו תהליך שנדרש לאינדוקס ולחישוב של ציון סיכונים. כך אפשר לוודא שהסיכון משויך לזהות הכי יציבה שזמינה למשתמש במקורות נתונים שונים. כדי לזהות את האינדיקטור המהימן יותר, התהליך של MRI resolution כולל את השלבים הבאים:

  • עדיפות לפי סוג: לכל קטגוריית אינדיקטורים יש מיפוי פנימי של עדיפות, שבו ערכים גבוהים יותר מציינים מהימנות גבוהה יותר. לדוגמה, WINDOWS_SID (עדיפות 4) הוא מהימן יותר מטבעו מאשר Employee ID (עדיפות 1).
  • הכרעה במקרה של שוויון: אם לשני אינדיקטורים יש אותה עדיפות, המערכת משווה את השמות לתצוגה ואת מרחבי השמות שלהם כדי להחליט איזה אינדיקטור אמין יותר.

היררכיית האמינות בתוך סוגי ישויות

בהיררכיה הבאה מפורטים האינדיקטורים הזמינים, מהמהימנים ביותר (עדיפות 4) למהימנים פחות (עדיפות 0) בכל סוג ישות.

  1. אינדיקטורים של משתמשים
    1. Windows SID: עדיפות 4
    2. אימייל: עדיפות 3
    3. שם משתמש: עדיפות 2
    4. מזהה עובד: עדיפות 1
    5. מזהה אובייקט המוצר: עדיפות 0
  2. אינדיקטורים של נכסים
    1. שם מארח: שמות מארחים ברמה העליונה מקבלים עדיפות אם הם מוגדרים (עדיפות 4)
    2. כתובת MAC: עדיפות 3
    3. מזהה ספציפי למוצר או מזהה נכס: עדיפות 2
    4. כתובת ה-IP של הנכס: עדיפות 1
    5. מזהה אובייקט המוצר: עדיפות 0
  3. משאבים ואינדיקטורים כלליים
    1. שם המשאב: עדיפות 1
    2. מזהה אובייקט המוצר: עדיפות 0

פענוח של טווח MRI

היקף הרזולוציה של MRI מוגבל לסוגי הישויות הבאים:

  • ASSET_IP_ADDRESS
  • כתובת MAC, שם המארח
  • PRODUCT_SPECIFIC_ID
  • אימייל
  • שם משתמש
  • WINDOWS_SID
  • EMPLOYEE_ID
  • PRODUCT_OBJECT_ID.

אנחנו לא משתמשים ברזולוציית MRI עם אינדיקטורים של תהליכים וקבצים.

משתנה התוצאה risk_entity_to_score

משתנה התוצאה risk_entity_to_score מציין את הישות שצריך לתת לה ניקוד, ולא את השדה שבו צריך להציג את הניקוד. ‫Google SecOps תמיד מאחד את הסיכון במסגרת ה-MRI שזמין לישות שנבחרה כדי למנוע פיצול של הסיכון. עם זאת, אם אתם משתמשים במזהה שאינו MRI כדי לזהות ישות ב-risk_entity_to_score, ‏ Google SecOps מעדכן את ה-MRI של הישות הזו במקום את המזהה שצוין.

מידע נוסף זמין במאמר בנושא risk_entity_to_score outcome variable.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.