Ringkasan Analisis Risiko

Didukung di:

Analisis Risiko digunakan untuk mengidentifikasi perilaku yang tidak biasa dan memahami potensi risiko yang ditimbulkan entity terhadap perusahaan Anda. Pada sistem yang menggunakan RBAC data, hanya pengguna dengan cakupan global yang dapat mengakses analisis risiko. Dasbor Analisis Risiko terdiri dari bagian Analisis Perilaku, yang mencantumkan entity menurut skor risiko Entity Google Security Operations, dan bagian Daftar Pantauan, yang mencantumkan entity menurut penghitungan risiko perusahaan internal.

Skor risiko digunakan di seluruh Google SecOps. Definisi dan fungsi skor ini bervariasi bergantung pada fitur yang Anda gunakan.

Analisis Risiko tersedia dengan lisensi Enterprise dan Enterprise Plus, atau sebagai add-on untuk lisensi mandiri Google SecOps SIEM.

Entity, risiko, dan temuan di Analisis Risiko

Bagian ini menjelaskan konsep entity, risiko, dan temuan seperti yang ditampilkan di dasbor Analisis Risiko.

  • Entitas: Representasi kontekstual aset atau pengguna di lingkungan Anda. Semua peristiwa yang terkait dengan entity memberikan konteks tentang seberapa berisiko entity tersebut. Untuk mengetahui informasi selengkapnya, lihat Objek logis: Peristiwa dan Entity.

  • Periode penghitungan risiko: Memungkinkan Anda mengubah jangka waktu untuk dasbor, sehingga Anda dapat melihat data dalam jangka waktu yang berbeda. Misalnya, Anda dapat menemukan upaya login brute force menggunakan jangka waktu yang lebih pendek atau memeriksa aktivitas berbahaya jangka panjang dengan menetapkan jangka waktu yang lebih panjang.

  • Ternormalisasi: Skor yang dinormalisasi ditetapkan antara 1-1000 untuk membedakan entity tanpa skor dari entity yang memiliki deteksi dalam periode risiko.

  • Tren yang dinormalisasi: Perubahan skor risiko entity yang dinormalisasi sejak periode sebelumnya.

  • Dasar: Skor dasar dihitung dengan menambahkan skor risiko di seluruh temuan (pemberitahuan dan deteksi) untuk entity selama periode risiko dengan pembobotan yang diterapkan.

    Pembobotan menentukan bagaimana skor risiko pemberitahuan dan deteksi berkontribusi pada penghitungan skor risiko entity. Pembobotan dapat menggunakan nilai dari 0-1.
    Jika nilai pembobotan adalah 1, pembobotan tidak akan berdampak. Semua nilai lainnya adalah persentase (misalnya, 0,5 sama dengan 50%). Nilai pembobotan default adalah 0,2 dan dapat diubah di Setelan. Untuk mengetahui informasi selengkapnya, lihat Pembobotan skor risiko entity.

  • Perubahan dasar: Perubahan skor risiko entity dasar sejak periode sebelumnya.

  • Pertama/terakhir terlihat dalam periode: Stempel waktu yang sesuai dengan kapan entity pertama atau terakhir terlihat dalam temuan (pemberitahuan atau deteksi) untuk jangka waktu yang ditentukan dalam periode risiko.

Temuan di Analisis Risiko

Istilah berikut digunakan di halaman Temuan (klik entity di tabel entity untuk membukanya di halaman Temuan).

  • Temuan: Jumlah temuan (pemberitahuan dan deteksi) yang menyertakan entity ini untuk jangka waktu dalam periode risiko.

  • Tingkat Keparahan: Tingkat keparahan ditetapkan menurut sumber saat temuan dibuat.

  • Prioritas: Prioritas ditetapkan menurut sumber saat temuan dibuat.

  • Skor Risiko: Skor risiko ditetapkan menurut sumber saat temuan dibuat. Jika skor risiko tidak ditetapkan, skor risiko default untuk pemberitahuan dan deteksi akan digunakan. Skor risiko default untuk pemberitahuan adalah 40. Skor risiko default untuk deteksi adalah 15.

Penghitungan skor risiko

Penghitungan skor risiko untuk setiap entity didasarkan pada skor risiko temuan dan diubah berdasarkan serangkaian parameter yang dapat Anda tentukan dan serangkaian parameter yang dikontrol oleh Google SecOps. Parameter yang dapat Anda kontrol dapat diakses dengan membuka panel navigasi dan mengklik Setelan > Skor risiko entity:

  • Koefisien pemberitahuan tertutup: Jika analis keamanan menandai pemberitahuan sebagai tertutup, pemberitahuan tersebut akan dikalikan dengan pengubah floating point ini. Rentangnya adalah 0-1. Nilai default adalah 1.

  • Skor risiko deteksi default: Tentukan skor risiko untuk deteksi di mesin aturan. Rentangnya adalah 0-1000. Nilai default adalah 15.

Parameter berikut ditentukan oleh Google SecOps:

  • Modifikasi skor risiko dengan TTL: Skor risiko entity dasar diubah oleh faktor perkalian untuk rentang waktu.

  • Modifikasi skor risiko tanpa TTL: Skor risiko deteksi diubah dengan faktor perkalian.

Berikut adalah rumus yang digunakan untuk menghitung skor risiko dan skor risiko yang dinormalisasi:

  • Penghitungan skor risiko: (Skor risiko entity dasar) = (Skor risiko maksimum untuk temuan) + (Pembobotan * (Jumlah skor risiko yang tersisa untuk temuan))

  • Skor risiko yang dinormalisasi: Skor risiko entity dasar dinormalisasi di semua entity. Skor risiko entity dasar menggunakan normalisasi min-maks dan berkisar antara 1-1000. Entity dengan risiko nol tidak disertakan.

Prioritas entity untuk menetapkan skor risiko

Saat menetapkan skor risiko, Google SecOps menggunakan subset jenis kata benda tingkat atas principal, src, target, dan about—dan menetapkan skor risiko menurut kolom alias dari subjenis peristiwa user dan asset.

Google SecOps menetapkan skor risiko ke alias entity yang paling andal. Kolom alias dengan peringkat yang lebih tinggi akan diprioritaskan untuk menentukan dan menetapkan skor risiko (1 adalah peringkat tertinggi).

Untuk kolom alias user, Google SecOps menggunakan peringkat berikut saat menetapkan skor risiko:

  1. windows_sid
  2. email_addresses
  3. userid
  4. employee_id
  5. product_object_id

Untuk kolom alias asset, Google SecOps menggunakan peringkat berikut saat menetapkan skor risiko:

  1. hostname
  2. mac
  3. asset_id
  4. ip
  5. product_object_id

Contoh penghitungan skor risiko

Berikut ini menjelaskan urutan lengkap cara penghitungan skor deteksi risiko untuk entity:

  1. Input: Deteksi yang dihasilkan oleh aturan dikelompokkan berdasarkan indikator dasarnya.
  2. (Opsional) Koefisien pemberitahuan tertutup: Jika skor risiko deteksi adalah untuk pemberitahuan tertutup, skor akan dikalikan dengan koefisien pemberitahuan tertutup.
  3. (Opsional) Modifikasi Skor Risiko default Jika tidak ditetapkan secara eksplisit dalam aturan, skor risiko deteksi default akan diterapkan. Skor risiko deteksi pemberitahuan atau non-pemberitahuan default dapat diubah di setelan skor risiko entity.
  4. (Opsional) Modifikasi Deteksi Gabungan: Jika entity yang akan diberi skor tidak ditetapkan secara eksplisit menggunakan kata kunci $risk_entity_to_score dalam aturan, skor risiko akan dikaitkan dengan semua entity dari peristiwa yang diambil sampelnya dan bagian hasil.
  5. Penghitungan skor risiko: Faktor pembobotan dikalikan dengan jumlah semua deteksi (kecuali skor risiko deteksi maksimum), lalu ditambahkan ke skor risiko deteksi maksimum. Nilai ini mewakili skor risiko entity mentah.
  6. Bobot modifikasi: Skor risiko entity mentah dikalikan dengan bobot modifikasi. Modifikasi ini adalah operasi satu kali, kecuali jika TTL ditetapkan. Nilai ini adalah skor risiko entity dasar.
  7. Bobot daftar pantauan: Jika entity adalah bagian dari daftar pantauan, bobot daftar pantauan akan ditambahkan ke skor risiko deteksi.
  8. Skor risiko yang dinormalisasi: Skor risiko entity dasar dinormalisasi di semua entity menggunakan normalisasi min-maks.

Setelan skor risiko

Halaman Skor risiko entity memungkinkan Anda menentukan cara penghitungan skor risiko untuk entity, pemberitahuan, dan deteksi. Anda dapat menerapkan pembobotan pada penghitungan skor risiko entity dan menetapkan skor risiko pemberitahuan dan deteksi default. Perubahan hanya berlaku untuk pemberitahuan dan deteksi baru dan dapat memerlukan waktu hingga 30 menit agar diterapkan.

  • Pembobotan skor risiko entity: Pembobotan menentukan bagaimana skor risiko pemberitahuan dan deteksi diperhitungkan dalam penghitungan skor risiko entity. Pembobotan adalah nilai dari 0 hingga 1. Rumus untuk skor risiko entity dasar ditentukan sebagai berikut:

    Skor risiko entity dasar = (Skor risiko maksimum untuk temuan) + (Pembobotan * (Jumlah skor risiko yang tersisa untuk temuan))

  • Skor risiko default untuk Pemberitahuan: Tentukan skor risiko pemberitahuan default di halaman Setelan. Nilai defaultnya adalah 40. Anda dapat mengubah skor risiko pemberitahuan satu per satu dalam aturan itu sendiri. Tindakan ini akan mengganti nilai default yang dikonfigurasi di halaman Setelan.

  • Skor risiko default untuk Deteksi: Tentukan skor risiko deteksi default di halaman Setelan. Nilai defaultnya adalah 15. Anda dapat mengubah skor risiko deteksi satu per satu dalam aturan itu sendiri. Tindakan ini akan mengganti nilai default yang dikonfigurasi di halaman Setelan.

Analisis risiko hampir real-time untuk pelanggan Enterprise

Penghitungan ulang yang cepat ini memungkinkan Anda menggunakan pemberitahuan berbasis risiko (RBA) untuk memenuhi sasaran tingkat layanan (SLO) pemberitahuan perusahaan dengan meminimalkan penundaan dalam mengidentifikasi dan merespons aset yang kemungkinan disusupi.

Resolusi MRI untuk penilaian risiko di UEBA

Untuk Analisis Perilaku Pengguna dan Entity (UEBA), logika resolusi Indikator Paling Andal (MRI) mengidentifikasi ID yang paling berwenang untuk entity (misalnya, pengguna, aset, file, atau resource) saat ada beberapa indikator, sebuah proses yang diperlukan untuk pengindeksan dan penilaian risiko. Hal ini memastikan bahwa risiko dikaitkan dengan identitas paling stabil yang tersedia untuk pengguna di berbagai sumber data. Resolusi MRI menggunakan proses berikut untuk mengidentifikasi indikator yang lebih andal:

  • Prioritas berbasis jenis: Setiap kategori indikator memiliki peta prioritas internal dengan nilai yang lebih tinggi menunjukkan keandalan yang lebih besar. Misalnya, WINDOWS_SID (prioritas 4) secara inheren lebih andal daripada ID Karyawan (prioritas 1).
  • Pemecahan hasil imbang: Jika dua indikator memiliki prioritas yang sama, sistem akan membandingkan nama tampilan dan namespace-nya untuk memutuskan indikator mana yang lebih andal.

Hierarki keandalan dalam jenis entity

Hierarki berikut mencantumkan indikator yang tersedia dari yang paling andal (prioritas 4) hingga yang paling tidak andal (prioritas 0) dalam setiap jenis entity.

  1. Indikator Pengguna
    1. Windows SID: prioritas 4
    2. Email: prioritas 3
    3. Nama pengguna: prioritas 2
    4. ID Karyawan: prioritas 1
    5. ID objek produk: prioritas 0
  2. Indikator Aset
    1. Nama host: Nama host tingkat atas diprioritaskan jika dikonfigurasi) (prioritas 4)
    2. Alamat MAC: prioritas 3
    3. ID khusus produk atau ID Aset: prioritas 2
    4. Alamat IP aset: prioritas 1
    5. ID objek produk: prioritas 0
  3. Indikator Resource dan Umum
    1. Nama resource: prioritas 1
    2. ID objek produk: prioritas 0

Resolusi cakupan MRI

Cakupan resolusi MRI dibatasi untuk jenis entity berikut:

  • ASSET_IP_ADDRESS
  • MAC, HOSTNAME
  • PRODUCT_SPECIFIC_ID
  • EMAIL
  • USERNAME
  • WINDOWS_SID
  • EMPLOYEE_ID
  • PRODUCT_OBJECT_ID.

Kami tidak menggunakan resolusi MRI dengan indikator proses dan file.

Variabel hasil risk_entity_to_score

Variabel hasil risk_entity_to_score menentukan entity yang akan diberi skor, bukan kolom untuk menampilkan skor. Google SecOps selalu menggabungkan risiko di bawah MRI yang tersedia untuk entity yang dipilih guna mencegah fragmentasi risiko. Namun, jika Anda menggunakan non-MRI sebagai ID untuk entity di risk_entity_to_score, Google SecOps akan memperbarui MRI untuk entity tersebut, bukan untuk ID yang ditentukan.

Untuk mengetahui informasi selengkapnya, lihat variabel hasil risk_entity_to_score.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.