Visão geral da análise de risco

Compatível com:

A análise de risco é usada para identificar comportamentos incomuns e entender o risco potencial que as entidades representam para sua empresa. Em sistemas que usam RBAC de dados, apenas usuários com escopo global podem acessar a análise de risco. O painel de análise de risco consiste em uma seção de análise comportamental, que lista entidades de acordo com as pontuações de risco das entidades do Google Security Operations, e uma seção de lista de observação, que lista entidades de acordo com cálculos internos de risco empresarial.

As pontuações de risco são usadas em todo o Google SecOps. A definição e a função dessas pontuações variam de acordo com o recurso que você está usando.

A análise de risco está disponível com as licenças Enterprise e Enterprise Plus ou como um complemento de uma licença independente do Google SecOps SIEM.

Entidades, riscos e descobertas na análise de dados de risco

Esta seção define os conceitos de entidades, risco e descobertas apresentados no painel de Análise de risco.

  • Entidades: representação contextual de um recurso ou usuário no seu ambiente. Todos os eventos associados a entidades fornecem contexto sobre o nível de risco delas. Para mais informações, consulte Objetos lógicos: evento e entidade.

  • Janela de cálculo de risco: permite mudar o período do painel para analisar dados em diferentes períodos. Por exemplo, é possível descobrir tentativas de login por força bruta usando a janela de tempo mais curta ou examinar atividades maliciosas de longo prazo definindo a janela de tempo mais longa.

  • Normalizado: as pontuações normalizadas são definidas entre 1 e 1.000 para distinguir as entidades sem pontuações daquelas que têm detecções na janela de risco.

  • Tendência normalizada: mudança na pontuação de risco normalizada da entidade desde a janela anterior.

  • Base: as pontuações de base são calculadas somando as pontuações de risco em descobertas (alertas e detecções) de uma entidade durante a janela de risco com ponderação aplicada.

    A ponderação define como as pontuações de risco de alerta e detecção contribuem para os cálculos da pontuação de risco da entidade. A ponderação pode ter um valor de 0 a 1.
    Se o valor de ponderação for 1, ela não terá impacto. Todos os outros valores são porcentagens (por exemplo, 0,5 é igual a 50%). O valor padrão de ponderação é 0,2 e pode ser alterado em "Configurações". Para mais informações, consulte Ponderação da pontuação de risco da entidade.

  • Mudança na base: mudança na pontuação de risco da entidade básica desde a janela anterior.

  • Primeira/última vez na janela: carimbo de data/hora correspondente a quando a entidade apareceu pela primeira ou última vez em uma descoberta (alerta ou detecção) no período especificado na janela de risco.

Descobertas na análise de risco

Os termos a seguir são usados na página "Descobertas". Clique em uma entidade na tabela para abrir a página.

  • Descobertas: número de descobertas (alertas e detecções) que incluem essa entidade no período da janela de risco.

  • Gravidade: a gravidade é definida pela origem quando uma descoberta é criada.

  • Prioridade: definida pela origem quando uma descoberta é criada.

  • Pontuação de risco: as pontuações de risco são definidas pela origem quando uma descoberta é criada. Se as pontuações de risco não forem definidas, será usada a pontuação padrão para alertas e detecções. A pontuação de risco padrão para alertas é 40. A pontuação de risco padrão para detecções é 15.

.

Cálculo da pontuação de risco

O cálculo da pontuação de risco para cada entidade é baseado na pontuação de risco dos resultados e é modificado com base em um conjunto de parâmetros que você pode especificar e um conjunto de parâmetros controlados pelo Google SecOps. Para acessar os parâmetros que você pode controlar, vá até a barra de navegação e clique em Configurações > Pontuações de risco da entidade:

  • Coeficiente de alerta fechado: se os analistas de segurança marcarem um alerta como fechado, ele será multiplicado por esse modificador de ponto flutuante. O intervalo é de 0 a 1. O valor padrão é 1.

  • Pontuação de risco padrão da detecção: especifique a pontuação de risco para detecções no mecanismo de regras. O intervalo é de 0 a 1.000. O valor padrão é 15.

Os seguintes parâmetros são especificados pelo Google SecOps:

  • Modificação da pontuação de risco com TTL: a pontuação de risco básica da entidade é modificada por um fator de multiplicação para o período.

  • Modificação da pontuação de risco sem TTL: a pontuação de risco de detecção é modificada com um fator de multiplicação.

Estas são as fórmulas usadas para calcular a pontuação de risco e a pontuação de risco normalizada:

  • Cálculo da pontuação de risco: (Pontuação de risco básica da entidade) = (Pontuação de risco máxima da descoberta) + (Ponderação * (Soma das pontuações de risco restantes das descobertas))

  • Pontuação de risco normalizada: as pontuações de risco básicas da entidade são normalizadas em todas as entidades. A pontuação de risco básica da entidade usa a normalização min-max e varia de 1 a 1.000. Entidades com risco zero não são incluídas.

Precedência de entidade para atribuir pontuação de risco

Ao atribuir a pontuação de risco, o Google SecOps usa um subconjunto dos tipos de substantivos de nível superior principal, src, target e about, e atribui uma pontuação de risco de acordo com os campos alias dos subtipos de evento user e asset.

O Google SecOps atribui a pontuação de risco ao alias mais confiável de uma entidade. O campo de alias com a classificação mais alta tem precedência para determinar e atribuir a pontuação de risco (1 é a classificação mais alta).

Para campos de alias user, o Google SecOps usa o seguinte ranking ao atribuir a pontuação de risco:

  1. windows_sid
  2. email_addresses
  3. userid
  4. employee_id
  5. product_object_id

Para campos de alias asset, o Google SecOps usa o seguinte ranking ao atribuir a pontuação de risco:

  1. hostname
  2. mac
  3. asset_id
  4. ip
  5. product_object_id

Exemplo de cálculo da pontuação de risco

A seguir, descrevemos a sequência completa de como uma pontuação de detecção de risco é calculada para uma entidade:

  1. Entrada: as detecções geradas por regras são agrupadas com base nos indicadores subjacentes.
  2. (Opcional) Coeficiente de alerta fechado: se a pontuação de risco de detecção for de um alerta fechado, ela será multiplicada pelo coeficiente de alerta fechado.
  3. (Opcional) Modificação da pontuação de risco padrão: se não for definida explicitamente em uma regra, a pontuação de risco de detecção padrão será aplicada. As pontuações de risco de detecção padrão com ou sem alertas podem ser mudadas nas configurações de pontuações de risco da entidade.
  4. (Opcional) Modificação de detecções compostas: se uma entidade a ser pontuada não for definida explicitamente usando a palavra-chave $risk_entity_to_score em uma regra, a pontuação de risco será atribuída a todas as entidades dos eventos amostrados e da seção de resultado.
  5. Cálculo da pontuação de risco: o fator de ponderação é multiplicado pela soma de todas as detecções (exceto a pontuação de risco máxima de detecção) e adicionado à pontuação de risco máxima de detecção. Esse valor representa a pontuação de risco da entidade bruta.
  6. Ponderação da modificação: a pontuação de risco bruta da entidade é multiplicada pela ponderação da modificação. Essa modificação é uma operação única, a menos que um TTL seja definido. Esse valor é a pontuação de risco básica da entidade.
  7. Ponderação da lista de interesses: se uma entidade fizer parte de uma lista de interesses, a ponderação dela será adicionada à pontuação de risco de detecção.
  8. Pontuação de risco normalizada: a pontuação de risco básica da entidade é normalizada em todas as entidades usando a normalização min-max.

Configurações da pontuação de risco

Na página Pontuações de risco da entidade, você define como as pontuações de risco são calculadas para entidades, alertas e detecções. Você pode usar a ponderação nos cálculos da pontuação de risco da entidade e definir o alerta e a detecção padrão dessas pontuações. As mudanças vão valer somente para detecções e alertas novos e podem levar até 30 minutos para serem aplicadas.

  • Ponderação da pontuação de risco da entidade: a ponderação define como as pontuações de risco de alerta e detecção são incluídas nos cálculos da pontuação de risco da entidade. A ponderação é um valor de 0 a 1. A fórmula para a pontuação de risco básica da entidade é definida da seguinte maneira:

    Pontuação de risco básica da entidade = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas))

  • Pontuações de risco padrão para alertas: especifique a pontuação de risco padrão do alerta na página Configurações. O padrão é 40. É possível modificar as pontuações de risco de alertas individuais nas próprias regras. Elas substituem os padrões configurados na página Configurações.

  • Pontuações de risco padrão para detecções: especifique a pontuação de risco padrão na página Configurações. O padrão é 15. É possível modificar as pontuações de risco de detecção individuais nas próprias regras. Elas substituem os padrões configurados na página Configurações.

Análise de risco quase em tempo real para clientes empresariais

Esse recálculo rápido permite usar alertas com base em risco (RBA) para atender aos objetivos de nível de serviço (SLOs) de alerta empresarial, minimizando o atraso na identificação e resposta a ativos provavelmente comprometidos.

Resolução de MRI para pontuação de risco na UEBA

Para a análise de comportamento do usuário e de entidades (UEBA), a lógica de resolução do indicador mais confiável (MRI, na sigla em inglês) identifica o identificador mais confiável de uma entidade (por exemplo, um usuário, um recurso, um arquivo ou um recurso) quando vários indicadores estão presentes, um processo necessário para indexação e pontuação de risco. Isso garante que o risco seja atribuído à identidade mais estável disponível para um usuário em diferentes fontes de dados. A resolução de MRI usa os seguintes processos para identificar o indicador mais confiável:

  • Prioridade com base no tipo: cada categoria de indicador tem um mapa de prioridade interna em que valores mais altos indicam maior confiabilidade. Por exemplo, WINDOWS_SID (prioridade 4) é inerentemente mais confiável do que ID do funcionário (prioridade 1).
  • Desempate: se dois indicadores tiverem a mesma prioridade, o sistema vai comparar os nomes de exibição e os namespaces para decidir qual deles é mais confiável.

Hierarquia de confiabilidade nos tipos de entidade

A hierarquia a seguir lista os indicadores disponíveis, do mais confiável (prioridade 4) ao menos confiável (prioridade 0) em cada tipo de entidade.

  1. Indicadores do usuário
    1. SID do Windows: prioridade 4
    2. Email: priority 3
    3. Nome de usuário: prioridade 2
    4. ID do funcionário: prioridade 1
    5. ID do objeto de produto: prioridade 0
  2. Indicadores de recursos
    1. Nome do host: nomes de host de nível superior priorizados se configurados (prioridade 4)
    2. Endereço MAC: prioridade 3
    3. ID do produto ou ID do recurso: prioridade 2
    4. Endereço IP do recurso: prioridade 1
    5. ID do objeto de produto: prioridade 0
  3. Recursos e indicadores genéricos
    1. Nome do recurso: prioridade 1
    2. ID do objeto de produto: prioridade 0

Resolução do escopo de RM

O escopo da resolução de MRI é restrito aos seguintes tipos de entidade:

  • ASSET_IP_ADDRESS
  • MAC, HOSTNAME
  • PRODUCT_SPECIFIC_ID
  • EMAIL
  • NOME DE USUÁRIO
  • WINDOWS_SID
  • EMPLOYEE_ID
  • PRODUCT_OBJECT_ID.

Não usamos a resolução de ressonância magnética com indicadores de processo e arquivo.

Variável de resultado risk_entity_to_score

A variável de resultado risk_entity_to_score especifica a entidade a ser pontuada, não o campo em que a pontuação será exibida. O Google SecOps sempre consolida o risco no MRI disponível para a entidade selecionada para evitar a fragmentação de risco. No entanto, se você usar um identificador que não seja um MRI para uma entidade em risk_entity_to_score, o Google SecOps vai atualizar o MRI dessa entidade em vez do identificador especificado.

Para mais informações, consulte variável de resultado risk_entity_to_score.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.