风险分析概览
风险分析用于识别异常行为,并了解实体对企业构成的潜在风险。在采用数据 RBAC 的系统中,只有具有全局范围的用户才能访问风险分析。“风险分析”信息中心包含“行为分析”部分和“监控名单”部分。“行为分析”部分会根据 Google Security Operations 实体的风险得分列出实体,“监控名单”部分会根据企业内部风险计算结果列出实体。
风险得分会用于整个 Google SecOps。这些得分的定义和功能因您使用的功能而异。
风险分析功能适用于企业版和企业 Plus 版许可,也可作为 Google SecOps SIEM 独立版许可的加购项提供。
风险分析中的实体、风险和发现结果
本部分定义了实体、风险和发现结果的概念,这些概念会显示在风险分析信息中心上。
实体:环境中资产或用户的上下文表示形式。与实体关联的所有事件都会提供有关实体风险程度的背景信息。如需了解详情,请参阅逻辑对象:事件和实体。
风险计算窗口:可让您更改信息中心的时间范围,以便查看不同时间段的数据。 例如,您可以使用较短的时间窗口发现暴力破解登录尝试,也可以通过设置较长的时间窗口来检查长期恶意活动。
已归一化:已归一化的得分介于 1 到 1000 之间,用于区分没有得分的实体与在风险窗口期内有检测结果的实体。
标准化趋势:自上一个窗口期以来,标准化实体风险得分的变化情况。
基本:基本得分的计算方式为:将风险窗口期内实体的所有发现结果(提醒和检测)的风险得分相加,并应用权重。
权重用于定义提醒和检测风险得分对实体风险得分计算的贡献程度。加权值介于 0 到 1 之间。
如果权重值为 1,则加权不会产生影响。所有其他值均为百分比(例如,0.5 等于 50%)。默认加权值为 .2,可在“设置”中更改。如需了解详情,请参阅实体风险得分权重。基本变化:自上一个窗口期以来,基本实体风险得分的变化。
在窗口期内首次/最后一次出现:相应实体在风险窗口期内首次或最后一次出现在发现结果(提醒或检测)中的时间戳。
风险分析中的发现结果
“发现结果”页面上使用了以下术语(点击实体表格中的实体可在“发现结果”页面中打开相应实体)。
发现结果:在风险窗口期内,包含此实体的发现结果(提醒和检测)数量。
严重程度:严重程度由来源在发现结果创建时设置。
优先级:优先级由来源在发现结果创建时设置。
风险得分:风险得分由来源在发现结果创建时设置。如果未设置风险得分,系统会使用提醒和检测的默认风险得分。提醒的默认风险得分为 40。检测的默认风险得分为 15。
风险得分计算
每个实体的风险得分计算基于发现的风险得分,并根据一组您可以指定的参数和一组由 Google SecOps 控制的参数进行修改。如需访问可控制的参数,请前往导航栏,然后依次点击设置 > 实体的风险得分:
已解决提醒系数:如果安全分析师将提醒标记为“已解决”,则该提醒的风险得分会乘以此浮点调节系数。范围为 0-1。默认值为 1。
默认检测风险得分:指定规则引擎中检测的风险得分。范围为 0-1000。默认值为 15。
以下参数由 Google SecOps 指定:
具有 TTL 的风险得分修改:基本实体风险得分会根据时间范围乘以一个放大系数。
无 TTL 的风险得分修改:检测风险得分通过乘数进行修改。
以下是用于计算风险评分和归一化风险评分的公式:
风险得分计算:(基本实体风险得分)=(发现结果的最高风险得分)+(权重 *(发现结果的其余风险得分总和))
标准化风险得分:基本实体风险得分已针对所有实体进行标准化处理。基本实体风险得分使用最小-最大标准化方法,范围为 1-1000。不包括风险为零的实体。
用于分配风险得分的实体优先顺序
在分配风险评分时,Google SecOps 会使用顶级名词类型 principal、src、target 和 about 的子集,并根据 user 和 asset 事件子类型的 别名字段分配风险评分。
Google SecOps 会为实体的最可靠别名分配风险评分。排名较高的别名字段优先用于确定和分配风险得分(1 为最高排名)。
对于 user 别名字段,Google SecOps 在分配风险评分时会使用以下排名:
windows_sidemail_addressesuseridemployee_idproduct_object_id
对于 asset 别名字段,Google SecOps 在分配风险评分时会使用以下排名:
hostnamemacasset_idipproduct_object_id
风险评分计算示例
以下内容介绍了如何计算实体的风险检测得分的完整序列:
- 输入:根据规则生成的检测结果会根据其基础指标进行分组。
- (可选)已解决提醒系数:如果检测风险得分是针对已解决的提醒,则该得分会乘以已解决提醒系数。
- (可选)默认风险得分修改 如果未在规则中明确设置,则应用默认检测风险得分。您可以在实体风险得分设置中更改默认的提醒或非提醒检测风险得分。
- (可选)复合检测修改:如果未使用 规则中的
$risk_entity_to_score关键字明确设置要评分的实体,则风险得分会归因于抽样事件和结果部分中的所有实体。 - 风险得分计算:将加权系数乘以所有检测结果(最高检测风险得分除外)的总和,然后加上最高检测风险得分。此值表示原始实体风险得分。
- 修改权重:原始实体风险得分会乘以修改权重。除非设置了 TTL,否则此修改是一次性操作。此值为基本实体风险得分。
- 监控列表权重:如果实体属于监控列表,则监控列表权重会添加到检测风险得分中。
- 标准化风险得分:使用最小-最大标准化方法对所有实体的基本实体风险得分进行标准化处理。
风险得分设置
您可以在实体风险得分页面中定义如何计算实体、提醒和检测的风险得分。您可以对实体风险得分的计算应用权重,并设置默认的提醒和检测风险得分。更改仅适用于新的提醒和检测,并且最长可能需要 30 分钟才能生效。
实体风险得分权重:权重用于定义在计算实体风险得分时,如何纳入提醒和检测风险得分。权重是一个介于 0 到 1 之间的值。基本实体风险得分的公式定义如下:
基本实体风险得分 =(发现结果的最高风险得分)+(加权值* [发现结果的其余风险得分总和])
提醒的默认风险得分:在设置页面中指定默认提醒风险得分。默认值为 40。您可以在规则本身中修改各个提醒的风险得分。这些设置会替换设置页面中配置的所有默认设置。
检测的默认风险得分:在设置页面中指定默认检测风险得分。默认值为 15。您可以在规则本身中修改各个检测风险得分。这些设置会覆盖设置页面中配置的所有默认设置。
为企业客户提供近乎实时的风险分析
这种快速重新计算功能可让您使用基于风险的提醒 (RBA) 来满足企业提醒服务等级目标 (SLO),方法是最大限度地减少在识别和响应可能遭入侵的资产方面的延迟。
UEBA 中风险评分的 MRI 分辨率
对于用户和实体行为分析 (UEBA),最可靠的指标 (MRI) 解析逻辑会在存在多个指标时,识别实体的最权威标识符(例如,用户、资产、文件或资源),这是进行索引和风险评分的必要流程。这样可确保将风险归因于用户在不同数据源中最稳定的身份。MRI 分辨率使用以下流程来确定更可靠的指标:
- 基于类型的优先级:每个指标类别都有一个内部优先级映射,其中值越高表示可靠性越高。例如,WINDOWS_SID(优先级为 4)在本质上比员工 ID(优先级为 1)更可靠。
- 打破僵局:如果两个指标的优先级相同,系统会比较它们的显示名称和命名空间,以确定哪个指标更可靠。
实体类型内的可靠性层次结构
以下层次结构列出了每种实体类型中可用的指标,从最可靠(优先级 4)到最不可靠(优先级 0)。
- 用户指标
- Windows SID:优先级 4
- 电子邮件:优先级 3
- 用户名:优先级 2
- 员工 ID:优先级 1
- 商品对象 ID:优先级 0
- 素材资源指示器
- 主机名:如果已配置,则优先考虑顶级主机名(优先级 4)
- MAC 地址:优先级 3
- 商品专用 ID 或素材资源 ID:优先级 2
- 资产 IP 地址:优先级 1
- 商品对象 ID:优先级 0
- 资源和通用指标
- 资源名称:优先级 1
- 商品对象 ID:优先级 0
MRI 范围解析
MRI 解决范围仅限于以下实体类型:
- ASSET_IP_ADDRESS
- MAC、主机名
- PRODUCT_SPECIFIC_ID
- 电子邮件
- 用户名
- WINDOWS_SID
- EMPLOYEE_ID
- PRODUCT_OBJECT_ID。
我们不会使用 MRI 分辨率来显示进程和文件指示器。
risk_entity_to_score 结果变量
risk_entity_to_score 结果变量指定的是要评分的实体,而不是显示得分的字段。Google SecOps 始终会根据所选实体的 MRI 整合风险,以防止风险分散。不过,如果您使用非 MRI 作为 risk_entity_to_score 中实体的标识符,Google SecOps 会更新相应实体的 MRI,而不是指定标识符的 MRI。
如需了解详情,请参阅 risk_entity_to_score 结果变量。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。