風險分析總覽

支援的國家/地區:

風險分析用於找出異常行為,並瞭解實體對企業造成的潛在風險。在採用資料 RBAC 的系統中,只有具備全域範圍的使用者可以存取風險分析。風險分析資訊主頁包含行為分析部分,會根據 Google Security Operations 實體風險分數列出實體,以及監控清單部分,會根據內部企業風險計算列出實體。

風險分數會用於整個 Google SecOps。這些分數的定義和功能會因使用的功能而異。

風險分析功能適用於 Enterprise 和 Enterprise Plus 授權,或可做為 Google SecOps SIEM 獨立授權的加購項目。

風險分析中的實體、風險和發現

本節定義實體、風險和發現項目的概念,這些概念會顯示在風險分析資訊主頁上。

  • 實體:環境中資產或使用者的脈絡表示法。與實體相關聯的所有事件都會提供實體風險程度的背景資訊。詳情請參閱「邏輯物件:事件和實體」。

  • 風險計算時間範圍:可變更資訊主頁的時間範圍,以便查看不同時間範圍的資料。舉例來說,您可以設定較短的時間範圍,找出蠻力登入嘗試,或是設定較長的時間範圍,檢查長期惡意活動。

  • 正規化:正規化分數介於 1 到 1000 之間,可區分沒有分數的實體,以及在風險期間內有偵測結果的實體。

  • 正規化趨勢:正規化實體風險分數自上一個期間以來的變化。

  • 基本:基本分數的計算方式為:將風險期間內實體發現項目 (警告和偵測項目) 的風險分數加總,並套用權重。

    權重會定義警告和偵測項目風險分數在實體風險分數計算中的影響。權重值介於 0 到 1 之間。
    如果權重值為 1,權重不會有任何影響。其他值皆為百分比 (例如 .5 等於 50%)。預設權重值為 .2,您可以在「設定」中變更這個數字。詳情請參閱實體風險評分權重

  • 基本變化:基本實體風險分數自上一個期間以來的變化。

  • 期間內首次/最後一次出現:時間戳記,對應於實體在風險期間內,首次或最後一次出現在發現項目 (警告或偵測項目) 的時間。

風險分析中的發現項目

「發現項目」頁面會使用下列術語 (按一下實體表格中的實體,即可在「發現項目」頁面中開啟)。

  • 發現項目:在風險計算期間,含有這個實體的發現項目 (警告和偵測項目) 數量。

  • 嚴重性:發現項目建立時,會依據來源設定嚴重性。

  • 優先順序:發現項目建立時,會依據來源設定優先順序。

  • 風險分數:發現項目建立時,會依據來源設定風險分數。 如果未設定風險分數,系統會使用快訊和偵測項目的預設風險分數。系統會為警示指派預設風險分數 40 分。偵測項目的預設風險分數為 15 分。

風險分數計算

每個實體的風險分數計算依據是調查結果的風險分數,並根據您可指定的一組參數和 Google SecOps 控制的一組參數進行調整。如要控管參數,請前往導覽列,然後依序點選「設定」>「實體風險分數」

  • 已結案快訊係數:如果安全分析師將快訊標示為已結案,系統會將快訊的風險分數乘以這個浮點數調整係數。範圍為 0 到 1。預設值為 1。

  • 預設偵測項目風險分數:在規則引擎中指定偵測項目的風險分數。範圍為 0 到 1000。預設值為 15。

Google SecOps 會指定下列參數:

  • 使用 TTL 修改風險分數:基本實體風險分數會根據時間範圍的乘數進行調整。

  • 沒有 TTL 的風險分數修改:偵測項目風險分數會以乘數修改。

以下是計算風險分數和標準化風險分數的公式:

  • 風險分數計算:(基本實體風險分數) = (發現項目的風險分數上限) + (權重 * (剩餘發現項目的風險分數總和))

  • 正規化風險分數:所有實體的基本實體風險分數都會經過正規化。基本實體風險分數會使用最小值與最大值正規化法,範圍落在 1 到 1000。不含風險為零的實體。

指派風險分數的實體優先順序

指派風險分數時,Google SecOps 會使用頂層名詞類型 principalsrctargetabout 的子集,並根據 userasset 事件子類型的別名欄位指派風險分數。

Google SecOps 會將風險分數指派給實體最可靠的別名。系統會優先採用排名較高的別名欄位,判斷並指派風險分數 (1 為最高排名)。

對於 user 別名欄位,Google SecOps 會依下列排名指派風險分數:

  1. windows_sid
  2. email_addresses
  3. userid
  4. employee_id
  5. product_object_id

對於 asset 別名欄位,Google SecOps 會依下列排名指派風險分數:

  1. hostname
  2. mac
  3. asset_id
  4. ip
  5. product_object_id

風險分數計算範例

以下說明實體的風險偵測分數計算完整順序:

  1. 輸入:系統會根據規則產生的偵測項目所依據的指標,將這些偵測項目分組。
  2. (選用) 已結案警告係數:如果偵測項目風險分數是針對已結案的警告,系統會將分數乘以已結案警告係數。
  3. (選用) 修改預設風險分數:如果規則中未明確設定,系統會套用預設偵測風險分數。您可以在實體風險分數設定中,變更預設警告或非警告偵測項目風險分數。
  4. (選用) 複合式偵測修改:如果未在規則中使用 $risk_entity_to_score 關鍵字明確設定要評估的實體,系統會將風險分數歸因於取樣事件和結果部分的所有實體。
  5. 風險分數計算:將權重因子乘以所有偵測項目的總和 (最高偵測風險分數除外),然後加上最高偵測風險分數。這個值代表實體的原始風險分數。
  6. 修改權重:原始實體風險分數會乘以修改權重。除非設定 TTL,否則這項修改作業只會執行一次。這個值是基本實體風險分數。
  7. 觀察清單權重:如果實體屬於觀察清單,系統會將觀察清單權重加到偵測風險分數。
  8. 正規化風險分數:使用最小值與最大值正規化法,將所有實體的基本實體風險分數正規化。

風險分數設定

您可以在「實體風險分數」頁面中,定義實體、快訊和偵測項目的風險分數計算方式。您可以為計算出的實體風險分數加權,並設定預設快訊和偵測項目風險分數。變更只會套用至新的快訊和偵測項目,最多可能需要 30 分鐘才會生效。

  • 實體風險分數權重:權重會定義計算實體風險分數時,警告和偵測項目風險分數的權重。權重是介於 0 到 1 的值。基本實體風險分數的公式定義如下:

    基本實體風險分數 = (發現項目的風險分數上限) + (權重 * (剩餘發現項目的風險分數總和))

  • 警告的預設風險分數:在「設定」頁面中指定預設警告風險分數。預設值為 40。您可以在規則中修改個別快訊風險分數。這些設定會覆寫「設定」頁面中設定的所有預設值。

  • 偵測項目的預設風險分數:在「設定」頁面中指定預設偵測項目風險分數。預設值為 15。您可以在規則中修改個別偵測風險分數。這些設定會覆寫「設定」頁面中設定的所有預設值。

企業客戶可使用近乎即時的風險分析

這項快速重新計算功能可讓您使用風險警示 (RBA) 達成企業警示服務等級目標 (SLO),盡量縮短識別及回應可能遭入侵資產的時間。。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。