מדריך למתחילים בנושא ניתוח סיכונים

נתמך ב:

במאמר הזה נסביר איך להשתמש במרכז הבקרה של ניתוח הסיכונים כדי לזהות התנהגות חריגה ולהבין את הסיכון הפוטנציאלי שיש לישויות לארגון. במערכות שמשתמשות בבקרת גישה מבוססת-תפקיד (RBAC), רק משתמשים עם היקף גלובלי יכולים לגשת לניתוח הסיכונים. מידע נוסף זמין במאמר בנושא תפקידי משתמש.

לוח הבקרה Risk Analytics מורכב מהקטעים הבאים:

בחלון חישוב הסיכון בפינה השמאלית העליונה משתנה ציון הסיכון המחושב שמוצג בלוח הבקרה של ניתוח הסיכונים. אפשר לשנות את ההגדרה הזו בהתאם לסוג המתקפה שמחפשים. לדוגמה, כדי לראות יותר בבירור מתקפות של ניסוי וטעייה, אפשר להגדיר את חלון חישוב הסיכון ל24 שעות. כדי לראות מתקפה לטווח ארוך, מגדירים את חלון חישוב הסיכון ל-7 ימים.

כדי לראות את ציוני הסיכון הקודמים, בוחרים תאריך ושעה ספציפיים בבורר התאריכים שלצד חלון חישוב הסיכון. בגרף מוצגים הסיכונים של הישות שחושבו לחלון של 24 שעות או 7 ימים, שמסתיים בתאריך ובשעה שנבחרו.

לפני שמתחילים

כדי לעבור אל מרכז השליטה של ניתוח הסיכונים:

  1. בסרגל הניווט, לוחצים על זיהוי.
  2. בקטע זיהוי, לוחצים על ניתוח סיכונים.

ניתוח התנהגותי

ניתוח התנהגותי כולל:

הדף ניתוח התנהגותי כולל:

  • הקטע מדדי סיכום: תצוגה ברמה העליונה של מרכז הבקרה Risk Analytics, שמאפשרת לבדוק ישויות סיכון על סמך מודלים של סיכון ישויות ב-Google SecOps. אפשר לראות עד 10,000 ישויות בסיכום.
  • ישויות: טבלה שמשלימה את ציון הסיכון הקיים שמשמש למעקב אחרי הסיכון של ישות לאורך זמן, כמדד לתרחישי שימוש של זיהוי וכהקשר לחקירה. ישות היא ייצוג הקשרי של רכיבים בסביבה שלכם. דוגמאות לישויות הן חשבונות משתמשים, שרתים, מחשבים ניידים או טלפונים. אפשר לבצע Drill down לכל ישות על ידי לחיצה על שם הישות. הפעולה הזו תעביר אתכם לדף ניתוח ישויות.

מידע נוסף על ישויות זמין במאמר אובייקטים לוגיים: אירוע וישות. למידע נוסף על אופן החישוב של ציוני הסיכון, אפשר לעיין במאמר בנושא חישוב ציוני הסיכון.

ניתוח נתונים של ישויות

הדף Entity Analytics מורכב מחלון Event range בפינה השמאלית העליונה, מהקטע Findings Timeline ומטבלה מפורטת של Findings.

בחירת טווח זמן לניתוח הסיכונים

  1. בחלון Event range (טווח האירועים), בוחרים טווח זמן של עד 90 ימים (Last 3 months).
  2. בקטע בחירה, לוחצים על הצגת ניתוח הנתונים של הבחירה. ייפתח סרגל צד שבו מוצגים נתוני הניתוח שמשויכים לישות הזו בטווח הזמן שנבחר. כל ניתוח מציג צבירה של כל הערכים של הניתוח בטווח הזמן.
  3. לוחצים על הצגת פרטים נוספים כדי לפתוח את התצוגה המתאימה של ההתראות או של זיהוי האיומים. כשמזוהה ניתוח, הוא כולל רשימה של התראות וזיהויים קשורים שאפשר לבדוק לעומק.

צפייה בזיהויים מורכבים

בטבלה Detections מוצגות כל הזיהויים של ישות שהתרחשו בטווח הזמן שנבחר. התראה היא זיהוי מורכב אם:

  • בעמודה Inputs (קלט) מוצג Detection (זיהוי) כמקור.

  • בעמודה Detection type מוצגת התווית Alert או Detection עם מספר לידה (לדוגמה, Alert (3)).

המשמעות היא שזיהוי או שרשרת של זיהויים הפעילו את ההתראה, ולא אירועים או ישויות גולמיים בלבד.

אפשר לראות ולנתח את הזיהויים הבסיסיים האלה בטבלה Detections באמצעות התכונות הבאות:

  • מרחיבים את השורות כדי לראות זיהויים מוטמעים, נתוני אירועים משויכים ומידע על ישויות קשורות.

  • אפשר להתאים אישית את התצוגה באמצעות מנהל העמודות כדי לבחור ולסדר את העמודות בטבלה.

מידע נוסף מופיע במאמר בנושא חקירת התראה.

תרחישים לדוגמה

ריכזנו כאן כמה תרחישי שימוש בלוח הבקרה של ניתוח הסיכונים.

תרחיש שימוש 1: נפח הורדות גבוה

נפח הורדות גבוה של נתונים יוצר סיכון לדליפה של מידע סודי. ‫Google SecOps מחשב מספרים גבוהים של דירוג סיכון לישויות עם נפחי הורדה גבוהים.

תרחיש שימוש 2: מספר חשוד של ניסיונות התחברות כושלים

מספרים חשודים של ניסיונות כניסה כושלים מצביעים על כך שהאקר או תוכנה זדונית מנסים לקבל גישה לחשבון משתמש. Google SecOps יחשב מספרים גבוהים של ניקוד סיכון לישויות עם מספרים חשודים של ניסיונות כניסה כושלים. עם זאת, אם הפעולה הזו מתבצעת באופן פנימי, כחלק מבדיקות חדירה, אפשר לשנות את ניקוד הסיכון של הישות.

תרחיש שימוש 3: הודעה בתיבת דו-שיח שמתחזה ל-Google

הודעת דו-שיח שמתחזה ל-Google ומבקשת לעדכן את דפדפן Chrome מנסה לקבל גישה לחשבונות משתמשים. Google SecOps מחשבת מספרים גבוהים של ניקוד סיכון לישויות שבהן הודעות הדו-שיח האלה מזוהות בקוד.

המאמרים הבאים

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.