Tableau de bord "Analyse des risques"

Compatible avec:

Le tableau de bord Analyse des risques vous permet de visualiser votre environnement via un en fonction du risque. Visualiser les tendances de risque des entités vous aide à identifier les comportements inhabituels et à comprendre le risque potentiel que les entités représentent pour votre entreprise.

Le tableau de bord Analyse des risques répertorie les entités à risque et les facteurs de risque en détail. Sur les systèmes qui utilisent le RBAC des données, seuls les utilisateurs ayant un champ d'application global peuvent accéder l'analyse des risques. Pour en savoir plus, consultez la section Impact du RBAC des données sur l'analyse des risques.

Pour accéder au tableau de bord Analyse des risques, procédez comme suit :

  1. Dans la barre de navigation, cliquez sur Détection.
  2. Dans Détection, cliquez sur Analyse des risques.

Nombre d'entités, score de risque et table des entités

Le tableau de bord Analyse des risques n'affiche, en fonction des filtres choisis, que les 10 000 entités présentant le risque le plus élevé dans l'entreprise. Tous les graphiques et ne représentent que cet ensemble d'entités.

En haut à gauche, le graphique Nombre total d'entités indique le nombre d'entités. en cours de suivi dans votre entreprise avec un risque supérieur à 0. Entités avec une un score de risque de 0 sont toujours suivis, mais ils ne seront pas représentés dans ce graphique. Le nombre total est divisé entre Éléments et Utilisateurs :

Pour en savoir plus sur les entités, consultez Objets logiques: événements et Entité. Pour plus d'informations sur le calcul des scores de risque, consultez la section Score de risque le calcul.

Dans le tableau Entités, plusieurs colonnes sont associées au score de risque de l'entité :

Colonne Valeur
Nom de l'entité Nom de l'entité.
Type d'entité Type d'entité (élément ou utilisateur).
Normalisés Les scores normalisés sont calculés sur l'ensemble des entités, sur une échelle de 0 à 1 000 à l'aide de la normalisation min-max.
Modification du score normalisé Variation du score de risque normalisé de l'entité depuis la fenêtre précédente de calcul des risques.
Tendance du score normalisé Augmentation ou diminution du pourcentage de variation du score de risque normalisé par rapport à la période de risque précédente.
Couches Le score de risque de base de l'entité est égal au score de risque de résultat maximal plus la pondération multipliée par la somme des scores de risque des résultats restants.

La pondération par défaut est 0,2 et peut être modifiée dans les paramètres.
Modification du score de base Variation du score de risque de base de l'entité par rapport à la période précédente de calcul des risques.
Tendance du score de base Augmentation ou diminution de la variation en pourcentage du score de risque de base par rapport à la période de risque précédente.
Nombre de résultats Nombre de résultats (alertes et détections) comprenant cette entité pendant la période de calcul du risque.
Première apparition pendant la période Code temporel du moment où l'entité est apparue pour la première fois dans un résultat (alerte ou détection) pendant la période de calcul du risque.
Dernière apparition pendant la période Code temporel du moment où l'entité est apparue pour la dernière fois dans un résultat (alerte ou détection) pendant la période de calcul du risque.

Ajuster la période de calcul des risques

Le risque calculé qu'une entité représente change en fonction de la période examinée. Modifier le paramètre Risk Calculation Window (Fenêtre de calcul des risques) en haut (sélectionnez 24 heures ou 7 jours) pour modifier le score de risque calculé est affiché ici. Vous pouvez modifier ce paramètre en fonction du type d'attaque que vous recherchez. Par exemple, la force brute sont plus évidentes si vous définissez la fenêtre de calcul des risques sur 24 Heures. Des périodes plus longues vous permettent de détecter les attaques à long terme.

Les scores de risque des entités varient en fonction de la période de calcul des risques sélectionnée. Les scores de risque des entités sont calculés en fonction des résultats générés au cours du fenêtre de risque.

Affiner votre recherche avec des filtres rapides

Les filtres rapides vous permettent d'affiner votre recherche en n'affichant que les résultats pertinents pour vos besoins spécifiques.

Pour utiliser les filtres rapides dans le tableau de bord Analyse des risques, procédez comme suit:

  1. Cliquez sur filter_alt au-dessus du tableau Entités. La fenêtre Filtres s'affiche.
  2. Sélectionnez l'une des colonnes:
    • Nombre de résultats
    • Score de risque normalisé des entités
    • Tendance normalisée du risque lié aux entités
    • Type
  3. Sélectionnez Afficher uniquement ou Filtrer.
  4. Sélectionnez une valeur (vous pouvez sélectionner plusieurs valeurs pour étendre la plage):
    • Nombre de résultats : valeurs comprises entre 0 et plus de 1 000.
    • Score de risque normalisé de l'entité: valeurs comprises entre 0 et 1 000.
    • Tendance de risque normalisé de l'entité : pourcentages compris entre moins de -99 % et plus de 199 %.
    • Type : sélectionnez Éléments ou Utilisateurs.
  5. (Facultatif) Pour ajouter d'autres filtres, cliquez sur Ajouter un filtre et répétez cette étape de l'étape 2.
  6. Une fois les filtres configurés, cliquez sur Appliquer.

Par exemple, si vous sélectionnez Tendance normalisée du risque de l'entité, sélectionnez Afficher uniquement et cochez >199% uniquement pour les entités présentant un risque d'entité normalisé. supérieure à 199% sont affichées.

Enquêter sur une entité à l'aide de la page d'entité

Pour examiner une entité, procédez comme suit :

  1. Faites défiler la colonne Nom de l'entité ou utilisez la barre de recherche pour trouver entité.
  2. Cliquez sur l'entité que vous souhaitez examiner.

La page de l'entité s'ouvre. Cette page vous permet d'examiner uniquement les résultats associées à cette entité unique. Le graphique Chronologie des résultats en haut de la page suit les scores de risque des entités et les résultats au fil du temps. Ce graphique est composé de des métriques précalculées affichées sous forme de graphique linéaire pour montrer les tendances au fil du temps. Les anomalies peuvent être considérées comme des pics sur le graphique linéaire. Sous le graphique se trouve Tableau des résultats, qui indique les événements et les activités de l'entité sélectionnée auxquelles il a été associé.

En bas à droite, un panneau réductible Afficher les détails de l'entité contient un résumé des détails importants sur l'entité sélectionnée. Pour effectuer une un examen détaillé de l'entité sélectionnée, cliquez sur Afficher les détails de l'entité pour l'entité dans la vue Asset ou Utilisateur selon que la est respectivement un élément ou un utilisateur. Pour en savoir plus, consultez la section une entité de type "actif" ou Enquêter sur un utilisateur

Examiner une entité à l'aide de l'analyse des entités

L’analyse d’entités offre aux analystes SOC et aux chasseurs de menaces une vue détaillée du comportement d'une entité, y compris son profil de référence, les anomalies et des enrichissements contextuels.

Sur la page de l'entité, sélectionnez une période pouvant aller jusqu'à 90 jours sur la page Résultats chronologie, puis cliquez sur Afficher les données analytiques de la sélection. Une barre latérale s'ouvre qui présente les données analytiques associées à cette entité dans les période. Chaque analyse affiche un agrégat de toutes les valeurs analytiques au cours de la période. Lorsqu'il est détecté, un outil d'analyse inclut une liste les alertes et les détections. Vous pouvez les examiner plus en détail en cliquant sur Afficher plus pour ouvrir la vue Alertes ou Détection correspondante. Pour plus d'informations, consultez la section Examiner une alerte.

Les données analytiques d'entité suivantes sont fournies:

  • Nombre de noms d'événements d'alerte
  • Tentatives d'authentification réussies
  • Échec des tentatives d'authentification
  • Nombre total de tentatives d'authentification
  • Octets DNS sortants
  • Échec des requêtes DNS
  • Requêtes DNS réussies
  • Nombre total de requêtes DNS
  • Exécutions de fichiers réussies
  • Échec des exécutions de fichiers
  • Nombre total d'exécutions de fichiers
  • Réussite des requêtes HTTP
  • Échec des requêtes HTTP
  • Total des requêtes HTTP
  • Octets réseau entrants
  • Octets réseau sortants
  • Nombre total d'octets réseau
  • Nombre total de tentatives d'authentification Workspace
  • Total d'e-mails Workspace envoyés
  • Octets réseau sortants de l'espace de travail
  • Nombre total d'octets réseau Workspace
  • Actions de modification totale de l'espace de travail
  • Nombre total d'actions de téléchargement Workspace

Modifier un score de risque d'entité

Lorsque des informations ou des événements externes affectent le risque réel d'une entité, vous pouvez mettre à jour son score de risque.

Par exemple, vous pouvez réduire temporairement le score de risque d'un employé qui vient de terminé un exercice Red Team (comme les tests d’intrusion) afin que les analystes perdre du temps à rechercher pourquoi cet employé avait une augmentation des risques. Toi peut également augmenter temporairement le score de risque d'un employé impliqué dans une une affaire judiciaire.

  1. Dans le tableau Entités de la page Analyse des risques, conservez les pointer sur la colonne tout à droite de la ligne. Vous devrez peut-être faire défiler l'écran vers la droite. Cliquez sur more_vert.

    et sélectionnez Mettre à jour le score de risque de l'entité.

  2. Dans la boîte de dialogue Mettre à jour le score de risque de l'entité, configurez les valeurs de suivantes:

    • Facteur de multiplication: permet d'augmenter ou de réduire le risque score d'une entité avec un facteur de multiplication de 0,0 - 100,0. Pour exemple, si vous avez découvert de nouvelles preuves sur une entité qui rend l'entité deux fois plus risquée, remplacez le coefficient multiplicateur par 50, reflètent le véritable facteur de risque de l'entité.
    • Période: période au cours de laquelle le facteur de multiplication est appliquée. Vous pouvez sélectionner Maintenant ou une durée comprise entre 1 jour et 14 jours. Si vous sélectionnez Maintenant, le facteur de multiplication est appliqué au score de risque de l'entité pour la période de calcul du risque actuelle. Existant uniquement les alertes et les détections sont incluses dans le calcul. Lorsque la période sélectionnée se termine, le score de risque de l'entité est mis à jour s'arrêter et le score de risque revient à la normale.
    • Motif: permet de fournir aux autres utilisateurs davantage de contexte concernant pourquoi cette mise à jour a été effectuée. Sélectionnez l'une des options suivantes: Nouveau preuves, score de risque incorrect, profil de risque modifié, Exigences de conformité ou Autre.

Si vous tentez d'apporter une modification qui a déjà été effectuée (par exemple, veulent mettre à jour le facteur de multiplication d'une entité à 25%, mais un autre membre de l'équipe a déjà effectué cette modification), une boîte de dialogue s'affiche pour vous indiquer que la modification a déjà été effectuée. les modifications déjà apportées, y compris des informations sur l'auteur et la date de la modification.

Afficher les mises à jour du score de risque dans les détails de l'entité

Vous pouvez afficher toutes les mises à jour du score de risque pour une entité dans le profil d'entité. .

  1. Cliquez sur l'entité dont vous souhaitez afficher l'historique des mises à jour du score de risque pour l'ouvrir. la page Profil de l'entité.
  2. Dans le graphique chronologique des événements, chaque fois qu'une personne modifie le risque de l'entité est indiqué par Libellé Modification du score de risque en texte blanc.
  3. Maintenez le pointeur sur le texte pour afficher une boîte de dialogue contenant la date, l'utilisateur et le motif de la modification.

Listes de suivi

La page Listes de surveillance vous permet de surveiller des entités spécifiques de l'ensemble pour les entreprises.

  1. Dans la barre de navigation de gauche, cliquez sur Détection.
  2. Dans Détection, cliquez sur Analyse des risques.
  3. Cliquez sur l'onglet Listes.

Ajouter une liste de valeurs suivies

Pour ajouter une liste de surveillance à votre compte Google Security Operations, procédez comme suit : étapes. Vous pouvez configurer jusqu'à 200 listes de surveillance.

  1. Cliquez sur Créer une liste.
  2. Indiquez un nom de liste.
  3. (Facultatif) Spécifiez une description.
  4. (Facultatif) Spécifiez un facteur de multiplication compris entre 0 et 100. La valeur par défaut est 1.
  5. (Facultatif) Spécifiez les entités dans la partie droite de la fenêtre après les Section Ajouter des entités à une liste de surveillance. Toi pouvez ajouter ici les types d'entités suivants:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Cliquez sur Créer une liste.

Épingler une liste

  1. Cliquez sur Modifier l'affichage.
  2. Cochez la case à côté de la liste que vous souhaitez épingler.
  3. Cliquez sur Enregistrer.

Retirer une liste des valeurs suivies

  1. Dans le tableau de bord Mes listes, sélectionnez la liste que vous souhaitez retirer. et sélectionnez more_vert .
  2. Cliquez sur Supprimer de l'affichage.

Modifier une liste des valeurs suivies

  1. Dans le tableau de bord Listes de surveillance, sélectionnez la liste que vous souhaitez modifier, puis cliquez sur l'icône more_vert.
  2. Cliquez sur Modifier la liste.

Supprimer une liste des valeurs suivies

  1. Dans le tableau de bord Listes, sélectionnez la liste que vous souhaitez supprimer, puis cliquez sur more_vert .
  2. Cliquez sur Supprimer la liste.

Ajouter des entités à une liste de surveillance

Pour ajouter des entités à une liste de surveillance, vous devez spécifier le nom, le type et (facultatif) ligne par ligne dans l'un des formats suivants.

  • NAME,TYPE

  • NAME, TYPE et NAMESPACE

    TYPE peut être :

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE ne peut être spécifié que pour les types d'entités d'éléments suivants :

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Exemple :

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Cet exemple représente deux entités ajoutées à la liste de surveillance : l'adresse IP d'un élément 205.148.5.0 et un nom d'hôte website.com sous l'espace de noms chronicle. Vous pouvez ajouter jusqu'à 10 000 entités à une liste de surveillance.

Supprimer des entités d'une liste de surveillance

Pour supprimer des entités d'une liste de surveillance, supprimez les lignes qui les représentent à supprimer, puis cliquez sur Enregistrer.

Modifier les paramètres du score de risque

La page Score de risque des entités vous permet de définir comment les scores de risque sont calculés pour les entités, les alertes et les détections. Cette page vous permet d'adapter la mesure du risque calculé en fonction des besoins uniques de votre recherche.

Vous pouvez mettre à jour trois champs de la page Score de risque d'entité:

Pour modifier l'un de ces paramètres, procédez comme suit :

  1. Dans la barre de navigation, sélectionnez Paramètres > Scores de risque des entités.
  2. Mettez à jour les scores de risque en conséquence.
  3. Cliquez sur Enregistrer. Lorsque vous revenez à la page principale Analyse des risques, vous s'affiche en haut de l'écran pour confirmer qu'une modification au score de risque de l'entité.
  4. (Facultatif) Pour réinitialiser l'une de ces valeurs, cliquez sur Réinitialiser à droite de la valeur.

Les mises à jour ne s'appliqueront qu'aux nouvelles alertes et détections. Cette opération peut prendre jusqu'à minutes pour que les modifications soient prises en compte.

Pondération du score de risque de l'entité

La pondération définit la façon dont les scores de risque des alertes et des détections contribuent aux calculs du score de risque des entités. La pondération est une valeur comprise entre 0 et 1.La valeur par défaut est 0,2.

Voici quelques exemples de l'impact de différents chiffres sur le score de risque d'une entité calcul:

  • Pondération du score de risque de l'entité 0. Le score de risque brut est le score de risque maximal score de risque de détection parmi toutes les détections pour l'entité.
  • Pondération du score de risque de l'entité 1. Le score de risque brut correspond à la somme de tous les scores de risque de détection de l'entité.
  • Pondération du score de risque de l'entité 0.5. Le score de risque donne tout le poids à la détection avec le score de risque maximal pour l'entité et la moitié de la pondération pour toutes les autres détections.

Score de risque par défaut pour les détections

Score de risque par défaut pour les détections vous permet d'attribuer une valeur par défaut aux scores de risque des détections. Les scores de risque de détection sont utilisés pour calculer le risque des entités scores. Les scores de risque pour les détections sont définis lorsqu'une règle est écrite. Si non le score de risque est défini dans la règle, la valeur par défaut est utilisée. Score par défaut est de 15 et la plage du score de risque est comprise entre 0 et 100.

Score de risque par défaut pour les alertes

Comme pour le champ Score de risque par défaut pour les détections, ce champ vous permet d'attribuer une valeur par défaut aux scores de risque des alertes. Si aucun score de risque n'est défini dans la règle, la valeur par défaut de 40 est utilisée. La plage de scores de risque est comprise entre 0 et 1 000.

Pour plus d'informations sur la définition du score de risque dans une règle, consultez la section Résultat syntaxe.

Coefficient d'alerte clôturée

Le coefficient d'alerte fermé modifie le score de risque des alertes marquées comme fermées. par les analystes. Il s'agit d'un modificateur à virgule flottante compris entre 0 et 1 inclus. La valeur par défaut est 1,0, ce qui signifie que toutes les alertes ouvertes et fermées conservent leur score d'origine. Si le coefficient d'alerte de fermeture a une valeur de 0,0, toutes les reçoivent un score de risque de 0 et n'augmentent plus le score de risque l'entité dans son ensemble.