Panoramica del punteggio di rischio
I punteggi di rischio vengono utilizzati in tutte le operazioni di sicurezza di Google. La definizione e la funzione di questi punteggi variano a seconda della funzionalità utilizzata.
Risk Analytics è disponibile con licenze Enterprise ed Enterprise Plus o come un componente aggiuntivo di una licenza Google SecOps SIEM standalone.
Entità in Analisi dei rischi
Questa sezione definisce i concetti di entità, rischio e risultati così come sono presentati nella scheda Analisi del rischio dashboard.
Entità: rappresentazione contestuale di una risorsa o di un utente nel tuo completamente gestito di Google Cloud. Tutti gli eventi associati alle entità forniscono il contesto su quanto sia rischiosa l'entità. Per ulteriori informazioni, consulta Oggetti logici: evento e Persona giuridica.
Finestra di calcolo del rischio: consente di modificare il periodo di tempo per l'intervallo di tempo. che ti consente di esaminare i dati relativi a periodi di tempo diversi. Ad esempio, puoi scoprire i tentativi di accesso di forza bruta utilizzando il modello più breve finestra temporale o esaminare le attività dannose a lungo termine impostando più finestra temporale.
Normalizzato: i punteggi normalizzati sono impostati tra 1 e 1000 per distinguere i le entità senza punteggi delle entità che hanno rilevamenti all'interno finestra di rischio.
Tendenza normalizzata: variazione del punteggio di rischio dell'entità normalizzato rispetto alla finestra precedente.
Di base: i punteggi di base vengono calcolati sommando i punteggi di rischio dei risultati (avvisi e rilevamenti) per un'entità durante la finestra di rischio con l'applicazione della ponderazione. Se il valore della ponderazione è 1, la ponderazione non avrà alcun impatto. Per ulteriori informazioni, consulta la sezione sul rischio relativo all'entità qual..
Modifica di base: modifica del punteggio di rischio di base dell'entità rispetto alla precedente finestra.
Primo/ultimo rilevamento nella finestra: timestamp corrispondente al momento in cui l'entità è stato rilevato per la prima volta o per l'ultima volta in un risultato (avviso o rilevamento) per il periodo di tempo specificato nella finestra di rischio.
Risultati nell'analisi del rischio
Nella pagina del profilo dell'entità vengono utilizzati i termini seguenti (fai clic su un'entità nella per aprirlo nella pagina del profilo dell'entità).
Ricerca: numero di risultati (avvisi e rilevamenti) che includono per il periodo di tempo della finestra di rischio.
Gravità: la gravità è impostata dall'origine quando viene creato un risultato.
Priorità: la priorità viene impostata dalla sorgente quando viene creato un risultato.
Punteggio di rischio: i punteggi di rischio vengono impostati dalla sorgente quando viene creato un risultato. Se i punteggi di rischio non sono impostati, viene utilizzato il punteggio di rischio predefinito per gli avvisi e i rilevamenti. Il punteggio di rischio predefinito per gli avvisi è 40. Il valore predefinito il punteggio di rischio per i rilevamenti è 15.
Calcolo del punteggio di rischio
Il calcolo del punteggio di rischio per ogni entità si basa sul punteggio di rischio dei risultati e viene modificato in base a un insieme di parametri che puoi specificare e a un insieme di parametri controllati da Google Security Operations. I parametri che puoi controllare sono accessibili andando sulla barra di navigazione e facendo clic su Impostazioni > Entità di rischio:
Coefficiente di avviso chiuso: se gli analisti della sicurezza contrassegnano un avviso come chiusa, viene moltiplicata per questo modificatore con rappresentazione in virgola mobile. L'intervallo è 0-1. Il valore predefinito è 1.
Punteggio di rischio del rilevamento predefinito: specifica il punteggio di rischio per i rilevamenti in il motore delle regole. L'intervallo è 0-1000. Il valore predefinito è 15.
I seguenti parametri sono specificati da Google Security Operations:
Modifica del punteggio di rischio con TTL: il punteggio di rischio di base dell'entità è modificato di un fattore di moltiplicazione per l'intervallo di tempo.
Modifica del punteggio di rischio senza TTL: il punteggio di rischio del rilevamento è stato modificato con un fattore di moltiplicazione.
Di seguito sono riportate le formule utilizzate per calcolare il punteggio di rischio e punteggio di rischio normalizzato:
Calcolo del punteggio di rischio: (punteggio di rischio dell'entità di base) = (Punteggio di rischio massimo) per il risultato) + (Ponderazione * (Somma dei punteggi di rischio rimanenti per risultati))
Punteggio di rischio normalizzato: i punteggi di rischio di base dell'entità sono normalizzati in tutti le entità. Il punteggio di rischio di base dell'entità utilizza la normalizzazione min-max e gli intervalli da 1 a 1000. Le entità con rischio zero non sono incluse.
Esempio: calcolo del punteggio di rischio
Di seguito viene descritta la sequenza completa di come viene determinato il punteggio di rilevamento del rischio. calcolati per un'entità:
- Ingresso: i rilevamenti vengono raggruppati per indicatore.
- (Facoltativo) Coefficiente di avviso chiuso: se il punteggio di rischio del rilevamento riguarda un avviso chiuso, il punteggio viene moltiplicato per il coefficiente di avviso chiuso.
- (Facoltativo) Modifica del punteggio di rischio predefinito Se non è impostato in modo esplicito in viene applicato il punteggio di rischio predefinito per il rilevamento. I punteggi di rischio di rilevamento con avviso o senza avviso predefiniti possono essere modificati nelle impostazioni dei punteggi di rischio delle entità.
- Calcolo del punteggio di rischio: il fattore di ponderazione viene moltiplicato per la somma di tutti i rilevamenti (ad eccezione del punteggio di rischio massimo del rilevamento), quindi aggiunti fino al punteggio di rischio massimo di rilevamento. Questo valore rappresenta l'entità non elaborata e il punteggio di rischio.
- Ponderazione della modifica: il punteggio di rischio dell'entità non elaborata viene moltiplicato per il valore di peso della modifica. Questa modifica è un'operazione una tantum, a meno che non sia un TTL è impostata. Questo valore è il punteggio di rischio di base dell'entità.
- Peso della lista di titoli: se un'entità fa parte di una lista di titoli, la lista di titoli peso viene aggiunto al punteggio di rischio del rilevamento.
- Punteggio di rischio normalizzato: il punteggio di rischio di base dell'entità è normalizzato su tutte le entità che usano la normalizzazione min-max.
Impostazioni punteggio di rischio
La pagina Punteggi di rischio delle entità consente di definire il modo in cui vengono calcolati i punteggi di rischio per entità, avvisi e rilevamenti. Puoi applicare la ponderazione al rischio dell'entità dei punteggi e impostare punteggi di rischio di avviso e rilevamento predefiniti. Solo modifiche si applicano a nuovi avvisi e rilevamenti e l'applicazione potrebbe richiedere fino a 30 minuti.
Ponderazione del punteggio di rischio delle entità: la ponderazione definisce il modo in cui gli avvisi e il rilevamento i punteggi di rischio vengono presi in considerazione nei calcoli del punteggio di rischio delle entità. La ponderazione è un da 0 a 1. La formula del punteggio di rischio di base dell'entità è definita come segue: che segue:
Punteggio di rischio dell'entità di base = (Punteggio di rischio massimo per il risultato) + (Ponderazione * (Somma dei punteggi di rischio rimanenti per i risultati)
Punteggi di rischio predefiniti per gli avvisi: specifica il punteggio di rischio predefinito per gli avvisi nella pagina Impostazioni. Il valore predefinito è 40. Puoi modificare un singolo avviso i punteggi di rischio nelle regole stesse. Queste impostazioni sostituiscono i valori predefiniti configurati nella pagina Impostazioni.
Punteggi di rischio predefiniti per i rilevamenti: specifica il rischio di rilevamento predefinito nella pagina Impostazioni. Il valore predefinito è 15. Puoi modificare singole il rilevamento dei punteggi di rischio nelle regole stesse. Queste hanno la priorità su eventuali impostazioni predefinite configurate nella pagina Impostazioni.