Panel de control de Analíticas de riesgos

Disponible en:

El panel de control Analíticas de riesgos te permite ver tu entorno desde una perspectiva basada en riesgos. Visualizar las tendencias de riesgo de las entidades te ayuda a identificar comportamientos inusuales y a comprender el riesgo potencial que suponen las entidades para tu empresa.

El panel de control Analíticas de riesgo muestra las entidades en riesgo y los detalles de los factores de riesgo. En los sistemas que usan RBAC de datos, solo los usuarios con ámbito global pueden acceder a las analíticas de riesgos. Para obtener más información, consulta el artículo sobre el impacto del control de acceso basado en roles de datos en la analítica de riesgos.

Para acceder al panel de control Analíticas de riesgos, siga estos pasos:

  1. En la barra de navegación, haz clic en Detección.
  2. En Detección, haga clic en Analíticas de riesgo.

Número de entidades, puntuación de riesgo y tabla de entidades

El panel de control Analíticas de riesgo muestra, en función de los filtros elegidos, solo las 10.000 entidades con el riesgo más alto de la empresa. Todos los gráficos y tablas del panel de control representan únicamente este conjunto de entidades.

El gráfico Número total de entidades de la parte superior izquierda muestra el número de entidades de tu empresa que se están monitorizando y que tienen un riesgo superior a 0. Las entidades con una puntuación de riesgo de 0 se siguen monitorizando, pero no se representan en este gráfico. El recuento total se divide entre Recursos y Usuarios.

Para obtener más información sobre las entidades, consulta Objetos lógicos: evento y entidad. Para obtener más información sobre cómo se calculan las puntuaciones de riesgo, consulta la sección Cálculo de la puntuación de riesgo.

En la tabla Entidades, hay varias columnas relacionadas con la puntuación de riesgo de la entidad:

Columna Valor
Nombre de la entidad Nombre de la entidad.
Tipo de entidad Tipo de entidad (recurso o usuario).
Normalizada Las puntuaciones normalizadas se calculan en todas las entidades, en función de una escala de 0 a 1000 y con una normalización de tipo mínimo-máximo.
Cambio normalizado Cambio que ha sufrido la puntuación normalizada de riesgo de la entidad desde el periodo de cálculo de riesgo anterior.
Tendencia normalizada Aumento o disminución del cambio porcentual de la puntuación de riesgo normalizada en comparación con el periodo de riesgo anterior.
Base La puntuación base de riesgo de la entidad es igual a la puntuación máxima de riesgo del hallazgo más la ponderación multiplicada por la suma del resto de las puntuaciones de riesgo de hallazgos.

El valor predeterminado de la ponderación es 0,2 y se puede cambiar en Configuración.
Cambio base Cambio que ha sufrido la puntuación base de riesgo de la entidad desde el periodo de cálculo de riesgo anterior.
Tendencia base Aumento o disminución del cambio porcentual de la puntuación de riesgo base en comparación con el periodo de riesgo anterior.
Número de hallazgos Número de hallazgos (alertas y detecciones) que incluyen esta entidad durante el periodo de cálculo de riesgo.
Primera detección en el periodo Marca de tiempo en la que la entidad se ha detectado por primera vez en un hallazgo (alerta o detección) durante el periodo de cálculo de riesgo.
Última detección en el periodo Marca de tiempo en la que la entidad se ha detectado por última vez en un hallazgo (alerta o detección) durante el periodo de cálculo de riesgo.

Ajustar la ventana de cálculo de riesgos

El riesgo calculado que supone una entidad cambia en función del periodo que se esté analizando. Si cambia el ajuste Periodo de cálculo de riesgo de la parte superior derecha (seleccione Periodo de 24 horas o Periodo de 7 días), cambiará la puntuación de riesgo calculada que se muestra aquí. Puede que quieras cambiar este ajuste en función del tipo de ataque que estés buscando. Por ejemplo, los ataques de fuerza bruta son más evidentes si se establece el periodo de cálculo del riesgo en 24 horas. Los periodos más largos te permiten detectar ataques a largo plazo. Las puntuaciones de riesgo de entidades cambian según el periodo de cálculo de riesgo seleccionado.

Las puntuaciones de riesgo de las entidades se vuelven a calcular varias veces al día para las ventanas retrospectivas de 24 horas y de 7 días, en función de los hallazgos generados en esos periodos. El panel de control de riesgos proporciona las puntuaciones de riesgo calculadas más recientemente. También puede ver el historial de las puntuaciones de riesgo seleccionando una fecha y una hora concretas en el selector de fechas situado junto al ajuste "Periodo de cálculo de riesgo". Se mostrarán los riesgos de las entidades calculados para el periodo de 24 horas o 7 días que finaliza en la fecha y hora elegidas.

Acotar la búsqueda con filtros rápidos

Los filtros rápidos te permiten acotar la búsqueda mostrando solo los resultados relevantes para tus necesidades específicas.

Para usar los filtros rápidos en el panel de control Analíticas de riesgo, siga estos pasos:

  1. Encima de la tabla Entidades, haz clic en filter_alt . Aparecerá la ventana Filtros.
  2. Selecciona una de las columnas:
    • Número de hallazgos
    • Puntuación normalizada de riesgo de la entidad
    • Tendencia normalizada de riesgo de la entidad
    • Tipo
  3. Selecciona Mostrar solo o Excluir.
  4. Seleccione un valor (puede seleccionar más de uno para ampliar el intervalo):
    • Número de resultados: valores comprendidos entre 0 y más de 1000.
    • Puntuación normalizada de riesgo de la entidad: valores del 0 al 1000.
    • Tendencia normalizada de riesgo de la entidad: porcentajes que van desde menos del -99 % hasta más del 199%.
    • Tipo: selecciona Recursos o Usuarios.
  5. (Opcional) Para añadir más filtros, haz clic en Añadir filtro y repite este proceso desde el paso 2.
  6. Cuando hayas terminado de configurar los filtros, haz clic en Aplicar.

Por ejemplo, si selecciona Tendencia normalizada de riesgo de la entidad, Mostrar solo y >199%, solo se mostrarán las entidades cuyo cambio de riesgo de entidad normalizado sea superior al 199 %.

Investigar una entidad mediante la página de la entidad

Para investigar una entidad, sigue estos pasos:

  1. Desplázate por la columna Nombre de la entidad o usa la barra de búsqueda para encontrar una entidad.
  2. Haz clic en la entidad que quieras investigar.

Se abrirá la página de la entidad. En esta página, puede consultar solo los resultados asociados a esa entidad. El gráfico Cronología de hallazgos de la parte superior registra las puntuaciones de riesgo de las entidades y los hallazgos a lo largo del tiempo. Este gráfico se compone de métricas precalculadas que se muestran en formato de gráfico de líneas para mostrar las tendencias a lo largo del tiempo. Las anomalías se pueden ver como picos en el gráfico de líneas. Debajo del gráfico se encuentra la tabla Resultados, que muestra los eventos y las actividades con los que se ha asociado la entidad seleccionada.

En la parte inferior derecha, hay un panel Ver detalles de la entidad que se puede contraer y que contiene un resumen de los detalles importantes de la entidad seleccionada. Para completar un análisis detallado de la entidad seleccionada, haga clic en Ver detalles de la entidad para verla en la vista Recurso o Usuario, según si la entidad es un recurso o un usuario, respectivamente. Para obtener más información, consulta Investigar una entidad de recurso o Investigar a un usuario.

Investigar una entidad con analíticas de entidades

El análisis de entidades proporciona a los analistas de SOC y a los cazadores de amenazas una vista detallada del comportamiento de una entidad, incluido su perfil de referencia, las anomalías y los enriquecimientos contextuales.

En la página de la entidad, selecciona un periodo de hasta 90 días en la cronología de las detecciones y haz clic en Ver analíticas de la selección. Se abrirá una barra lateral que muestra las analíticas asociadas a esta entidad en el periodo seleccionado. Cada analítica muestra un agregado de todos los valores analíticos del periodo. Cuando se detecta una analítica, se incluye una lista de alertas y detecciones relacionadas que se pueden examinar con más detalle haciendo clic en Ver más para abrir la vista Alertas o Detección correspondiente. Para obtener más información, consulta Investigar una alerta.

Se proporcionan las siguientes analíticas de entidades:

  • Recuento de nombres de eventos de alerta
  • Intentos de autenticación correctos
  • Los intentos de autenticación fallan
  • Total de intentos de autenticación
  • Bytes salientes de DNS
  • Las consultas de DNS fallan
  • Consultas de DNS correctas
  • Total de consultas de DNS
  • File Executions Success
  • File Executions Fail
  • Total de ejecuciones de archivos
  • Consultas HTTP correctas
  • Las consultas HTTP fallan
  • Consultas HTTP totales
  • Bytes de red entrantes
  • Bytes de red salientes
  • Bytes de red totales
  • Total de intentos de autenticación de Workspace
  • Total de correos de Workspace enviados
  • Bytes de red de salida de Workspace
  • Total de bytes de red de Workspace
  • Acciones de cambio totales del espacio de trabajo
  • Total de acciones de descarga de Workspace

Modificar una puntuación de riesgo de entidad

Cuando la información o los eventos externos afecten al riesgo real de una entidad, puede actualizar su puntuación de riesgo.

Por ejemplo, puedes reducir temporalmente la puntuación de riesgo de un empleado que acaba de terminar un ejercicio de equipo rojo (como una prueba de penetración) para que los analistas no tengan que perder tiempo investigando por qué ha aumentado el riesgo de ese empleado. También puedes aumentar temporalmente la puntuación de riesgo de un empleado implicado en un caso judicial.

  1. En la tabla Entidades de la página Analíticas de riesgo, coloca el cursor sobre la columna situada más a la derecha de la fila. Es posible que tengas que desplazarte hacia la derecha en la pantalla. Haz clic en more_vert.

    y selecciona Actualizar puntuación de riesgo de la entidad.

  2. En el cuadro de diálogo Actualizar puntuación de riesgo de la entidad, configura los valores de lo siguiente:

    • Factor de multiplicación: te permite aumentar o reducir la puntuación de riesgo de una entidad con un factor de multiplicación de 0,0 a 100,0. Por ejemplo, si has descubierto nuevas pruebas sobre una entidad que hacen que sea el doble de arriesgada, actualiza el factor de multiplicación a 50 para reflejar el factor de riesgo real de la entidad.
    • Periodo: periodo durante el que se aplica el factor de multiplicación. Puedes seleccionar Ahora o un periodo de entre 1 día y 14 días. Si seleccionas Ahora, el factor de multiplicación se aplica a la puntuación de riesgo de entidad durante el periodo de cálculo de riesgo actual. Solo las alertas y detecciones existentes se incluirán en el cálculo. Cuando acabe el periodo seleccionado, dejarán de aplicarse actualizaciones a la puntuación de riesgo de entidad y esta volverá a la normalidad.
    • Motivo: te permite dejar más contexto a otros usuarios sobre por qué se ha hecho este cambio. Elige una de las siguientes opciones: Nueva prueba, Puntuación de riesgo incorrecta, Perfil de riesgo modificado, Requisitos de cumplimiento u Otro.

Si intentas hacer un cambio que ya se ha hecho (por ejemplo, quieres actualizar el factor de multiplicación de una entidad al 25%, pero otro miembro del equipo ya ha hecho ese cambio), aparecerá un cuadro de diálogo que indica que el cambio ya se ha hecho, con información sobre quién lo ha hecho y cuándo.

Ver las actualizaciones de la puntuación de riesgo en los detalles de la entidad

Puedes ver todas las actualizaciones de la puntuación de riesgo de una entidad en la página Perfil de entidad.

  1. Haz clic en la entidad cuyo historial de actualizaciones de la puntuación de riesgo quieras ver para abrir la página Perfil de entidad.
  2. En el gráfico cronológico de eventos, cada vez que alguien ha cambiado la puntuación de riesgo de la entidad, se indica con la etiqueta Modificación de la puntuación de riesgo en texto blanco.
  3. Mantén el puntero sobre el texto para que se muestre un cuadro de diálogo con la fecha, el usuario y el motivo del cambio.

Listas de seguimiento

La página Listas de seguimiento le permite monitorizar entidades específicas de toda su empresa.

  1. En la barra de navegación de la izquierda, haga clic en Detección.
  2. En Detección, haga clic en Analíticas de riesgo.
  3. Haz clic en la pestaña Listas de seguimiento.

Añadir una lista de seguimiento

Para añadir una lista de seguimiento a tu cuenta de Google Security Operations, sigue estos pasos. Puedes configurar hasta 200 listas de seguimiento.

  1. Haz clic en Crear lista de seguimiento.
  2. Especifica un nombre para la lista de seguimiento.
  3. (Opcional) Especifica una descripción.
  4. (Opcional) Especifica un factor de multiplicación entre 0 y 100. El valor predeterminado es 1.
  5. (Opcional) Especifica las entidades en la parte derecha de la ventana siguiendo las instrucciones de la sección Añadir entidades a una lista de seguimiento. Aquí puede añadir los siguientes tipos de entidades:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Haz clic en Crear lista de seguimiento.

Fijar una lista

  1. Haz clic en Editar visualización.
  2. Haz clic en la casilla situada junto a la lista de seguimiento que quieras fijar.
  3. Haz clic en Guardar.

Desfijar una lista de seguimiento

  1. En el panel de control Listas de seguimiento, selecciona la lista que quieras desanclar y, a continuación, more_vert .
  2. Haz clic en Quitar de la pantalla.

Editar una lista de seguimiento

  1. En el panel de control Listas de seguimiento, selecciona la lista que quieras editar y haz clic en el icono more_vert .
  2. Haz clic en Editar lista de seguimiento.

Eliminar una lista de seguimiento

  1. En el panel de control Listas de seguimiento, selecciona la lista que quieras eliminar y haz clic en more_vert .
  2. Haz clic en Eliminar lista de seguimiento.

Añadir entidades a una lista de seguimiento

Para añadir entidades a una lista de seguimiento, especifica el nombre, el tipo y (opcionalmente) el espacio de nombres de la entidad línea por línea con uno de los siguientes formatos.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE puede ser uno de los siguientes:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE solo se puede especificar para los tipos de entidad de recurso:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Por ejemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

En este ejemplo se representan dos entidades añadidas a la lista de seguimiento: una dirección IP de un recurso 205.148.5.0 y un nombre de host website.com en el espacio de nombres chronicle. Puedes tener hasta 10.000 entidades en una lista de seguimiento.

Quitar entidades de una lista de seguimiento

Para quitar entidades de una lista de seguimiento, elimina las líneas que representan las entidades que quieras quitar y haz clic en Guardar.

Cambiar la configuración de la puntuación de riesgo

En la página Puntuación de riesgo de entidad, puedes definir cómo se calculan las puntuaciones de riesgo de entidades, alertas y detecciones. Esta página te permite adaptar el cálculo del riesgo en función de las necesidades específicas de tu búsqueda.

En la página Puntuación de riesgo de la entidad, puede actualizar tres campos:

Para cambiar cualquiera de estos ajustes, sigue estos pasos:

  1. En la barra de navegación, selecciona Configuración > Puntuaciones de riesgo de la entidad.
  2. Actualiza las puntuaciones de riesgo en consecuencia.
  3. Haz clic en Guardar. Cuando vuelvas a la página principal Analíticas de riesgo, verás un mensaje en la parte superior de la pantalla que confirma que se ha modificado la puntuación de riesgo de la entidad.
  4. (Opcional) Para volver a definir cualquiera de estos valores, haz clic en Restablecer a la derecha del valor.

Las actualizaciones solo se aplicarán a las alertas y detecciones nuevas. Los cambios pueden tardar hasta 30 minutos en aplicarse.

Ponderación de la puntuación de riesgo de entidades

La ponderación define cómo contribuyen las puntuaciones de riesgo de alertas y detecciones a los cálculos de la puntuación de riesgo de entidades. La ponderación es un valor entre 0 y 1.El valor predeterminado es 0,2.

A continuación, se muestran algunos ejemplos de cómo influyen los diferentes números en el cálculo de la puntuación de riesgo de entidad:

  • Ponderación de la puntuación de riesgo de entidades 0. La puntuación de riesgo sin procesar es la puntuación de riesgo de detección máxima de todas las detecciones de la entidad.
  • Ponderación de la puntuación de riesgo de entidades 1. La puntuación de riesgo sin procesar es la suma de todas las puntuaciones de riesgo de detección de la entidad.
  • Ponderación de la puntuación de riesgo de entidades 0.5. La puntuación de riesgo da todo el peso a la detección con la puntuación de riesgo máxima de la entidad y la mitad del peso a todas las demás detecciones.

Puntuación de riesgo predeterminada de las detecciones

Puntuación de riesgo predeterminada de detecciones te permite asignar un valor predeterminado a las puntuaciones de riesgo de detecciones. Las puntuaciones de riesgo de detecciones se usan para calcular las puntuaciones de riesgo de entidades. Las puntuaciones de riesgo de detecciones se definen cuando se escribe una regla. Si no se define ninguna puntuación de riesgo en la regla, se usará el valor predeterminado. La puntuación predeterminada es 15 y el intervalo de puntuación de riesgo es de 0 a 100.

Puntuación de riesgo predeterminada de las alertas

Al igual que Puntuación de riesgo predeterminada de detecciones, este campo te permite asignar un valor predeterminado a las puntuaciones de riesgo de las alertas. Si no se especifica ninguna puntuación de riesgo en la regla, se usa el valor predeterminado (40). El intervalo de la puntuación de riesgo es de 0 a 1000.

Para obtener información sobre cómo definir la puntuación de riesgo en una regla, consulta la sintaxis de la sección de resultados.

Coeficiente de alertas cerradas

El coeficiente de alertas cerradas modifica la puntuación de riesgo de las alertas que los analistas han marcado como cerradas. Se trata de un modificador de punto flotante entre 0 y 1 (inclusive). El valor predeterminado es 1.0, lo que significa que todas las alertas abiertas y cerradas conservan sus puntuaciones originales. Si el coeficiente de alertas cerradas tiene un valor de 0,0, todas las alertas cerradas reciben una puntuación de riesgo de 0 y ya no aumentarán la puntuación de riesgo de la entidad en general.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.