Esta página se ha traducido con Cloud Translation API.

Preguntas frecuentes sobre analíticas de riesgos

Disponible en:

SecOps de Google SIEM

¿Qué es Analíticas de riesgos?

El panel de control Analíticas de riesgo te ayuda a identificar comportamientos inusuales y posibles riesgos que suponen las entidades de una empresa. Consta de dos secciones principales: Analíticas de comportamiento y Listas de seguimiento.

¿Quién puede acceder a Analíticas de riesgos?

Solo los usuarios con los privilegios pertinentes pueden acceder a Estadísticas de riesgos. Si tu organización usa el control de acceso basado en roles de datos, debes tener un ámbito global para acceder a las analíticas de riesgos.

¿Qué es el análisis del comportamiento?

En la sección Analíticas de comportamiento se muestran las entidades en función de sus puntuaciones de riesgo de entidad de Google Security Operations. Incluye una sección de métricas de resumen que ofrece una vista general de las entidades de riesgo según el modelo de riesgo de entidades de Google SecOps y hace un seguimiento de hasta 10.000 entidades con las puntuaciones de riesgo más altas. La tabla Entidades complementa la puntuación de riesgo monitorizando el riesgo de una entidad a lo largo del tiempo y proporciona contexto para las investigaciones.

¿Cómo funciona la ventana de cálculo de riesgos?

La ventana de cálculo de riesgo permite a los usuarios cambiar el periodo del panel de control, lo que posibilita analizar los datos de diferentes periodos. Los periodos más cortos, como 24 horas, ayudan a descubrir eventos como los intentos de inicio de sesión por fuerza bruta, mientras que los periodos más largos, como 7 días, ayudan a examinar la actividad maliciosa a largo plazo.

¿Puedo ver el historial de puntuaciones de riesgo?

Sí, puede ver las puntuaciones de riesgo históricas seleccionando una fecha y una hora concretas, lo que muestra los riesgos calculados para el periodo de 24 horas o 7 días seleccionado.

¿Qué es una puntuación de riesgo normalizada?

Las puntuaciones normalizadas se establecen entre 1 y 1000 para distinguir las entidades con detecciones de las que no tienen.

¿Qué son las puntuaciones de riesgo base?

Las puntuaciones base se calculan sumando las puntuaciones de riesgo de los hallazgos (alertas y detecciones) de una entidad durante el periodo de riesgo, con la ponderación aplicada.

¿Cómo se aplica la ponderación a las puntuaciones de riesgo?

Ponderación de la puntuación de riesgo: define cómo contribuyen las puntuaciones de riesgo de alertas y detecciones a los cálculos de la puntuación de riesgo de entidades. Los valores van de 0 a 1. Una ponderación de 1 no tiene ningún impacto en la puntuación de riesgo. El valor predeterminado de la ponderación es 0.2 y se puede modificar en Configuración.

¿Cómo se calcula la puntuación base de riesgo de entidad?

La fórmula de la puntuación base de riesgo de la entidad es la siguiente: (Puntuación máxima de riesgo del hallazgo) + (Ponderación * (Suma del resto de las puntuaciones de riesgo de los hallazgos)).

¿Cuáles son las puntuaciones de riesgo predeterminadas de las alertas y las detecciones?

La puntuación de riesgo predeterminada de las alertas es 40 y la de las detecciones es 15. Puedes modificar estos valores predeterminados en Configuración o en las reglas.

¿Qué es el coeficiente de alertas cerradas?

Si un analista de seguridad marca una alerta como cerrada, su puntuación de riesgo se multiplica por un coeficiente que va de 0 a 1 .

¿Cómo funcionan las modificaciones de la puntuación de riesgo con y sin TTL?

La puntuación base de riesgo de la entidad se modifica mediante un factor de multiplicación para el intervalo de tiempo, y la puntuación de riesgo de detección se modifica con un factor de multiplicación. Google SecOps especifica estos factores.

¿Cómo se calculan las puntuaciones de riesgo normalizadas?

Las puntuaciones base de riesgo de la entidad se normalizan mediante una normalización de tipo mínimo-máximo y se encuentran en un intervalo de 1 a 1000. Las entidades con una puntuación de riesgo de 0 se excluyen.

¿Qué es la página Analíticas de entidades?

Si hace clic en el nombre de una entidad de la tabla Entidades, se le dirigirá a la página Analíticas de entidades, donde se muestra una ventana de intervalo de eventos, una cronología de resultados y una tabla de resultados detallada. La ventana Intervalo de eventos permite filtrar hasta 90 días.

¿Cuáles son algunos ejemplos de cómo se puede usar la analítica de riesgos?

Puedes usar Analíticas de riesgos para identificar volúmenes de descarga de datos elevados, un número sospechoso de intentos de inicio de sesión fallidos o mensajes de diálogo que puedan indicar la presencia de malware.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.