Se usó la API de Cloud Translation para traducir esta página.

Preguntas frecuentes sobre las estadísticas de riesgos

Compatible con:

Google SecOps SIEM

¿Qué son las estadísticas de riesgo?

El panel de estadísticas de riesgo te ayuda a identificar comportamientos inusuales y riesgos potenciales que representan las entidades dentro de una empresa. Consta de dos secciones principales: Behavioral Analytics y Watchlists.

¿Quiénes pueden acceder a Análisis de riesgos?

Solo los usuarios con los privilegios pertinentes pueden acceder a Risk Analytics. Si tu organización usa el RBAC de datos, debes tener un alcance global para acceder a las estadísticas de riesgo.

¿Qué son las estadísticas de comportamiento?

En la sección Análisis de comportamiento, se enumeran las entidades según sus puntuaciones de riesgo de la entidad de Google Security Operations. Incluye una sección de métricas de resumen que proporciona una vista de alto nivel de las entidades riesgosas según el modelado de riesgo de entidades de Google SecOps y hace un seguimiento de hasta 10,000 entidades con las puntuaciones de riesgo más altas. La tabla Entities complementa la puntuación de riesgo haciendo un seguimiento del riesgo de una entidad a lo largo del tiempo y proporciona contexto para las investigaciones.

¿Cómo funciona el período de cálculo de riesgo?

La ventana de cálculo de riesgo permite a los usuarios cambiar el período del panel, lo que habilita el análisis de datos en diferentes períodos. Los períodos más cortos, como 24 horas, ayudan a descubrir eventos como los intentos de inicio de sesión por fuerza bruta, mientras que los períodos más largos, como 7 días, ayudan a examinar la actividad maliciosa a largo plazo.

¿Puedo ver las puntuaciones de riesgo históricas?

Sí, puedes ver las puntuaciones de riesgo históricas seleccionando una fecha y hora específicas, que muestran los riesgos calculados para el período seleccionado de 24 horas o 7 días.

¿Qué es una puntuación de riesgo normalizada?

Las puntuaciones normalizadas se establecen entre 1 y 1,000 para distinguir las entidades con detecciones de las que no tienen.

¿Qué son las puntuaciones de riesgo base?

Las puntuaciones base se calculan sumando las puntuaciones de riesgo de los resultados (alertas y detecciones) de una entidad durante el período de riesgo, con la ponderación aplicada.

¿Cómo se aplica la ponderación a las puntuaciones de riesgo?

El peso de la puntuación de riesgo define cómo las puntuaciones de riesgo de alertas y detecciones contribuyen a los cálculos de la puntuación de riesgo de la entidad, con valores que van de 0 a 1, en los que un peso de 1 no tiene impacto en la puntuación de riesgo. El valor de ponderación predeterminado es 0.2 y se puede modificar en Configuración.

¿Cómo se calcula la puntuación base de riesgo de la entidad?

La fórmula para la puntuación base de riesgo de entidad es la siguiente: (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (Suma de las puntuaciones de riesgo restantes de los hallazgos)).

¿Cuáles son las puntuaciones de riesgo predeterminadas para las alertas y las detecciones?

La puntuación de riesgo predeterminada para las alertas es de 40 y para las detecciones es de 15. Puedes modificar estos valores predeterminados en Configuración o dentro de las reglas.

¿Qué es el coeficiente de alerta cerrada?

Si un analista de seguridad marca una alerta como cerrada, su puntuación de riesgo se multiplica por un coeficiente que varía de 0 a 1 .

¿Cómo funcionan las modificaciones del Puntuación de riesgo con TTL y sin TTL?

La puntuación base de riesgo de entidad se modifica con un factor de multiplicación para el período, y la puntuación de riesgo de detección se modifica con un factor de multiplicación. Google SecOps especifica estos factores.

¿Cómo se calculan las puntuaciones de riesgo normalizadas?

Las puntuaciones base de riesgo de entidad se normalizan con la normalización min-max y varían de 1 a 1,000. Se excluyen las entidades con una puntuación de riesgo de 0.

¿Qué es la página de análisis de entidades?

Si haces clic en el nombre de una entidad en la tabla Entidades, se abrirá la página Análisis de entidades, en la que se muestran una ventana de Intervalo de eventos, un Cronograma de resultados y una tabla de Resultados detallada. La ventana Intervalo de eventos permite filtrar hasta 90 días.

¿Cuáles son algunos ejemplos de cómo se pueden usar las estadísticas de riesgo?

Puedes usar Risk Analytics para identificar volúmenes altos de descargas de datos, cantidades sospechosas de intentos de acceso fallidos o mensajes de diálogo que pueden indicar software malicioso.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.