Descripción general de las estadísticas de riesgos
El análisis de riesgo se usa para identificar comportamientos inusuales y comprender el riesgo potencial que las entidades representan para tu empresa. En los sistemas que usan RBAC de datos, solo los usuarios con alcance global pueden acceder a las estadísticas de riesgo. El panel de estadísticas de riesgo consta de una sección de estadísticas de comportamiento, que enumera las entidades según las puntuaciones de riesgo de las entidades de Google Security Operations, y una sección de lista de vigilancia, que enumera las entidades según los cálculos internos de riesgo empresarial.
Las puntuaciones de riesgo se usan en todas las SecOps de Google. La definición y la función de estas puntuaciones varían según la función que uses.
Risk Analytics está disponible con las licencias de Enterprise y Enterprise Plus, o como complemento de una licencia independiente de SIEM de Google SecOps.
Entidades, riesgos y hallazgos en Análisis de riesgos
En esta sección, se definen los conceptos de entidades, riesgo y resultados tal como se presentan en el panel de Analytics de riesgo.
Entidades: Representación contextual de un activo o usuario en tu entorno. Todos los eventos asociados con las entidades proporcionan contexto sobre el nivel de riesgo de la entidad. Para obtener más información, consulta Objetos lógicos: Evento y Entidad.
Período de cálculo del riesgo: Te permite cambiar el período del panel para que puedas consultar los datos de diferentes períodos. Por ejemplo, puedes descubrir intentos de acceso por fuerza bruta con el período más corto o examinar la actividad maliciosa a largo plazo con el período más largo.
Normalizada: Las puntuaciones normalizadas se establecen entre 1 y 1,000 para distinguir las entidades sin puntuaciones de las entidades que sí tienen detecciones dentro del período de riesgo.
Tendencia normalizada: Cambio en la puntuación normalizada de riesgo de la entidad desde el período anterior.
Base: Las puntuaciones base se calculan sumando las puntuaciones de riesgo de los resultados (alertas y detecciones) de una entidad durante el período de riesgo con la ponderación aplicada.
La ponderación define cómo las puntuaciones de riesgo de alertas y detecciones contribuyen a los cálculos de la puntuación de riesgo de entidad. La ponderación puede tomar un valor de 0 a 1.
Si el valor de ponderación es 1, la ponderación no tendrá ningún impacto. Todos los demás valores son porcentajes (por ejemplo, 0.5 equivale al 50%). El valor de ponderación predeterminado es 0 .2 y se puede cambiar en Configuración. Para obtener más información, consulta Ponderación de la puntuación de riesgo de la entidad.Cambio base: Es el cambio en la puntuación base de riesgo de la entidad desde el período anterior.
Primera y última aparición en el período: Marca de tiempo que corresponde al momento en que la entidad apareció por primera o última vez en un hallazgo (alerta o detección) durante el período especificado en el período de riesgo.
Resultados en Análisis de riesgos
En la página Findings, se usan los siguientes términos (haz clic en una entidad de la tabla de entidades para abrirla en la página Findings).
Resultados: Es la cantidad de resultados (alertas y detecciones) que incluyen a esta entidad durante el período de la ventana de riesgo.
Gravedad: La gravedad se determina según la fuente cuando se crea un resultado.
Prioridad: La prioridad se determina según la fuente cuando se crea un resultado.
Puntuación de riesgo: Las puntuaciones de riesgo se determinan según la fuente cuando se crea un hallazgo. Si no se establecen las puntuaciones de riesgo, se usa la puntuación de riesgo predeterminada para las alertas y las detecciones. La puntuación de riesgo predeterminada para las alertas es 40. La puntuación de riesgo predeterminada para las detecciones es de 15.
Cálculo de la puntuación de riesgo
El cálculo de la puntuación de riesgo para cada entidad se basa en la puntuación de riesgo de los hallazgos y se modifica según un conjunto de parámetros que puedes especificar y un conjunto de parámetros controlados por Google SecOps. Para acceder a los parámetros que puedes controlar, ve a la barra de navegación y haz clic en Configuración > Puntuaciones de riesgo de la entidad:
Coeficiente de alerta cerrada: Si los analistas de seguridad marcan una alerta como cerrada, se multiplica por este modificador de punto flotante. El rango es de 0 a 1. El valor predeterminado es 1.
Puntuación predeterminada de riesgo de las detecciones: Especifica la puntuación de riesgo para las detecciones en el motor de reglas. El rango es de 0 a 1,000. El valor predeterminado es 15.
Google SecOps especifica los siguientes parámetros:
Modificación de la puntuación de riesgo con TTL: La puntuación base de riesgo de entidad se modifica con un factor de multiplicación para el período.
Modificación de la puntuación de riesgo sin TTL: La puntuación de riesgo de detección se modifica con un factor de multiplicación.
A continuación, se muestran las fórmulas que se usan para calcular la puntuación de riesgo y la puntuación de riesgo normalizada:
Cálculo de la puntuación de riesgo: (Puntuación base de riesgo de entidad) = (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (Suma de las puntuaciones de riesgo restantes de los hallazgos))
Puntuación de riesgo normalizada: Las puntuaciones base de riesgo de entidad se normalizan en todas las entidades. La puntuación base de riesgo de entidad usa la normalización min-máx y varía de 1 a 1,000. No se incluyen las entidades con riesgo cero.
Ejemplo: Cálculo de la puntuación de riesgo
A continuación, se describe la secuencia completa para calcular la puntuación de detección de riesgo de una entidad:
- Entrada: Las detecciones se agrupan por indicador.
- (Opcional) Coeficiente de alerta cerrada: Si la puntuación de riesgo de detección es para una alerta cerrada, la puntuación se multiplica por el coeficiente de alerta cerrada.
- (Opcional) Modificación de la puntuación de riesgo predeterminada: Si no se establece de forma explícita en una regla, se aplica la puntuación de riesgo de detección predeterminada. Las puntuaciones de riesgo de detección predeterminadas con alertas o sin alertas se pueden cambiar en la configuración de las puntuaciones de riesgo de la entidad.
- Cálculo de la puntuación de riesgo: El factor de ponderación se multiplica por la suma de todas las detecciones (excepto la puntuación de riesgo de detección máxima) y, luego, se suma a la puntuación de riesgo de detección máxima. Este valor representa la puntuación de riesgo de la entidad sin procesar.
- Peso de modificación: La puntuación de riesgo de entidad sin procesar se multiplica por el peso de modificación. Esta modificación es una operación única, a menos que se establezca un TTL. Este valor es la puntuación base de riesgo de la entidad.
- Peso de la lista de vigilancia: Si una entidad forma parte de una lista de vigilancia, el peso de la lista se agrega a la puntuación de riesgo de detección.
- Puntuación de riesgo normalizada: La puntuación base de riesgo de entidad se normaliza en todas las entidades con la normalización min-máx.
Configuración de la puntuación de riesgo
En la página Puntuaciones de riesgo de entidad, puedes definir cómo se calculan las puntuaciones de riesgo de las entidades, las alertas y las detecciones. Puedes aplicar ponderaciones a los cálculos de puntuación de riesgo de las entidades y establecer puntuaciones de riesgo predeterminadas para alertas y detecciones. Los cambios solo se aplican a las alertas y detecciones nuevas, y pueden tardar hasta 30 minutos en surtir efecto.
Ponderación de la puntuación de riesgo de la entidad: La ponderación define cómo se tienen en cuenta las puntuaciones de riesgo de alertas y detecciones en los cálculos de la puntuación de riesgo de la entidad. La ponderación es un valor de 0 a 1. La fórmula para la puntuación base de riesgo de entidad se define de la siguiente manera:
Puntuación base de riesgo de entidad = (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (Suma de las puntuaciones de riesgo restantes de los hallazgos))
Puntuaciones de riesgo predeterminadas para las alertas: Especifica la puntuación de riesgo predeterminada de las alertas en la página Configuración. El valor predeterminado es 40. Puedes modificar las puntuaciones de riesgo de las alertas individuales en las reglas. Estos parámetros anulan cualquier valor predeterminado configurado en la página Configuración.
Puntuaciones de riesgo predeterminadas para las detecciones: Especifica la puntuación predeterminada de riesgo de las detecciones en la página Configuración. El valor predeterminado es 15. Puedes modificar las puntuaciones de riesgo de detección individuales en las reglas. Estos parámetros anulan cualquier valor predeterminado configurado en la página Configuración.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.