Descripción general de Analíticas de riesgos

Disponible en:

Risk Analytics se usa para identificar comportamientos inusuales y comprender el riesgo potencial que suponen las entidades para tu empresa. En los sistemas que usan RBAC de datos, solo los usuarios con ámbito global pueden acceder a las analíticas de riesgos. El panel de control de analíticas de riesgos consta de una sección de analíticas de comportamiento, que muestra las entidades según las puntuaciones de riesgo de las entidades de Google Security Operations, y una sección de lista de seguimiento, que muestra las entidades según los cálculos de riesgo internos de la empresa.

Las puntuaciones de riesgo se usan en todo Google SecOps. La definición y la función de estas puntuaciones varían en función de la función que estés usando.

Risk Analytics está disponible con las licencias Enterprise y Enterprise Plus, o como complemento de una licencia independiente de Google SecOps SIEM.

Entidades, riesgos y resultados en Estadísticas de riesgos

En esta sección se definen los conceptos de entidades, riesgo y hallazgos tal como se presentan en el panel de control de análisis de riesgos.

  • Entidades: representación contextual de un recurso o un usuario en tu entorno. Todos los eventos asociados a entidades proporcionan contexto sobre el nivel de riesgo de la entidad. Para obtener más información, consulte Objetos lógicos: Event y Entity.

  • Ventana de cálculo del riesgo: te permite cambiar el periodo del panel de control para consultar los datos de diferentes periodos. Por ejemplo, puedes descubrir intentos de inicio de sesión por fuerza bruta usando un periodo más breve o examinar la actividad maliciosa a largo plazo configurando un periodo más prolongado.

  • Normalizada: las puntuaciones normalizadas se definen entre 1 y 1000 para distinguir las entidades sin puntuación de las que sí tienen detecciones en el periodo de riesgo.

  • Tendencia normalizada: cambio en la puntuación normalizada de riesgo de la entidad desde el periodo anterior.

  • Base: las puntuaciones base se calculan sumando las puntuaciones de riesgo de los hallazgos (alertas y detecciones) de una entidad durante el periodo de riesgo con la ponderación aplicada.

    La ponderación define cómo contribuyen las puntuaciones de riesgo de alertas y detecciones a los cálculos de la puntuación de riesgo de entidades. La ponderación puede tener un valor entre 0 y 1.
    Si el valor de ponderación es 1, la ponderación no tendrá ningún impacto. Todos los demás valores son porcentajes (por ejemplo, 0,5 equivale al 50%). El valor predeterminado de la ponderación es 0,2 y se puede cambiar en Configuración. Para obtener más información, consulta Ponderación de la puntuación de riesgo de las entidades.

  • Cambio base: cambio en la puntuación base de riesgo de la entidad desde el periodo anterior.

  • Primera/última detección en el periodo: marca de tiempo correspondiente al momento en que la entidad se detectó por primera o última vez en un hallazgo (alerta o detección) durante el periodo especificado en el periodo de riesgo.

Resultados de Analíticas de riesgos

Los siguientes términos se usan en la página Resultados (haga clic en una entidad de la tabla de entidades para abrirla en la página Resultados).

  • Hallazgos: número de hallazgos (alertas y detecciones) que incluyen esta entidad durante el periodo de la ventana de riesgo.

  • Gravedad: la gravedad la define el origen cuando se crea un hallazgo.

  • Prioridad: la prioridad la define el origen cuando se crea un hallazgo.

  • Puntuación de riesgo: las puntuaciones de riesgo las define el origen cuando se crea un hallazgo. Si no se definen las puntuaciones de riesgo, se usará la puntuación de riesgo predeterminada de las alertas y las detecciones. La puntuación de riesgo predeterminada de las alertas es 40. La puntuación de riesgo predeterminada de las detecciones es 15.

.

Cálculo de la puntuación de riesgo

El cálculo de la puntuación de riesgo de cada entidad se basa en la puntuación de riesgo de las detecciones y se modifica en función de un conjunto de parámetros que puede especificar y de otro conjunto de parámetros controlados por Google SecOps. Para acceder a los parámetros que puedes controlar, ve a la barra de navegación y haz clic en Configuración > Puntuaciones de riesgo de la entidad:

  • Coeficiente de alertas cerradas: si los analistas de seguridad marcan una alerta como cerrada, se multiplica por este modificador de punto flotante. El intervalo es de 0 a 1. El valor predeterminado es 1.

  • Puntuación predeterminada de riesgo de detecciones: especifica la puntuación de riesgo de las detecciones en el motor de reglas. El intervalo es de 0 a 1000. El valor predeterminado es 15.

Google SecOps especifica los siguientes parámetros:

  • Modificación de la puntuación de riesgo con TTL: la puntuación base de riesgo de entidad se modifica mediante un factor de multiplicación durante el periodo.

  • Modificación de la puntuación de riesgo sin TTL: la puntuación de riesgo de detección se modifica con un factor de multiplicación.

Estas son las fórmulas que se usan para calcular la puntuación de riesgo y la puntuación de riesgo normalizada:

  • Cálculo de la puntuación de riesgo: (Puntuación base de riesgo de la entidad) = (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (Suma del resto de las puntuaciones de riesgo de los hallazgos))

  • Puntuación de riesgo normalizada: las puntuaciones base de riesgo de entidad se normalizan en todas las entidades. La puntuación base de riesgo de la entidad usa una normalización de tipo mínimo-máximo y va de 1 a 1000. No se incluyen las entidades con riesgo cero.

Ejemplo: cálculo de la puntuación de riesgo

A continuación, se describe la secuencia completa para calcular la puntuación de detección de riesgos de una entidad:

  1. Entrada: las detecciones generadas por las reglas se agrupan en función de sus indicadores subyacentes.
  2. (Opcional) Coeficiente de alertas cerradas: si la puntuación de riesgo de detección corresponde a una alerta cerrada, se multiplica por el coeficiente de alertas cerradas.
  3. (Opcional) Modificación de la puntuación de riesgo predeterminada: si no se define explícitamente en una regla, se aplica la puntuación de riesgo de detección predeterminada. Las puntuaciones de riesgo de detección predeterminadas con o sin alertas se pueden cambiar en la configuración de las puntuaciones de riesgo de entidades.
  4. (Opcional) Modificación de detecciones compuestas: si no se define explícitamente una entidad que se va a puntuar mediante la palabra clave $risk_entity_to_score en una regla, la puntuación de riesgo se atribuye a todas las entidades de los eventos muestreados y de la sección de resultados.
  5. Cálculo de la puntuación de riesgo: el factor de ponderación se multiplica por la suma de todas las detecciones (excepto la puntuación de riesgo de detección máxima) y, a continuación, se añade a la puntuación de riesgo de detección máxima. Este valor representa la puntuación de riesgo de la entidad sin procesar.
  6. Ponderación de modificación: la puntuación de riesgo de entidad sin procesar se multiplica por la ponderación de modificación. Esta modificación es una operación única, a menos que se defina un TTL. Este valor es la puntuación base de riesgo de la entidad.
  7. Ponderación de la lista de seguimiento: si una entidad forma parte de una lista de seguimiento, la ponderación de la lista se añade a la puntuación de riesgo de detección.
  8. Puntuación de riesgo normalizada: la puntuación base de riesgo de la entidad se normaliza en todas las entidades mediante la normalización de tipo mínimo-máximo.

Ajustes de puntuación de riesgo

En la página Puntuaciones de riesgo de entidades, puede definir cómo se calculan las puntuaciones de riesgo de entidades, alertas y detecciones. Puedes aplicar la ponderación a los cálculos de la puntuación de riesgo de entidades y fijar puntuaciones de riesgo predeterminadas de alertas y detecciones. Los cambios solo surten efecto en las alertas y detecciones nuevas, y pueden tardar hasta 30 minutos en hacerlo.

  • Ponderación de la puntuación de riesgo de entidades: la ponderación define cómo se tienen en cuenta las puntuaciones de riesgo de alertas y detecciones en los cálculos de la puntuación de riesgo de entidades. La ponderación es un valor entre 0 y 1. La fórmula de la puntuación base de riesgo de entidad es la siguiente:

    Puntuación base de riesgo de la entidad = (Puntuación máxima de riesgo del hallazgo) + (Ponderación * (Suma del resto de las puntuaciones de riesgo de los hallazgos))

  • Puntuaciones de riesgo predeterminadas de las alertas: especifica la puntuación de riesgo predeterminada de las alertas en la página Configuración. El valor predeterminado es 40. Puedes modificar las puntuaciones de riesgo de las alertas en las propias reglas. Estos valores anulan los valores predeterminados configurados en la página Configuración.

  • Puntuaciones de riesgo predeterminadas de detecciones: especifica la puntuación de riesgo de detección predeterminada en la página Configuración. El valor predeterminado es 15. Puedes modificar las puntuaciones de riesgo de detección individuales en las propias reglas. Estos valores anulan los valores predeterminados configurados en la página Configuración.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.