Guía de inicio rápido de Análisis de riesgos

Obtén información para usar el panel de Risk Analytics y, así, identificar comportamientos inusuales y comprender el riesgo potencial que representan las entidades para tu empresa. En los sistemas que usan el control de acceso basado en roles (RBAC), solo los usuarios con alcance global pueden acceder a las estadísticas de riesgo. Para obtener más información, consulta Roles de usuario.

El panel de Risk Analytics consta de las siguientes secciones:

• Análisis de comportamiento: Enumera las entidades según las puntuaciones de riesgo de las entidades de Google Security Operations.
• Lista de vigilancia: Enumera las entidades según los cálculos internos de riesgo empresarial.

En la parte superior derecha, un período de cálculo de riesgo cambia la puntuación de riesgo calculada que se muestra en el panel de Analytics de riesgo. Puedes cambiar este parámetro de configuración según el tipo de ataque que busques. Por ejemplo, los ataques de fuerza bruta son más visibles si se configura la ventana de cálculo de riesgo en 24 horas. Para ver los ataques a largo plazo, establece la ventana de cálculo de riesgo en 7 días.

Para ver las puntuaciones de riesgo históricas, selecciona una fecha y hora específicas en el selector de fechas junto a Período de cálculo de riesgo. Aquí se muestran los riesgos de la entidad calculados para el período de 24 horas o 7 días, que finaliza en la fecha y hora elegidas.

Antes de comenzar

Para navegar al panel de Análisis de riesgo, sigue estos pasos:

1. En la barra de navegación, haz clic en Detection.
2. En Detección, haz clic en Análisis de riesgos.

Estadísticas de comportamiento

Las estadísticas de comportamiento incluyen lo siguiente:

La página Estadísticas de comportamiento consta de los siguientes elementos:

• Sección Summary Metrics: Una vista de nivel superior de un panel de análisis de riesgos que te permite investigar entidades de riesgo según el modelado de riesgos de entidades de Google SecOps. Puedes hacer un seguimiento de hasta 10,000 entidades.
• Entidades: Es una tabla que complementa la puntuación de riesgo existente que se usa para hacer un seguimiento del riesgo de una entidad a lo largo del tiempo, como una métrica para los casos de uso de detección y como contexto de investigación. También se denominan métricas de riesgo de la entidad. Una entidad es una representación contextual de los elementos de tu entorno. Algunos ejemplos de entidades son las cuentas de usuario, los servidores, las laptops o los teléfonos. Para desglosar cada entidad, haz clic en su nombre. Esta acción te llevará a la página Análisis de entidades.

Para obtener más información sobre las entidades, consulta Objetos lógicos: Evento y entidad. Para obtener más información sobre cómo se calculan las puntuaciones de riesgo, consulta Cálculo de la puntuación de riesgo.

Análisis de entidades

La página Entity Analytics consta de una ventana Event range en la esquina superior derecha, una sección Findings Timeline y una tabla Findings detallada.

Selecciona un período para analizar los riesgos

1. En la ventana Intervalo de eventos, selecciona un intervalo de tiempo de hasta 90 días ("Últimos 3 meses").
2. En Selección, haz clic en Ver análisis de la selección. Se abrirá una barra lateral que muestra las estadísticas asociadas a esta entidad dentro del período seleccionado. Cada análisis muestra un agregado de todos los valores de análisis dentro del período.
3. Haz clic en Ver más para abrir la vista de Alertas o Detecciones correspondiente. Cuando se detecta, un análisis incluye una lista de alertas y detecciones relacionadas que se pueden examinar más a fondo.

Para obtener más información, consulta Cómo investigar una alerta.

Casos de uso

Estos son algunos casos de uso del panel de Risk Analytics.

Caso de uso 1: Gran volumen de descargas

Un volumen alto de descargas de datos representa un riesgo de filtración de información confidencial. Google SecOps calcula números de puntuación de riesgo altos para las entidades con volúmenes de descargas altos.

Caso de uso 2: Cantidad sospechosa de intentos de acceso fallidos

La cantidad sospechosa de intentos de acceso fallidos indica que un hacker o software malicioso está intentando acceder a una cuenta de usuario. Google SecOps calculará las cifras de puntuación de riesgo alto para las entidades con cantidades sospechosas de intentos de acceso fallidos. Sin embargo, si esto se hace de forma interna, como parte de las pruebas de penetración, puedes modificar la puntuación de riesgo de la entidad.

Caso de uso 3: Mensaje de diálogo que suplanta a Google

Un mensaje de diálogo que se hace pasar por Google y solicita que se actualice el navegador Chrome intenta obtener acceso a las cuentas de los usuarios. Google SecOps calcula números de puntuación de riesgo altos para las entidades en las que se detectan estos mensajes de diálogo en el código.

¿Qué sigue?

• Cómo modificar la puntuación de riesgo de una entidad
• Investiga un recurso

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.