Panel de Análisis de riesgos

Compatible con:

El panel Risk Analytics te permite ver tu entorno a través de una perspectiva basada en riesgos. Visualizar las tendencias de riesgo de entidad te ayuda a identificar comportamiento y comprender el riesgo potencial que las entidades representan para tu .

El panel Análisis de riesgos enumera las entidades en riesgo y los detalles de los factores de riesgo. En los sistemas que usan RBAC de datos, solo los usuarios con permiso global pueden acceder análisis de riesgos. Para obtener más información, consulta el impacto de la RBAC de datos en las estadísticas de riesgos.

Para acceder al panel de Estadísticas de riesgos, sigue estos pasos:

  1. En la barra de navegación, haz clic en Detection.
  2. En Detección, haz clic en Análisis de riesgos.

Recuento de entidades, puntuación de riesgo y tabla de entidades

El panel Risk Analystics muestra, según los filtros elegidos, solo los entre las 10,000 entidades con el riesgo más alto en la empresa. Todos los gráficos y las tablas del panel solo representan este conjunto de entidades.

El gráfico Cantidad total de entidades que se encuentra en la parte superior izquierda muestra la cantidad de entidades de tu empresa a las que se les hace un seguimiento con un riesgo superior a 0. Entidades con un puntuación de riesgo de 0, pero no se representarán en este gráfico. El recuento total se divide entre los Activos y Usuarios.

Para obtener más información sobre las entidades, consulta Objetos lógicos: eventos y Entidad. Para obtener más información sobre cómo se calculan las puntuaciones de riesgo, consulta Puntuación de riesgo cálculo.

En la tabla Entities, hay varias columnas relacionadas con la entidad puntuación de riesgo:

Columna Valor
Nombre de entidad Es el nombre de la entidad.
Tipo de entidad Tipo de entidad (activo o usuario).
Normalizado Las puntuaciones normalizadas se calculan en todas las entidades y escalan entre 0 y 1,000 con la normalización min-máx.
Cambio en puntuación normalizada El cambio en la puntuación de riesgo de entidad normalizada desde la ventana anterior de cálculo de riesgos.
Tendencia normalizada Aumenta o disminuye el cambio porcentual de la puntuación de riesgo normalizada en comparación con la ventana de riesgo anterior.
Base La puntuación base de riesgo de entidad es igual a la puntuación de riesgo máxima del hallazgo más la ponderación por la suma de las puntuaciones de riesgo de los hallazgos restantes.

El valor predeterminado de ponderación es 0 .2 y se puede cambiar en Configuración.
Cambio base El cambio en la puntuación base de riesgo de entidad desde la ventana anterior de cálculo de riesgos.
Tendencia base Es el aumento o la disminución en el cambio porcentual de la puntuación de riesgo base en comparación con el período de riesgo anterior.
Cantidad de resultados La cantidad de resultados (alertas y detecciones) que incluyen a esta entidad durante el período de cálculo de riesgo.
Primera aparición en el período Marca de tiempo de cuando la entidad apareció por primera vez en los resultados (alertas o detecciones) durante el período de cálculo de riesgo.
Última aparición en el período Marca de tiempo de cuando la entidad apareció por última vez en los resultados (alertas o detecciones) durante el período de cálculo de riesgo.

Cómo ajustar la ventana de cálculo de riesgos

El riesgo calculado que representa una entidad cambia según el período de tiempo en proceso de análisis. Si cambias el parámetro de configuración Período de cálculo de riesgo en la esquina superior derecha (selecciona Período de 24 horas o Período de 7 días), se cambiará la puntuación de riesgo calculada que se muestra aquí. Te recomendamos que cambies este parámetro de configuración según el tipo de ataque que busques. Por ejemplo, los ataques de fuerza bruta son más evidentes si se establece la ventana de cálculo de riesgos en 24 horas. Los períodos más largos te permiten detectar ataques a largo plazo.

Las puntuaciones de riesgo de entidad cambian según la ventana de cálculo de riesgo seleccionada. Las puntuaciones de riesgo de las entidades se calculan en función de los resultados generados durante el período de riesgo.

Limita tu búsqueda con filtros rápidos

Los filtros rápidos te permiten acotar la búsqueda, ya que solo muestran resultados relevantes para según tus necesidades específicas.

Para usar los filtros rápidos en el panel de Análisis de riesgos, sigue estos pasos:

  1. Haz clic en filter_alt anterior la tabla Entidades. Aparecerá la ventana Filtros.
  2. Selecciona una de las siguientes columnas:
    • Cantidad de resultados
    • Puntuación normalizada de riesgo de entidad
    • Tendencia normalizada del riesgo de entidad
    • Tipo
  3. Selecciona Mostrar solo o Filtrar.
  4. Seleccione un valor (puede seleccionar más de un valor para expandir el rango):
    • Cantidad de resultados: Valores entre 0 y mayor que 1,000.
    • Puntuación normalizada de riesgo de entidad: Valores de 0 a 1,000.
    • Tendencia normalizada del riesgo de entidad: Porcentajes inferiores a -99% a más del 199%.
    • Tipo: Selecciona Recursos o Usuarios.
  5. Para agregar filtros adicionales, haz clic en Agregar filtro (opcional) y repite este proceso desde el paso 2.
  6. Cuando termines de configurar los filtros, haz clic en Aplicar.

Por ejemplo, si seleccionas Tendencias de riesgo de entidad normalizadas, selecciona Mostrar únicamente y marca >199%, solo para las entidades con un riesgo de entidad normalizado cambio superior al 199%.

Investiga una entidad con la página de entidades

Para investigar una entidad, sigue estos pasos:

  1. Desplázate por la columna Nombre de la entidad o usa la barra de búsqueda para encontrar una entidad.
  2. Haz clic en la entidad que deseas investigar.

Se abrirá la página de la entidad. Esta página te permite examinar solo los hallazgos asociada con esa entidad. El gráfico Cronograma de hallazgos que se encuentra en la parte superior hace un seguimiento de las puntuaciones de riesgo y los hallazgos de la entidad a lo largo del tiempo. Este gráfico está compuesto por métricas procesadas previamente que se muestran en un formato de gráfico de líneas para mostrar tendencias en el tiempo. Las anomalías se pueden ver como aumentos repentinos en el gráfico de líneas. Debajo del gráfico, se encuentra la tabla Resultados, que muestra con qué eventos y actividades se asoció la entidad seleccionada.

Hay un panel Ver detalles de la entidad que se puede contraer en la parte inferior derecha. Contiene un resumen de detalles importantes sobre la entidad seleccionada. Para completar un un análisis detallado de la entidad seleccionada, haz clic en Ver detalles de la entidad para la entidad en la vista Activo o Usuario, según si “Entity” es un activo o usuario, respectivamente. Para obtener más información, consulta Investigar una entidad de recurso o Investiga un usuario.

Cómo investigar una entidad con las estadísticas de entidades

Los análisis de entidades proporcionan a los analistas de SOC y a los cazadores de amenazas una vista detallada del comportamiento de una entidad, incluido el perfil de referencia, las anomalías y los enriquecimientos contextuales de la entidad.

En la página de la entidad, selecciona un período de hasta 90 días en el Cronograma de hallazgos y haz clic en Ver estadísticas de la selección. Se abrirá una barra lateral que muestra las estadísticas asociadas con esta entidad dentro de los períodos durante un período específico. Cada analítica muestra un total de todos los valores analíticos dentro del período. Cuando se detecta, una analítica incluye una lista de alertas y detecciones relacionadas que se pueden examinar en detalle. Para ello, haz clic en Ver más y abre la vista correspondiente de Alertas o Detección. Para obtener más información, consulta Investigar una alerta.

Se proporcionan las siguientes estadísticas de entidades:

  • Cantidad de nombres de eventos de alerta
  • Intentos de autenticación correctos
  • Fallan los intentos de autenticación
  • Total de intentos de autenticación
  • Bytes de salida de DNS
  • Las consultas de DNS fallan
  • Consultas de DNS correctas
  • Total de consultas de DNS
  • Ejecuciones de archivos correctas
  • Falló la ejecución de archivos
  • Total de ejecuciones de archivos
  • Búsquedas HTTP correctas
  • Las consultas HTTP fallaron
  • Total de consultas HTTP
  • Bytes de red entrantes
  • Bytes de salida de red
  • Total de bytes de red
  • Total de intentos de autenticación de Workspace
  • Total de correos electrónicos enviados de Workspace
  • Bytes de red de Workspace salientes
  • Total de bytes de red de Workspace
  • Acciones de cambio total de Workspace
  • Acciones de descarga totales de Workspace

Cómo modificar una puntuación de riesgo de entidad

Cuando la información o los eventos externos afectan el riesgo real de una entidad, puedes actualizar su puntuación de riesgo.

Por ejemplo, puedes disminuir temporalmente la puntuación de riesgo de un empleado que acaba de completar un ejercicio de equipo rojo (como una prueba de penetración) para que los analistas no tengan que perder tiempo investigando por qué ese empleado tuvo un aumento de riesgo. Tú también podría aumentar temporalmente la puntuación de riesgo de un empleado involucrado en un causa judicial.

  1. En la tabla Entidades de la página Análisis de riesgos, mantén presionada la el puntero sobre la columna del extremo derecho de la fila. Es posible que debas desplazar la pantalla hacia la derecha. Haz clic en more_vert.

    y selecciona Actualizar la puntuación de riesgo de entidad.

  2. En el diálogo Actualizar puntuación de riesgo de entidad, configura los valores para lo siguiente:

    • Factor de multiplicación: Te permite aumentar o disminuir la puntuación de riesgo de una entidad con un factor de multiplicación de 0.0 a 100.0. Para ejemplo, si has descubierto nueva evidencia sobre una entidad que facilita la entidad el doble de arriesgada, actualiza el factor de multiplicación a 50 para el verdadero factor de riesgo de la entidad.
    • Período: Es el período en el que se aplica el factor de multiplicación. Puedes seleccionar Ahora o entre 1 día y 14 días. Si seleccionas Ahora, el factor de multiplicación se aplica a la entidad. puntuación de riesgo de la ventana actual de cálculo de riesgos. Solo las alertas y detecciones existentes se incluyen en el cálculo. Cuando finalice el período seleccionado, se actualizará la puntuación de riesgo de entidad detenerse y la puntuación de riesgo vuelve a la normalidad.
    • Motivo: Te permite dejar contexto adicional para otros usuarios sobre por qué se hizo esta actualización. Selecciona alguna de las siguientes opciones: Nuevo Evidencia, Puntuación de riesgo incorrecta, Cambio de perfil de riesgo, Requisitos de cumplimiento, o bien Otros.

Si intentas realizar un cambio que ya se realizó (por ejemplo, quieren actualizar el factor de multiplicación de una entidad al 25%, pero otro miembro del equipo ya realizó el cambio), aparecerá un cuadro de diálogo en el que se indicará que el cambio datos, incluida la información sobre quién realizó el cambio y cuándo.

Ver las actualizaciones de la puntuación de riesgo en los detalles de la entidad

Puedes ver todas las actualizaciones de la puntuación de riesgo de una entidad en la página Perfil de la entidad.

  1. Haz clic en la entidad cuyo historial de actualizaciones de la puntuación de riesgo deseas ver para abrir la página Perfil de la entidad.
  2. En el gráfico del cronograma del evento, cada vez que alguien cambió el riesgo de la entidad la puntuación se indica con el Etiqueta Modificación de la puntuación de riesgo en texto blanco.
  3. Mantén el puntero sobre el texto para mostrar un diálogo con la fecha, el usuario y el motivo del cambio.

Lista de monitoreo

La página Listas de seguimiento te permite supervisar entidades específicas de toda tu empresa.

  1. En la barra de navegación izquierda, haz clic en Detección.
  2. En Detección, haz clic en Análisis de riesgos.
  3. Haz clic en la pestaña Listas para ver.

Cómo agregar una lista de sitios web

Para agregar una lista de seguimiento a tu cuenta de Google Security Operations, completa los siguientes pasos. Puedes configurar hasta 200 listas.

  1. Haz clic en Crear lista de seguimiento.
  2. Especifica un nombre para la lista de monitoreo.
  3. Especifica una Descripción (opcional).
  4. (Opcional) Especifica un Factor de multiplicación entre 0 y 100. El valor predeterminado es 1)
  5. Especifica las entidades en el lado derecho de la ventana, después de la sección Agregar entidades a una lista de seguimiento (opcional). Aquí puedes agregar los siguientes tipos de entidades:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Haz clic en Crear lista de seguimiento.

Cómo fijar una lista para ver

  1. Haz clic en Editar visualización.
  2. Haz clic en la casilla de verificación junto a la lista de seguimiento que deseas fijar.
  3. Haz clic en Guardar.

Cómo dejar de fijar una lista para ver

  1. En el panel Listas para ver, selecciona la lista que deseas dejar de fijar y, luego, more_vert .
  2. Haz clic en Quitar de la pantalla.

Cómo editar una lista de seguimiento

  1. En el panel Listas de monitoreo, selecciona la lista que deseas editar y haz clic en el ícono more_vert .
  2. Haz clic en Editar lista de seguimiento.

Cómo borrar una lista de sitios web

  1. En el panel Listas para ver, selecciona la lista que deseas borrar y haz clic en more_vert .
  2. Haz clic en Borrar lista de monitoreo.

Cómo agregar entidades a una lista para ver

Para agregar entidades a una lista de seguimiento, especifica el nombre, el tipo y el espacio de nombres (opcional) de la entidad línea por línea con uno de los siguientes formatos.

  • NAME,TYPE
  • NAME,TYPE,NAMESPACE

    TYPE puede ser uno de los datos siguientes:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE solo se puede especificar para el activo. tipos de entidades:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Por ejemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

En este ejemplo, se representan dos entidades agregadas a la lista de seguimiento: una dirección IP del activo 205.148.5.0 y un nombre de host website.com en el espacio de nombres chronicle. Puedes tener hasta 10,000 entidades en una lista de seguimiento.

Cómo quitar entidades de una lista de monitoreo

Para quitar entidades de una lista de monitoreo, quita las líneas que representan las entidades que quieres quitar y haz clic en Guardar.

Cambia la configuración de la puntuación de riesgo

La página Puntuación de riesgo de entidad te permite definir cómo se calculan las puntuaciones de riesgo de las entidades, las alertas y las detecciones. En esta página, puedes personalizar la forma en que se calcula el riesgo según las necesidades únicas de tu búsqueda.

Hay tres campos en la página Puntuación de riesgo de la entidad que puedes actualizar:

Para cambiar cualquiera de estos parámetros de configuración, sigue estos pasos:

  1. En la barra de navegación, selecciona Configuración > Puntuaciones de riesgo de la entidad.
  2. Actualiza las puntuaciones de riesgo según corresponda.
  3. Haz clic en Guardar. Cuando regreses a la página principal de Estadísticas de riesgos, verás verás un mensaje en la parte superior de la pantalla que confirma que se modificó se realizó en Entity Risk Score (puntuación de riesgo de entidad).
  4. (Opcional) Para restablecer cualquiera de estos valores, haz clic en Restablecer a la derecha de el valor.

Las actualizaciones solo se aplicarán a las alertas y las detecciones nuevas. Puede tardar hasta 30 minutos para que se apliquen los cambios.

Ponderación de la puntuación de riesgo de entidad

La ponderación define cómo las puntuaciones de riesgo de alertas y detecciones contribuyen a los cálculos de la puntuación de riesgo de las entidades. El ponderamiento es un valor de 0 a 1, y el valor predeterminado es 0.2.

Estos son algunos ejemplos de cómo los diferentes números influyen en la puntuación de riesgo de entidad cálculo:

  • Ponderación de la puntuación de riesgo de entidad 0. La puntuación de riesgo sin procesar es la máxima de riesgo de detección entre todas las detecciones de la entidad.
  • Ponderación de la puntuación de riesgo de entidad 1. La puntuación de riesgo sin procesar es la suma de todos las puntuaciones de riesgo de detección de la entidad.
  • Ponderación de la puntuación de riesgo de entidad 0.5. La puntuación de riesgo otorga la ponderación completa a la detección con la puntuación de riesgo máxima para la entidad y la mitad de la ponderación para todas las demás detecciones.

Puntuación de riesgo predeterminada para las detecciones

La puntuación de riesgo predeterminada para detecciones te permite asignar un valor predeterminado a de las puntuaciones de riesgo de detección. Las puntuaciones de riesgo de detección se usan para calcular el riesgo de entidad de rendimiento. Las puntuaciones de riesgo para las detecciones se definen cuando se escribe una regla. Si no se define una puntuación de riesgo en la regla, se usa el valor predeterminado. La puntuación predeterminada es de 15 y el rango de puntuación de riesgo es de 0 a 100.

Puntuación de riesgo predeterminada para las alertas

Al igual que Puntuación de riesgo predeterminada para detecciones, este campo te permite asignar una el valor predeterminado para las puntuaciones de riesgo de las alertas. Si no hay una puntuación de riesgo definida en la regla, se usa el valor predeterminado de 40. El rango de puntuación de riesgo es de 0 a 1,000.

Para obtener información sobre cómo definir la puntuación de riesgo en una regla, consulta Sintaxis de la sección de resultados.

Coeficiente de alertas cerradas

El coeficiente de alerta cerrada modifica la puntuación de riesgo de las alertas marcadas como cerradas. los analistas. Es un modificador de punto flotante que debe estar entre 0 y 1 inclusive. El valor predeterminado es 1.0, lo que significa que todas las alertas abiertas y cerradas conservan sus puntuaciones originales. Si el coeficiente de alerta cerrada tiene un valor de 0.0, todas reciben una puntuación de riesgo de 0 y ya no aumentarían la puntuación de riesgo de la entidad general.