Panel de análisis de riesgos

El panel de Análisis de riesgos te permite ver tu entorno a través de una lente basada en riesgos. Visualizar las tendencias de riesgo de entidad te ayuda a identificar comportamiento y comprender el riesgo potencial que las entidades representan para tu .

El panel Análisis de riesgos enumera las entidades en riesgo y los detalles de los factores de riesgo. En los sistemas que usan RBAC de datos, solo los usuarios con permiso global pueden acceder análisis de riesgos. Para obtener más información, consulta Impacto del RBAC de datos en el análisis de riesgos.

Para acceder al panel de Estadísticas de riesgos, sigue estos pasos:

1. En la barra de navegación, haz clic en Detección.
2. En Detección, haz clic en Análisis de riesgos.

Cantidad de entidades, puntuación de riesgo y tabla de entidades

El panel Risk Analystics muestra, según los filtros elegidos, solo los entre las 10,000 entidades con mayor riesgo en la empresa. Todos los gráficos y del panel representan solo este conjunto de entidades.

En el gráfico Recuento total de entidades, ubicado en la parte superior izquierda, se muestra la cantidad de entidades. el seguimiento en su empresa con un riesgo mayor que 0. Entidades con un puntuación de riesgo de 0, pero no se representarán en este gráfico. El recuento total se divide entre los Activos y Usuarios.

Para obtener más información sobre entidades, consulta Objetos lógicos: eventos y Entidad. Para obtener más información sobre cómo se calculan las puntuaciones de riesgo, consulta Puntuación de riesgo cálculo.

En la tabla Entities, hay varias columnas relacionadas con la entidad puntuación de riesgo:

Columna	Valor
Nombre de la entidad	Nombre de la entidad.
Tipo de entidad	Tipo de entidad (activo o usuario).
Normalizado	Las puntuaciones normalizadas se calculan entre entidades y se escalan de 0 a 1, 000 con la normalización mínimo y máximo.
Cambio normalizado	El cambio en la puntuación de riesgo de entidad normalizada desde la ventana anterior de cálculo de riesgos.
Tendencia normalizada	Aumenta o disminuye el cambio porcentual de la puntuación de riesgo normalizada en comparación con la ventana de riesgo anterior.
Base	La puntuación base de riesgo de entidad es igual a la puntuación de riesgo máxima de los hallazgos más la ponderación multiplicada por la suma de las puntuaciones de riesgo de los hallazgos restantes. El valor predeterminado de ponderación es 0 .2 y se puede cambiar en Configuración.
Cambio de base	El cambio en la puntuación base de riesgo de entidad desde la ventana anterior de cálculo de riesgos.
Tendencia base	Aumenta o disminuye el cambio porcentual de la puntuación de riesgo base en comparación con la ventana de riesgo anterior.
Recuento de resultados	Es la cantidad de hallazgos (alertas y detecciones) que incluyen esta entidad durante el período de cálculo de riesgos.
Se vio por primera vez en la ventana	Marca de tiempo cuando se vio la entidad por primera vez en un hallazgo (alerta o detección) durante la ventana de cálculo de riesgos.
Visto por última vez en el período	Marca de tiempo de la última vez que se vio la entidad en un hallazgo (alerta o detección) durante la ventana de cálculo de riesgos.

Ajusta la ventana de cálculo de riesgos

El riesgo calculado que representa una entidad cambia según el período de tiempo en proceso de análisis. Cambiar el parámetro de configuración Ventana de cálculo de riesgos en la parte superior derecha (selecciona Ventana de 24 horas o Ventana de 7 días) cambia la de riesgo calculado que se muestra aquí. Te recomendamos que cambies este parámetro de configuración. según el tipo de ataque que busques. Por ejemplo, los ataques de fuerza bruta ataques son más evidentes si estableces la ventana de cálculo de riesgos en 24 Horas. Los períodos más largos te permiten detectar ataques a largo plazo.

Las puntuaciones de riesgo de entidad cambian según la ventana de cálculo de riesgo seleccionada. Las puntuaciones de riesgo de entidad se calculan en función de los hallazgos generados durante período de riesgo.

Limita tu búsqueda con filtros rápidos

Los filtros rápidos te permiten acotar la búsqueda, ya que solo muestran resultados relevantes para según tus necesidades específicas.

Para usar los filtros rápidos en el panel de Análisis de riesgos, sigue estos pasos:

1. Haz clic en filter_alt anterior la tabla Entidades. Aparecerá la ventana Filters.
2. Selecciona una de las siguientes columnas:
   • Cantidad de resultados
   • Puntuación de riesgo de entidad normalizada
   • Tendencia normalizada del riesgo de entidad
   • Tipo
3. Selecciona Mostrar solo o Filtrar.
4. Seleccione un valor (puede seleccionar más de un valor para expandir el rango):
   • Cantidad de resultados: Valores entre 0 y mayor que 1,000.
   • Puntuación de riesgo de entidad normalizada: Valores de 0 a 1000.
   • Tendencia normalizada del riesgo de entidad: Porcentajes inferiores a -99% a más del 199%.
   • Tipo: Selecciona Recursos o Usuarios.
5. (Opcional) Para agregar filtros adicionales, haz clic en Agregar filtro y repite este paso del paso 2.
6. Cuando termines de configurar los filtros, haz clic en Aplicar.

Por ejemplo, si seleccionas Tendencias de riesgo de entidad normalizadas, selecciona Mostrar únicamente y marca >199%, solo para las entidades con un riesgo de entidad normalizado cambio superior al 199%.

Investiga una entidad con la página de entidades

Para investigar una entidad, sigue estos pasos:

1. Desplázate por la columna Nombre de la entidad o usa la barra de búsqueda para encontrar una .
2. Haz clic en la entidad que deseas investigar.

Se abrirá la página de la entidad. Esta página te permite examinar solo los hallazgos asociada con esa entidad. El gráfico Cronograma de hallazgos en la parte superior hace un seguimiento de las puntuaciones de riesgo de entidad y los resultados a lo largo del tiempo. Este gráfico está compuesto por métricas procesadas previamente que se muestran en un formato de gráfico de líneas para mostrar tendencias en el tiempo. Las anomalías se pueden ver como aumentos repentinos en el gráfico de líneas. Debajo del gráfico, se encuentra el Tabla Hallazgos, que muestra qué eventos y actividades tiene la entidad seleccionada asociados.

Hay un panel Ver detalles de la entidad que se puede contraer en la parte inferior derecha. Contiene un resumen de detalles importantes sobre la entidad seleccionada. Para completar un un análisis detallado de la entidad seleccionada, haz clic en Ver detalles de la entidad para la entidad en la vista Activo o Usuario, según si “Entity” es un activo o usuario, respectivamente. Para obtener más información, consulta Investigar una entidad de recurso o Investiga un usuario.

Investiga una entidad con el análisis de entidades

El análisis de entidades brinda a los analistas del SOC y a los cazadores de amenazas una vista detallada del comportamiento de una entidad, incluidos su perfil de referencia, las anomalías y enriquecimientos contextuales.

En la página de la entidad, selecciona un intervalo de tiempo de hasta 90 días en la pestaña Hallazgos cronograma y haz clic en Ver estadísticas para la selección. Se abrirá una barra lateral que muestra las estadísticas asociadas con esta entidad dentro de los períodos durante un período específico. Cada análisis muestra una agregación de todos los valores analíticos. dentro del intervalo de tiempo. Cuando se detecta un análisis, se incluye una lista de alertas y detecciones que pueden examinarse más a fondo haciendo clic en Ver más para abre la vista Alertas o Detección correspondiente. Para obtener más información, consulta Investigar una alerta.

Se proporcionan las siguientes estadísticas de entidades:

• Recuento de nombres de eventos de alerta
• Intentos de autenticación correctos
• Falló los intentos de autenticación
• Total de intentos de autenticación
• Bytes de salida de DNS
• Falla en las consultas de DNS
• Consultas de DNS correctas
• Total de consultas de DNS
• Ejecuciones de archivos correctas
• Falló la ejecución de archivos
• Total de ejecuciones de archivos
• Consultas HTTP correctas
• Las consultas HTTP fallaron
• Total de consultas HTTP
• Bytes de entrada de la red
• Bytes de salida de red
• Total de bytes de red
• Total de intentos de autenticación de Workspace
• Total de correos electrónicos de Workspace enviados
• Bytes de salida de red de Workspace
• Total de bytes de red de Workspace
• Acciones de cambios totales en Workspace
• Acciones de descarga totales de Workspace

Cómo modificar una puntuación de riesgo de entidad

Cuando información o eventos externos afectan el riesgo real de una entidad, puedes hacer lo siguiente: actualizar la puntuación de riesgo de la entidad

Por ejemplo, puedes disminuir temporalmente la puntuación de riesgo de un empleado que acaba de terminaron un ejercicio de equipo de simulación de ataque (como las pruebas de penetración) para que los analistas no tienes que perder tiempo investigando por qué ese empleado tenía un aumento de riesgo. Tú también podría aumentar temporalmente la puntuación de riesgo de un empleado involucrado en un causa judicial.

1. En la tabla Entidades de la página Análisis de riesgos, mantén presionada la el puntero sobre la columna del extremo derecho de la fila. Es posible que debas desplazar se muestra a la derecha. Haz clic en more_vert.

   y selecciona Actualizar puntuación de riesgo de entidad.

2. En el diálogo Actualizar puntuación de riesgo de entidad, configura los valores para lo siguiente:

   • Factor de multiplicación: Te permite aumentar o disminuir el riesgo. de una entidad con un factor de multiplicación de 0.0 - 100.0. Para ejemplo, si has descubierto nueva evidencia sobre una entidad que facilita la entidad el doble de arriesgada, actualiza el factor de multiplicación a 50 para el verdadero factor de riesgo de la entidad.
   • Período: Período en el que el factor de multiplicación es se aplicó. Puedes seleccionar Ahora o entre 1 día y 14 días. Si seleccionas Ahora, el factor de multiplicación se aplica a la entidad. puntuación de riesgo de la ventana actual de cálculo de riesgos. Solo los existentes que las alertas y detecciones se incluyen en el cálculo. Cuando finalice el período seleccionado, se actualizará la puntuación de riesgo de entidad detenerse y la puntuación de riesgo vuelve a la normalidad.
   • Motivo: Te permite dejar contexto adicional para otros usuarios sobre por qué se hizo esta actualización. Selecciona alguna de las siguientes opciones: Nuevo Evidencia, Puntuación de riesgo incorrecta, Cambio de perfil de riesgo, Requisitos de cumplimiento, o bien Otros.

Si intentas realizar un cambio que ya se realizó (por ejemplo, quieren actualizar el factor de multiplicación de una entidad al 25%, pero otro miembro del equipo ya realizó el cambio), aparecerá un cuadro de diálogo en el que se indicará que el cambio datos, incluida la información sobre quién realizó el cambio y cuándo.

Ver las actualizaciones de la puntuación de riesgo en los detalles de la entidad

Puedes ver todas las actualizaciones de puntuación de riesgo de una entidad en el Perfil de entidad. .

1. Para abrir el historial de actualizaciones de puntuaciones de riesgo, haz clic en la entidad la página Perfil de la entidad.
2. En el gráfico del cronograma del evento, cada vez que alguien cambió el riesgo de la entidad la puntuación se indica con el Etiqueta Modificación de la puntuación de riesgo en texto blanco.
3. Mantén el puntero sobre el texto para mostrar un diálogo con la fecha, el usuario y el motivo del cambio.

Listas

La página Listas de monitoreo te permite supervisar entidades específicas de tus .

Navegar a la pestaña Listas de monitoreo

1. En la barra de navegación izquierda, haz clic en Detección.
2. En Detección, haz clic en Estadísticas de riesgos.
3. Haz clic en la pestaña Listas para ver.

Cómo agregar una lista de monitoreo

Para agregar una lista de monitoreo a tu cuenta de Google Security Operations, completa los siguientes pasos: pasos. Puedes configurar hasta 200 listas.

1. Haz clic en Crear lista de monitoreo.
2. Especifica un nombre para la lista de monitoreo.
3. Especifica una Descripción (opcional).
4. (Opcional) Especifica un Factor de multiplicación entre 0 y 100. El valor predeterminado es 1)
5. (Opcional) Especifica las entidades en el lado derecho de la ventana después del Sección Agrega entidades a una lista de monitoreo. Tú puedes agregar los siguientes tipos de entidades aquí:
   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID
6. Haz clic en Crear lista de monitoreo.

Cómo fijar una lista para ver

1. Haz clic en Editar visualización.
2. Haz clic en la casilla de verificación junto a la lista para ver que quieras fijar.
3. Haz clic en Guardar.

Cómo dejar de fijar una lista para ver

1. En el panel Listas para ver, selecciona la lista que quieres dejar de fijar. y selecciona more_vert .
2. Haz clic en Quitar de la pantalla.

Cómo editar una lista de monitoreo

1. En el panel Listas de monitoreo, selecciona la lista que deseas editar y haz clic en el ícono more_vert .
2. Haz clic en Editar lista de monitoreo.

Cómo borrar una lista de monitoreo

1. En el panel Listas para ver, selecciona la lista que deseas borrar. y haz clic en more_vert .
2. Haz clic en Borrar lista de monitoreo.

Cómo agregar entidades a una lista de monitoreo

Para agregar entidades a una lista de monitoreo, especifica el nombre, tipo y (opcional) espacio de nombres línea por línea con uno de los siguientes formatos.

• NAME,TYPE

• NAME, TYPE y NAMESPACE

  TYPE puede ser uno de los datos siguientes:

  • ASSET_IP_ADDRESS
  • EMAIL
  • EMPLOYEE_ID
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID
  • USERNAME
  • WINDOWS_SID

  NAMESPACE solo se puede especificar para el activo. tipos de entidades:

  • ASSET_IP_ADDRESS
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID

Por ejemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Este ejemplo representa dos entidades agregadas a la lista de monitoreo, una dirección IP de recurso 205.148.5.0 y un nombre de host website.com en el espacio de nombres chronicle Tú puede tener hasta 10,000 entidades en una lista de monitoreo.

Cómo quitar entidades de una lista de monitoreo

Para quitar entidades de una lista de monitoreo, quita las líneas que representan las entidades que quieres quitar y haz clic en Guardar.

Cambia la configuración de la puntuación de riesgo

La página Puntuación de riesgo de la entidad te permite definir cómo se calculan las puntuaciones de riesgo para entidades, alertas y detecciones. Esta página te permite personalizar calculada en función de las necesidades únicas de tu búsqueda.

Hay tres campos en la página Puntuación de riesgo de la entidad que puedes actualizar:

• Ponderación de la puntuación de riesgo de entidad
• Puntuación de riesgo predeterminada de las alertas
• Puntuación predeterminada de riesgo de detección

Para cambiar cualquiera de estos parámetros de configuración, sigue estos pasos:

1. Desde la barra de navegación, selecciona Configuración > Puntuaciones de riesgo de entidad.
2. Actualiza las puntuaciones de riesgo según corresponda.
3. Haz clic en Guardar. Cuando regreses a la página principal de Estadísticas de riesgos, verás verás un mensaje en la parte superior de la pantalla que confirma que se modificó se realizó en Entity Risk Score (puntuación de riesgo de entidad).
4. (Opcional) Para restablecer cualquiera de estos valores, haz clic en Restablecer a la derecha de el valor.

Las actualizaciones solo se aplicarán a las alertas y las detecciones nuevas. Puede tardar hasta 30 minutos para que los cambios se apliquen.

Ponderación de la puntuación de riesgo de entidad

La ponderación define cómo contribuyen las puntuaciones de riesgo de alerta y detección al riesgo de entidad los cálculos de puntuación. La ponderación es un valor entre 0 y 1, y el valor predeterminado es 0.2.

Estos son algunos ejemplos de cómo los diferentes números influyen en la puntuación de riesgo de entidad cálculo:

• Ponderación de la puntuación de riesgo de entidad 0. La puntuación de riesgo sin procesar es la máxima de riesgo de detección entre todas las detecciones de la entidad.
• Ponderación de la puntuación de riesgo de entidad 1. La puntuación de riesgo sin procesar es la suma de todos las puntuaciones de riesgo de detección de la entidad.
• Ponderación de la puntuación de riesgo de entidad 0.5. La puntuación de riesgo da peso total a la detección con la puntuación de riesgo máxima para la entidad y la mitad del peso para todas las demás detecciones.

Puntuación de riesgo predeterminada para las detecciones

La puntuación de riesgo predeterminada para detecciones te permite asignar un valor predeterminado a de las puntuaciones de riesgo de detección. Las puntuaciones de riesgo de detección se usan para calcular el riesgo de entidad de rendimiento. Las puntuaciones de riesgo para las detecciones se definen cuando se escribe una regla. Si la respuesta es no la puntuación de riesgo se define en la regla, se usa el valor predeterminado. La puntuación predeterminada es de 15 y el rango de puntuación de riesgo es de 0 a 100.

Puntuación de riesgo predeterminada de las alertas

Al igual que Puntuación de riesgo predeterminada para detecciones, este campo te permite asignar una el valor predeterminado para las puntuaciones de riesgo de las alertas. Si no se define una puntuación de riesgo en la regla, se usa el valor predeterminado de 40. El rango de puntuación de riesgo es de 0 a 1,000.

Para obtener información sobre cómo definir la puntuación de riesgo en una regla, consulta la sección Resultado sintaxis.

Coeficiente de alerta cerrada

El coeficiente de alerta cerrada modifica la puntuación de riesgo de las alertas marcadas como cerradas. los analistas. Es un modificador de punto flotante entre 0 y 1 inclusive. El el valor predeterminado es 1.0, lo que significa que todas las alertas abiertas y cerradas conservan su de rendimiento. Si el coeficiente de alerta cerrada tiene un valor de 0.0, todas reciben una puntuación de riesgo de 0 y ya no aumentarían la puntuación de riesgo de la entidad general.