Panel de Análisis de riesgos

Se admite en los siguientes países:

El panel Análisis de riesgos te permite ver tu entorno a través de una perspectiva basada en riesgos. Visualizar las tendencias de riesgo de las entidades te ayuda a identificar comportamientos inusuales y a comprender el riesgo potencial que las entidades representan para tu empresa.

En el panel Análisis de riesgos, se enumeran las entidades en riesgo y los detalles de los factores de riesgo. En los sistemas que usan el RBAC de datos, solo los usuarios con alcance global pueden acceder a las estadísticas de riesgo. Para obtener más información, consulta el impacto de la RBAC de datos en las estadísticas de riesgos.

Para acceder al panel Análisis de riesgos, sigue estos pasos:

  1. En la barra de navegación, haz clic en Detection.
  2. En Detección, haz clic en Análisis de riesgos.

Recuento de entidades, puntuación de riesgo y tabla de entidades

En el panel Análisis de riesgos, se muestran, según los filtros elegidos, solo las 10,000 entidades con el riesgo más alto de la empresa. Todos los gráficos y las tablas del panel solo representan este conjunto de entidades.

El gráfico Cantidad total de entidades que se encuentra en la parte superior izquierda muestra la cantidad de entidades de tu empresa a las que se les hace un seguimiento con un riesgo superior a 0. Se sigue haciendo un seguimiento de las entidades con una puntuación de riesgo de 0, pero no se representan en este gráfico. El recuento total se divide entre Recursos y Usuarios.

Para obtener más información sobre las entidades, consulta Objetos lógicos: evento y entidad. Para obtener más información sobre cómo se calculan las puntuaciones de riesgo, consulta Cálculo de la puntuación de riesgo.

En la tabla Entidades, hay varias columnas relacionadas con la puntuación de riesgo de la entidad:

Columna Valor
Nombre de la entidad Es el nombre de la entidad.
Tipo de entidad Tipo de entidad (activo o usuario).
Normalizado Las puntuaciones normalizadas se calculan en todas las entidades y escalan entre 0 y 1, 000 con la normalización min-máx.
Cambio en puntuación normalizada Es el cambio en la puntuación normalizada de riesgo de la entidad desde el último período de cálculo de riesgo.
Tendencia normalizada Es el aumento o la disminución del cambio porcentual de la puntuación de riesgo normalizada en comparación con el período de riesgo anterior.
Base La puntuación base de riesgo de entidad es igual a la puntuación de riesgo máxima del hallazgo más la ponderación por la suma de las puntuaciones de riesgo de los hallazgos restantes.

El valor predeterminado de la ponderación es .2 y se puede cambiar en Configuración.
Cambio base Es el cambio en la puntuación base de riesgo de la entidad desde el período de cálculo de riesgo anterior.
Tendencia base Es el aumento o la disminución del cambio porcentual de la puntuación de riesgo base en comparación con el período de riesgo anterior.
Cantidad de resultados La cantidad de resultados (alertas y detecciones) que incluyen a esta entidad durante el período de cálculo de riesgo.
Primera aparición en el período Marca de tiempo de cuando la entidad apareció por primera vez en los resultados (alertas o detecciones) durante el período de cálculo de riesgo.
Última aparición en el período Marca de tiempo de cuando la entidad apareció por última vez en los resultados (alertas o detecciones) durante el período de cálculo de riesgo.

Ajusta la ventana de cálculo de riesgos

El riesgo calculado que representa una entidad cambia según el período en examen. Si cambias el parámetro de configuración Período de cálculo de riesgo en la esquina superior derecha (selecciona Período de 24 horas o Período de 7 días), se cambiará la puntuación de riesgo calculada que se muestra aquí. Te recomendamos que cambies este parámetro de configuración según el tipo de ataque que busques. Por ejemplo, los ataques de fuerza bruta son más evidentes si se establece la ventana de cálculo de riesgos en 24 horas. Los períodos más largos te permiten detectar ataques a largo plazo.

Las puntuaciones de riesgo de las entidades cambian dependiendo del período de cálculo de riesgo seleccionado. Las puntuaciones de riesgo de las entidades se calculan en función de los resultados generados durante el período de riesgo.

Cómo restringir tu búsqueda con filtros rápidos

Los filtros rápidos te permiten restringir la búsqueda, ya que solo muestran resultados relevantes para tus necesidades específicas.

Para usar los filtros rápidos en el panel Análisis de riesgos, sigue estos pasos:

  1. Haz clic en filter_alt sobre la tabla Entidades. Aparecerá la ventana Filtros.
  2. Selecciona una de las siguientes columnas:
    • Cantidad de hallazgos
    • Puntuación normalizada de riesgo de entidad
    • Tendencia normalizada de riesgo de entidad
    • Tipo
  3. Selecciona Mostrar solo o Filtrar.
  4. Selecciona un valor (puedes seleccionar más de uno para expandir el rango):
    • Cantidad de hallazgos: Valores de 0 a más de 1,000.
    • Puntuación normalizada de riesgo de entidad: Valores de 0 a 1,000.
    • Tendencia normalizada de riesgo de entidad: Porcentajes de menos del -99% a más del 199%.
    • Tipo: Selecciona Recursos o Usuarios.
  5. Para agregar filtros adicionales, haz clic en Agregar filtro (opcional) y repite este proceso desde el paso 2.
  6. Cuando termines de configurar los filtros, haz clic en Aplicar.

Por ejemplo, si seleccionas la Tendencia normalizada de riesgo de entidad, Mostrar solo y marcas >199%, solo se mostrarán las entidades con un cambio de riesgo de entidad normalizado superior al 199%.

Cómo investigar una entidad con la página de la entidad

Para investigar una entidad, sigue estos pasos:

  1. Desplázate por la columna Nombre de la entidad o usa la barra de búsqueda para encontrar una entidad.
  2. Haz clic en la entidad que quieres investigar.

Se abrirá la página de la entidad. Esta página te permite examinar solo los resultados asociados con esa entidad. El gráfico Cronograma de hallazgos que se encuentra en la parte superior hace un seguimiento de las puntuaciones de riesgo y los hallazgos de la entidad a lo largo del tiempo. Este gráfico está compuesto por métricas calculadas previamente que se muestran en formato de gráfico de líneas para mostrar las tendencias a lo largo del tiempo. Las anomalías se pueden ver como aumentos repentinos en el gráfico de líneas. Debajo del gráfico, se encuentra la tabla Resultados, que muestra con qué eventos y actividades se asoció la entidad seleccionada.

En la parte inferior derecha, hay un panel desplegable Ver detalles de la entidad que contiene un resumen de los detalles importantes de la entidad seleccionada. Para completar un examen detallado de la entidad seleccionada, haz clic en Ver detalles de la entidad para verla en la vista Recurso o Usuario, según si la entidad es un recurso o un usuario, respectivamente. Para obtener más información, consulta Cómo investigar una entidad de activo o Cómo investigar a un usuario.

Cómo investigar una entidad con las estadísticas de entidades

Los análisis de entidades proporcionan a los analistas de SOC y a los cazadores de amenazas una vista detallada del comportamiento de una entidad, incluido el perfil de referencia, las anomalías y los enriquecimientos contextuales de la entidad.

En la página de la entidad, selecciona un período de hasta 90 días en el Cronograma de hallazgos y haz clic en Ver estadísticas de la selección. Se abrirá una barra lateral que te mostrará las estadísticas asociadas con esta entidad dentro del período seleccionado. Cada analítica muestra un total de todos los valores analíticos dentro del período. Cuando se detecta, una analítica incluye una lista de alertas y detecciones relacionadas que se pueden examinar en detalle. Para ello, haz clic en Ver más y abre la vista correspondiente de Alertas o Detección. Para obtener más información, consulta Cómo investigar una alerta.

Se proporcionan las siguientes estadísticas de entidades:

  • Cantidad de nombres de eventos de alerta
  • Intentos de autenticación correctos
  • Fallan los intentos de autenticación
  • Total de intentos de autenticación
  • Bytes de DNS salientes
  • Las consultas de DNS fallan
  • Consultas de DNS correctas
  • Total de consultas de DNS
  • Ejecuciones de archivos correctas
  • Fallas en la ejecución de archivos
  • Total de ejecuciones de archivos
  • Búsquedas HTTP correctas
  • Las consultas HTTP fallan
  • Total de consultas HTTP
  • Bytes de red entrantes
  • Bytes de red de salida
  • Total de bytes de red
  • Total de intentos de autenticación de Workspace
  • Total de correos electrónicos enviados de Workspace
  • Bytes de red de Workspace salientes
  • Total de bytes de red de Workspace
  • Acciones de cambio total de Workspace
  • Acciones de descarga totales de Workspace

Modifica la puntuación de riesgo de una entidad

Cuando la información o los eventos externos afectan el riesgo real de una entidad, puedes actualizar su puntuación de riesgo.

Por ejemplo, puedes disminuir temporalmente la puntuación de riesgo de un empleado que acaba de completar un ejercicio de equipo rojo (como una prueba de penetración) para que los analistas no tengan que perder tiempo investigando por qué ese empleado tuvo un aumento de riesgo. También podrías aumentar temporalmente la puntuación de riesgo de un empleado involucrado en un caso judicial.

  1. En la tabla Entidades de la página Análisis de riesgos, mantén el puntero sobre la columna de la derecha de la fila. Es posible que debas desplazar la pantalla hacia la derecha. Haz clic en more_vert.

    y selecciona Actualizar la puntuación de riesgo de entidad.

  2. En el cuadro de diálogo Actualizar la puntuación de riesgo de la entidad, configura los valores para lo siguiente:

    • Factor de multiplicación: Te permite aumentar o disminuir la puntuación de riesgo de una entidad con un factor de multiplicación de 0.0 a 100.0. Por ejemplo, si descubriste evidencia nueva sobre una entidad que la hace dos veces más riesgosa, actualiza el factor de multiplicación a 50 para reflejar el verdadero factor de riesgo de la entidad.
    • Período: Es el período en el que se aplica el factor de multiplicación. Puedes seleccionar Ahora o entre 1 día y 14 días. Si seleccionas Ahora, el factor de multiplicación se aplica a la puntuación de riesgo de la entidad para el período actual de cálculo de riesgos. Solo las alertas y detecciones existentes se incluyen en el cálculo. Cuando finalice el período seleccionado, las actualizaciones de la puntuación de riesgo de la entidad se detendrán y la puntuación de riesgo volverá a la normalidad.
    • Motivo: Te permite dejar contexto adicional para otros usuarios sobre el motivo de esta actualización. Elige una de las siguientes opciones: Nueva evidencia, Puntuación de riesgo incorrecta, Cambio en el perfil de riesgo, Requisitos de cumplimiento o Otro.

Si intentas realizar un cambio que ya se realizó (por ejemplo, quieres actualizar el factor de multiplicación de una entidad al 25%, pero otro miembro del equipo ya realizó ese cambio), aparecerá un diálogo que indicará que el cambio ya se realizó, incluida la información sobre quién lo hizo y cuándo.

Consulta las actualizaciones de la puntuación de riesgo en los detalles de la entidad

Puedes ver todas las actualizaciones de la puntuación de riesgo de una entidad en la página Perfil de la entidad.

  1. Haz clic en la entidad cuyo historial de actualizaciones de la puntuación de riesgo deseas ver para abrir la página Perfil de la entidad.
  2. En el gráfico de línea de tiempo de eventos, cada vez que alguien cambia la puntuación de riesgo de la entidad, la etiqueta Modificación de la puntuación de riesgo aparece en texto blanco.
  3. Mantén el puntero sobre el texto para mostrar un diálogo con la fecha, el usuario y el motivo del cambio.

Lista de monitoreo

La página Listas de seguimiento te permite supervisar entidades específicas de toda tu empresa.

  1. En la barra de navegación izquierda, haz clic en Detección.
  2. En Detección, haz clic en Análisis de riesgos.
  3. Haz clic en la pestaña Listas de seguimiento.

Cómo agregar una lista de sitios web

Para agregar una lista de seguimiento a tu cuenta de Google Security Operations, completa los siguientes pasos. Puedes configurar hasta 200 listas de seguimiento.

  1. Haz clic en Crear lista de seguimiento.
  2. Especifica un nombre para la lista para ver.
  3. Especifica una Descripción (opcional).
  4. (Opcional) Especifica un factor de multiplicación entre 0 y 100. El valor predeterminado es 1.
  5. Especifica las entidades en el lado derecho de la ventana, después de la sección Agrega entidades a una lista de seguimiento (opcional). Aquí puedes agregar los siguientes tipos de entidades:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Haz clic en Crear lista de seguimiento.

Cómo fijar una lista de sitios web

  1. Haz clic en Editar pantalla.
  2. Haz clic en la casilla de verificación junto a la lista de seguimiento que deseas fijar.
  3. Haz clic en Guardar.

Cómo dejar de fijar una lista de sitios web

  1. En el panel Listas para ver, selecciona la lista que deseas dejar de fijar y, luego, more_vert .
  2. Haz clic en Quitar de la pantalla.

Cómo editar una lista de seguimiento

  1. En el panel Listas de seguimiento, selecciona la lista de seguimiento que deseas editar y haz clic en el ícono more_vert .
  2. Haz clic en Editar lista de seguimiento.

Cómo borrar una lista de sitios web

  1. En el panel Listas para ver, selecciona la lista que deseas borrar y haz clic en more_vert .
  2. Haz clic en Borrar lista de seguimiento.

Cómo agregar entidades a una lista para ver

Para agregar entidades a una lista de seguimiento, especifica el nombre, el tipo y el espacio de nombres (opcional) de la entidad línea por línea con uno de los siguientes formatos.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE puede ser uno de los datos siguientes:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE solo se puede especificar para los siguientes tipos de entidades de activos:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Por ejemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

En este ejemplo, se representan dos entidades agregadas a la lista de seguimiento: una dirección IP del activo 205.148.5.0 y un nombre de host website.com en el espacio de nombres chronicle. Puedes tener hasta 10,000 entidades en una lista de seguimiento.

Cómo quitar entidades de una lista para ver

Para quitar entidades de una lista de seguimiento, quita las líneas que representan las entidades que quieres quitar y haz clic en Guardar.

Cambia la configuración de la puntuación de riesgo

La página Puntuación de riesgo de entidad te permite definir cómo se calculan las puntuaciones de riesgo de las entidades, las alertas y las detecciones. Esta página te permite personalizar la forma en que se calcula el riesgo según las necesidades únicas de tu búsqueda.

En la página Puntuación de riesgo de entidad, puedes actualizar tres campos:

Para cambiar cualquiera de estos parámetros de configuración, sigue estos pasos:

  1. En la barra de navegación, selecciona Configuración > Puntuaciones de riesgo de la entidad.
  2. Actualiza las puntuaciones de riesgo según corresponda.
  3. Haz clic en Guardar. Cuando regreses a la página principal de Análisis de riesgos, verás un mensaje en la parte superior de la pantalla que confirma que se realizó un cambio en la Puntuación de riesgo de la entidad.
  4. Para volver a establecer cualquiera de estos valores, haz clic en Restablecer a la derecha del valor (opcional).

Las actualizaciones solo se aplicarán a las alertas y detecciones nuevas. Los cambios pueden tardar hasta 30 minutos en aplicarse.

Ponderación de la puntuación de riesgo de las entidades

La ponderación define cómo las puntuaciones de riesgo de alertas y detecciones contribuyen a los cálculos de la puntuación de riesgo de las entidades. El ponderamiento es un valor de 0 a 1, y el valor predeterminado es 0.2.

Estos son algunos ejemplos de cómo diferentes números afectan el cálculo de la puntuación de riesgo de la entidad:

  • Ponderación de la puntuación de riesgo de la entidad 0. La puntuación de riesgo sin procesar es la puntuación de riesgo de detección máxima entre todas las detecciones de la entidad.
  • Ponderación de la puntuación de riesgo de entidad 1. La puntuación de riesgo sin procesar es la suma de todas las puntuaciones de riesgo de detección de la entidad.
  • Ponderación de la puntuación de riesgo de entidad 0.5. La puntuación de riesgo otorga la ponderación completa a la detección con la puntuación de riesgo máxima para la entidad y la mitad de la ponderación para todas las demás detecciones.

Puntuación de riesgo predeterminada para las detecciones

La puntuación de riesgo predeterminada para las detecciones te permite asignar un valor predeterminado para las puntuaciones de riesgo de las detecciones. Las puntuaciones de riesgo de detección se usan para calcular las puntuaciones de riesgo de las entidades. Las puntuaciones de riesgo para las detecciones se definen cuando se escribe una regla. Si no se define una puntuación de riesgo en la regla, se usa el valor predeterminado. La puntuación predeterminada es 15 y el rango de la puntuación de riesgo es de 0 a 100.

Puntuación de riesgo predeterminada para las alertas

Al igual que Puntuación de riesgo predeterminada para las detecciones, este campo te permite asignar un valor predeterminado para las puntuaciones de riesgo de las alertas. Si no se define una puntuación de riesgo en la regla, se usa el valor predeterminado de 40. El rango de la puntuación de riesgo es de 0 a 1,000.

Para obtener información sobre cómo definir la puntuación de riesgo en una regla, consulta Sintaxis de la sección de resultados.

Coeficiente de alertas cerradas

El coeficiente de alerta cerrada modifica la puntuación de riesgo de las alertas marcadas como cerradas por los analistas. Es un modificador de punto flotante que debe estar entre 0 y 1 inclusive. El valor predeterminado es 1.0, lo que significa que todas las alertas abiertas y cerradas conservan sus puntuaciones originales. Si el coeficiente de alerta cerrada tiene un valor de 0.0, todas las alertas cerradas reciben una puntuación de riesgo de 0 y ya no aumentarían la puntuación de riesgo de la entidad general.