Panel de análisis de riesgos

El panel Estadísticas de riesgos te permite ver tu entorno desde una lentes de riesgo. Visualizar las tendencias de riesgo de entidad te ayuda a identificar el comportamiento inusual y a comprender el riesgo potencial que las entidades representan para tu empresa.

El panel Análisis de riesgos enumera las entidades en riesgo y los detalles de los factores de riesgo. En los sistemas que usan RBAC de datos, solo los usuarios con permiso global pueden acceder a las estadísticas de riesgos. Para obtener más información, consulta Impacto del RBAC de datos en el análisis de riesgos.

Para acceder al panel de Estadísticas de riesgos, sigue estos pasos:

  1. En la barra de navegación, haz clic en Detección.
  2. En Detección, haz clic en Análisis de riesgos.

Cantidad de entidades, puntuación de riesgo y tabla de entidades

En el panel Risk Analystics, se muestra, según los filtros elegidos, solo las 10,000 entidades principales con el riesgo más alto en la empresa. Todos los gráficos y tablas del panel representan solo este conjunto de entidades.

En el gráfico Recuento total de entidades, en la parte superior izquierda, se muestra la cantidad de entidades a las que se les hace un seguimiento en tu empresa con un riesgo mayor que 0. Aún se realiza un seguimiento de las entidades con una puntuación de riesgo de 0, pero no se representarán en este gráfico. El recuento total se divide entre Activos y Usuarios.

Para obtener más información sobre entidades, consulta Objetos lógicos: evento y entidad. Para obtener más información sobre cómo se calculan las puntuaciones de riesgo, consulta el artículo Cálculo de la puntuación de riesgo.

En la tabla Entidades, hay varias columnas relacionadas con la puntuación de riesgo de entidad:

Columna Valor
Nombre de la entidad Nombre de la entidad.
Tipo de entidad Tipo de entidad (activo o usuario).
Normalizado Las puntuaciones normalizadas se calculan entre entidades y se escalan de 0 a 1, 000 con la normalización mínimo y máximo.
Cambio normalizado El cambio en la puntuación de riesgo de entidad normalizada desde la ventana anterior de cálculo de riesgos.
Tendencia normalizada Aumenta o disminuye el cambio porcentual de la puntuación de riesgo normalizada en comparación con la ventana de riesgo anterior.
Capas La puntuación base de riesgo de entidad es igual a la puntuación de riesgo máxima de los hallazgos más la ponderación multiplicada por la suma de las puntuaciones de riesgo de los hallazgos restantes.

El valor predeterminado de ponderación es 0 .2 y se puede cambiar en Configuración.
Cambio de base El cambio en la puntuación base de riesgo de entidad desde la ventana anterior de cálculo de riesgos.
Tendencia base Aumenta o disminuye el cambio porcentual de la puntuación de riesgo base en comparación con la ventana de riesgo anterior.
Recuento de resultados Es la cantidad de hallazgos (alertas y detecciones) que incluyen esta entidad durante el período de cálculo de riesgos.
Se vio por primera vez en la ventana Marca de tiempo cuando se vio la entidad por primera vez en un hallazgo (alerta o detección) durante la ventana de cálculo de riesgos.
Visto por última vez en el período Marca de tiempo de la última vez que se vio la entidad en un hallazgo (alerta o detección) durante la ventana de cálculo de riesgos.

Ajusta la ventana de cálculo de riesgos

El riesgo calculado que representa una entidad cambia según el período de análisis. Si cambias la configuración de la ventana de cálculo de riesgos en la parte superior derecha (selecciona Ventana de 24 horas o Ventana de 7 días), cambia la puntuación de riesgo calculada que se muestra aquí. Puedes cambiar esta configuración según el tipo de ataque que estés buscando. Por ejemplo, los ataques de fuerza bruta son más evidentes si se establece la ventana de cálculo de riesgos en 24 Hours. Los períodos más largos te permiten detectar ataques a largo plazo.

Las puntuaciones de riesgo de entidad cambian según la ventana de cálculo de riesgo seleccionada. Las puntuaciones de riesgo de entidad se calculan en función de los hallazgos generados durante el período de riesgo.

Limita tu búsqueda con filtros rápidos

Los filtros rápidos te permiten acotar la búsqueda, ya que solo muestran resultados relevantes para tus necesidades específicas.

Para usar los filtros rápidos en el panel de Análisis de riesgos, sigue estos pasos:

  1. Haz clic en filter_alt arriba de la tabla Entities. Aparecerá la ventana Filters.
  2. Selecciona una de las siguientes columnas:
    • Cantidad de resultados
    • Puntuación de riesgo de entidad normalizada
    • Tendencia normalizada del riesgo de entidad
    • Tipo
  3. Selecciona Mostrar solo o Filtrar.
  4. Selecciona un valor (puedes elegir más de un valor para expandir el rango):
    • Cantidad de resultados: Valores entre 0 y mayor que 1,000.
    • Puntuación de riesgo de entidad normalizada: Valores de 0 a 1000.
    • Tendencia normalizada del riesgo de entidad: porcentajes entre menos del -99% y más del 199%
    • Tipo: Selecciona Recursos o Usuarios.
  5. Para agregar filtros adicionales, haz clic en Agregar filtro y repite este proceso del paso 2 (opcional).
  6. Cuando termines de configurar los filtros, haz clic en Aplicar.

Por ejemplo, si seleccionas la Tendencia normalizada de riesgo de entidad, selecciona Mostrar solo y marcas >199%, solo se mostrarán las entidades con un cambio de riesgo de entidad normalizado superior al 199%.

Investiga una entidad con la página de entidades

Para investigar una entidad, sigue estos pasos:

  1. Desplázate por la columna Nombre de la entidad o usa la barra de búsqueda para encontrar una entidad.
  2. Haz clic en la entidad que deseas investigar.

Se abrirá la página de la entidad. Esta página te permite examinar solo los resultados asociados con esa entidad. El gráfico del cronograma de hallazgos en la parte superior hace un seguimiento de las puntuaciones de riesgo de entidad y de los resultados a lo largo del tiempo. Este gráfico está compuesto por métricas calculadas previamente que se muestran en un formato de gráfico de líneas para mostrar tendencias en el tiempo. Las anomalías se pueden ver como aumentos repentinos en el gráfico de líneas. Debajo del gráfico, se encuentra la tabla Hallazgos, que muestra con qué eventos y actividades se asoció la entidad seleccionada.

En la parte inferior derecha, hay un panel Ver detalles de la entidad que se puede contraer y que contiene un resumen de los detalles importantes de la entidad seleccionada. Si quieres completar un análisis detallado de la entidad seleccionada, haz clic en Ver detalles de la entidad para verla en la vista Activo o Usuario, según si es un activo o un usuario, respectivamente. Para obtener más información, consulta Cómo investigar una entidad de activo o Cómo investigar un usuario.

Investiga una entidad con el análisis de entidades

El análisis de entidades proporciona a los analistas del SOC y a los cazadores de amenazas una vista detallada del comportamiento de una entidad, incluido el perfil del modelo de referencia de la entidad, las anomalías y los enriquecimientos contextuales.

En la página de la entidad, selecciona un intervalo de tiempo de hasta 90 días en el Cronograma de resultados y haz clic en Ver estadísticas de la selección. Se abrirá una barra lateral que te mostrará las estadísticas asociadas con esta entidad dentro del intervalo de tiempo seleccionado. Cada análisis muestra una agregación de todos los valores analíticos dentro del intervalo de tiempo. Cuando se detecta, un análisis incluye una lista de alertas y detecciones relacionadas que se pueden examinar con más detalle si haces clic en Ver más para abrir la vista de Alertas o Detección correspondiente. Para obtener más información, consulta Investiga una alerta.

Se proporcionan las siguientes estadísticas de entidades:

  • Recuento de nombres de eventos de alerta
  • Intentos de autenticación correctos
  • Falló los intentos de autenticación
  • Total de intentos de autenticación
  • Bytes de salida de DNS
  • Falla en las consultas de DNS
  • Consultas de DNS correctas
  • Total de consultas de DNS
  • Ejecuciones de archivos correctas
  • Falló la ejecución de archivos
  • Total de ejecuciones de archivos
  • Consultas HTTP correctas
  • Las consultas HTTP fallaron
  • Total de consultas HTTP
  • Bytes de entrada de la red
  • Bytes de salida de red
  • Total de bytes de red
  • Total de intentos de autenticación de Workspace
  • Total de correos electrónicos de Workspace enviados
  • Bytes de salida de red de Workspace
  • Total de bytes de red de Workspace
  • Acciones de cambios totales en Workspace
  • Acciones de descarga totales de Workspace

Cómo modificar una puntuación de riesgo de entidad

Cuando la información o los eventos externos afectan el riesgo real de una entidad, puedes actualizar la puntuación de riesgo de la entidad.

Por ejemplo, puedes disminuir de forma temporal la puntuación de riesgo de un empleado que acaba de terminar un ejercicio de equipo de simulación de ataque (como las pruebas de penetración) para que los analistas no pierdan tiempo investigando por qué ese empleado tuvo un aumento de riesgo. También podrías aumentar temporalmente la puntuación de riesgo de un empleado involucrado en un caso judicial.

  1. En la tabla Entidades de la página Estadísticas de riesgos, mantén el puntero sobre la columna del extremo derecho de la fila. Es posible que debas desplazar la pantalla hacia la derecha. Haz clic en more_vert.

    y selecciona Actualizar puntuación de riesgo de entidad.

  2. En el diálogo Actualizar puntuación de riesgo de entidad, configura los valores para lo siguiente:

    • Factor de multiplicación: Te permite aumentar o disminuir la puntuación de riesgo de una entidad con un factor de multiplicación de 0.0 a 100.0. Por ejemplo, si descubriste nueva evidencia sobre una entidad que la convierte en el doble de riesgosa, actualiza el factor de multiplicación a 50 para reflejar el verdadero factor de riesgo de la entidad.
    • Período: Es el período en el que se aplica el factor de multiplicación. Puedes seleccionar Ahora o entre 1 día y 14 días. Si seleccionas Ahora, se aplica el factor de multiplicación a la puntuación de riesgo de entidad del período actual de cálculo de riesgos. Solo las alertas y detecciones existentes se incluyen en el cálculo. Cuando finaliza el período seleccionado, se detienen las actualizaciones de la puntuación de riesgo de entidad y esta vuelve a la normalidad.
    • Motivo: Te permite brindar contexto adicional a otros usuarios sobre el motivo de esta actualización. Elige entre las siguientes opciones: Nueva evidencia, Puntuación de riesgo incorrecta, Perfil de riesgo modificado, Requisitos de cumplimiento, o bien Otro.

Si intentas realizar un cambio que ya se realizó (por ejemplo, quieres actualizar el factor de multiplicación de una entidad al 25%, pero otro miembro del equipo ya realizó el cambio), aparecerá un diálogo en el que se indicará que el cambio ya se realizó y se incluirá información sobre quién lo hizo y cuándo.

Ver las actualizaciones de la puntuación de riesgo en los detalles de la entidad

Puedes ver todas las actualizaciones de puntuación de riesgo de una entidad en la página Perfil de entidad.

  1. Haz clic en la entidad cuyo historial de actualizaciones de puntuación de riesgo deseas ver para abrir la página Perfil de la entidad.
  2. En el gráfico del cronograma del evento, cada vez que alguien cambia la puntuación de riesgo de la entidad se indica con la etiqueta Modificación del nivel de riesgo en texto blanco.
  3. Mantén el puntero sobre el texto para mostrar un diálogo con la fecha, el usuario y el motivo del cambio.

Listas

La página Listas de monitoreo te permite supervisar entidades específicas de tu empresa.

  1. En la barra de navegación izquierda, haz clic en Detección.
  2. En Detección, haz clic en Estadísticas de riesgos.
  3. Haz clic en la pestaña Listas para ver.

Cómo agregar una lista de monitoreo

Para agregar una lista de monitoreo a tu cuenta de Google Security Operations, completa los siguientes pasos. Puedes configurar hasta 200 listas.

  1. Haz clic en Crear lista de monitoreo.
  2. Especifica un nombre para la lista de monitoreo.
  3. Especifica una Descripción (opcional).
  4. (Opcional) Especifica un Factor de multiplicación entre 0 y 100. El valor predeterminado es 1.
  5. (Opcional) Especifica las entidades en el lado derecho de la ventana en la sección Agrega entidades a una lista de monitoreo. Puedes agregar los siguientes tipos de entidades aquí:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Haz clic en Crear lista de monitoreo.

Cómo fijar una lista para ver

  1. Haz clic en Editar visualización.
  2. Haz clic en la casilla de verificación junto a la lista para ver que quieras fijar.
  3. Haz clic en Guardar.

Cómo dejar de fijar una lista para ver

  1. En el panel Listas de monitoreo, selecciona la lista que quieres dejar de fijar y selecciona more_vert .
  2. Haz clic en Quitar de la pantalla.

Cómo editar una lista de monitoreo

  1. En el panel Listas de monitoreo, selecciona la lista que deseas editar y haz clic en el ícono more_vert .
  2. Haz clic en Editar lista de monitoreo.

Cómo borrar una lista de monitoreo

  1. En el panel Listas de monitoreo, selecciona la lista que deseas borrar y haz clic en more_vert .
  2. Haz clic en Borrar lista de monitoreo.

Cómo agregar entidades a una lista de monitoreo

Para agregar entidades a una lista de monitoreo, especifica el nombre de la entidad, el tipo y el espacio de nombres (opcional) línea por línea con uno de los siguientes formatos.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE puede ser uno de los datos siguientes:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE solo se puede especificar para los tipos de entidades de activo:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Por ejemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

En este ejemplo, se representan dos entidades agregadas a la lista de monitoreo, una dirección IP de recurso 205.148.5.0 y un nombre de host website.com en el espacio de nombres chronicle. Puedes tener hasta 10,000 entidades en una lista de monitoreo.

Cómo quitar entidades de una lista de monitoreo

Para quitar entidades de una lista de monitoreo, quita las líneas que representan las entidades que deseas quitar y haz clic en Guardar.

Cambia la configuración de la puntuación de riesgo

En la página Puntuación de riesgo de la entidad, puedes definir cómo se calculan las puntuaciones de riesgo para las entidades, alertas y detecciones. Esta página te permite adaptar la manera en que se calcula el riesgo según las necesidades únicas de tu búsqueda.

Hay tres campos en la página Puntuación de riesgo de la entidad que puedes actualizar:

Para cambiar cualquiera de estos parámetros de configuración, sigue estos pasos:

  1. En la barra de navegación, selecciona Settings > Entity Risk Scores.
  2. Actualiza las puntuaciones de riesgo según corresponda.
  3. Haz clic en Guardar. Cuando regreses a la página principal de Estadísticas de riesgos, verás un mensaje en la parte superior de la pantalla que confirma que se realizó un cambio en la Puntuación de riesgo de la entidad.
  4. Opcional: Para volver a configurar cualquiera de estos valores, haz clic en Restablecer a la derecha del valor.

Las actualizaciones solo se aplicarán a las alertas y las detecciones nuevas. Los cambios pueden tardar hasta 30 minutos en aplicarse.

Ponderación de la puntuación de riesgo de entidad

La ponderación define cómo contribuyen las puntuaciones de riesgo de alerta y detección a los cálculos de puntuación de riesgo de entidad. La ponderación es un valor entre 0 y 1, y el valor predeterminado es 0.2.

A continuación, se muestran algunos ejemplos de cómo los diferentes números afectan el cálculo de la puntuación de riesgo de entidad:

  • Ponderación de la puntuación de riesgo de entidad 0. La puntuación de riesgo sin procesar es la puntuación de riesgo de detección máxima entre todas las detecciones de la entidad.
  • Ponderación de la puntuación de riesgo de entidad 1. La puntuación de riesgo sin procesar es la suma de todas las puntuaciones de riesgo de detección de la entidad.
  • Ponderación de la puntuación de riesgo de entidad 0.5. La puntuación de riesgo le da importancia a la detección con la puntuación de riesgo máxima para la entidad y la mitad del peso para todas las demás detecciones.

Puntuación de riesgo predeterminada para las detecciones

La puntuación de riesgo predeterminada para las detecciones te permite asignar un valor predeterminado para las puntuaciones de riesgo de detección. Las puntuaciones de riesgo de detección se usan para calcular las puntuaciones de riesgo de entidad. Las puntuaciones de riesgo para las detecciones se definen cuando se escribe una regla. Si no se define una puntuación de riesgo en la regla, se usa el valor predeterminado. La puntuación predeterminada es 15 y el rango de puntuación de riesgo es de 0 a 100.

Puntuación de riesgo predeterminada de las alertas

Al igual que Puntuación de riesgo predeterminada para detecciones, este campo te permite asignar un valor predeterminado para las puntuaciones de riesgo de alerta. Si no se define una puntuación de riesgo en la regla, se usa el valor predeterminado de 40. El rango de puntuación de riesgo es de 0 a 1,000.

Para obtener información sobre cómo definir la puntuación de riesgo en una regla, consulta la sintaxis de la sección de resultados.

Coeficiente de alerta cerrada

El coeficiente de alerta cerrada modifica la puntuación de riesgo de las alertas marcadas como cerradas por los analistas. Es un modificador de punto flotante entre 0 y 1 inclusive. El valor predeterminado es 1.0, lo que significa que todas las alertas abiertas y cerradas conservan sus puntuaciones originales. Si el coeficiente de alerta cerrada tiene un valor de 0.0, todas las alertas cerradas reciben una puntuación de riesgo de 0 y ya no aumentarían la puntuación de riesgo de la entidad general.