Se usó la API de Cloud Translation para traducir esta página.

Preguntas frecuentes sobre las estadísticas de riesgos

Compatible con:

Google SecOps SIEM

¿Qué es el análisis de riesgos?

El panel de análisis de riesgos te ayuda a identificar comportamientos inusuales y posibles riesgos que representan las entidades dentro de una empresa. Consta de dos secciones principales: Listas de seguimiento y estadísticas conductuales.

¿Quién puede acceder a Análisis de riesgos?

Solo los usuarios con los privilegios relevantes pueden acceder a Risk Analytics. Si tu organización usa RBAC de datos, debes tener un permiso global para acceder a las estadísticas de riesgo.

¿Qué son las estadísticas de comportamiento?

En la sección de estadísticas de comportamiento, se enumeran las entidades según sus puntuaciones de riesgo de entidad de Google SecOps. Incluye una sección de métricas de resumen que proporciona una vista de nivel superior de las entidades peligrosas según el modelado de riesgos de entidades de Google SecOps y realiza un seguimiento de hasta 10,000 entidades con las puntuaciones de riesgo más altas. La tabla Entidades complementa la puntuación de riesgo, ya que realiza un seguimiento del riesgo de una entidad a lo largo del tiempo y proporciona contexto para las investigaciones.

¿Cómo funciona la ventana de cálculo de riesgos?

La ventana de cálculo de riesgos permite a los usuarios cambiar el período del panel, lo que posibilita el análisis de los datos en diferentes períodos. Los períodos más cortos, como 24 horas, ayudan a descubrir eventos como intentos de acceso con fuerza bruta, mientras que los períodos más largos, como 7 días, ayudan a examinar la actividad maliciosa a largo plazo.

¿Puedo ver las puntuaciones de riesgo históricas?

Sí, puedes ver las puntuaciones de riesgo históricas seleccionando una fecha y hora específicas, que mostrarán los riesgos calculados para el período seleccionado de 24 horas o 7 días.

¿Qué es una puntuación de riesgo normalizada?

Las puntuaciones normalizadas se establecen entre 1 y 1,000 para distinguir las entidades con detecciones de las que no tienen.

¿Qué son las puntuaciones base de riesgo?

Para calcular las puntuaciones base, se suman las puntuaciones de riesgo de los resultados (alertas y detecciones) de una entidad durante el período de riesgo, con la ponderación aplicada.

¿Cómo se aplica la ponderación a las puntuaciones de riesgo?

La ponderación de la puntuación de riesgo define cómo las puntuaciones de riesgo de alertas y detecciones contribuyen a los cálculos de la puntuación de riesgo de las entidades, con valores que van de 0 a 1, donde una ponderación de 1 no tiene ningún impacto en la puntuación de riesgo. El valor de ponderación predeterminado es 0.2 y se puede modificar en Configuración.

¿Cómo se calcula la puntuación base de riesgo de la entidad?

La fórmula de la puntuación base de riesgo de entidad es la siguiente: (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (Suma de las puntuaciones de riesgo restantes de los hallazgos)).

¿Cuáles son las puntuaciones de riesgo predeterminadas para las alertas y las detecciones?

La puntuación de riesgo predeterminada para las alertas es de 40 y para las detecciones es de 15. Puedes modificar estos valores predeterminados en Configuración o dentro de las reglas.

¿Qué es el coeficiente de alerta cerrada?

Si un analista de seguridad marca una alerta como cerrada, su puntuación de riesgo se multiplica por un coeficiente que varía de 0 a 1 .

¿Cómo funcionan las modificaciones de la puntuación de riesgo con TTL y sin TTL?

La puntuación base de riesgo de entidad se modifica con un factor de multiplicación para el período, y la puntuación de riesgo de detección se modifica con un factor de multiplicación. Google SecOps especifica estos factores.

¿Cómo se calculan las puntuaciones de riesgo normalizadas?

Las puntuaciones de riesgo de entidad base se normalizan con la normalización mínima y máxima, y van de 1 a 1,000. Se excluyen las entidades con una puntuación de riesgo de 0.

¿Qué es la página de estadísticas de entidades?

Si haces clic en el nombre de una entidad en la tabla Entidades, se abrirá la página Analytics de entidades, que muestra una ventana de intervalo de eventos, un cronograma de resultados y una tabla detallada de resultados. La ventana de intervalo de eventos permite filtrar hasta 90 días.

¿Cuáles son algunos ejemplos de cómo se puede usar la analítica de riesgos?

Puedes usar el análisis de riesgos para identificar volúmenes altos de descarga de datos, cantidades sospechosas de intentos de acceso fallidos o mensajes de diálogo que puedan indicar software malicioso.