Descripción general de la puntuación de riesgo

Compatible con:

Las puntuaciones de riesgo se usan en todo Google Security Operations. La definición y la función de estos puntajes varían según la función que estés usando.

El análisis de riesgos está disponible con las licencias Enterprise y Enterprise Plus, o como un complemento a una licencia independiente SIEM de Google SecOps.

Entidades en Análisis de riesgos

En esta sección, se definen los conceptos de entidades, riesgo y hallazgos tal como se presentan en el panel de Risk Analytics.

  • Entidades: Es la representación contextual de un recurso o usuario en tu en un entorno de nube. Todos los eventos asociados con entidades proporcionan contexto sobre qué tan riesgosa es la entidad. Para obtener más información, consulta Objetos lógicos: Evento y Entidad.

  • Período de cálculo de riesgos: Te permite cambiar el período del panel de control, lo que te permite ver los datos durante diferentes períodos. Por ejemplo, puedes descubrir intentos de acceso por fuerza bruta usando el método de tiempo o examinar la actividad maliciosa a largo plazo estableciendo durante la ventana de tiempo.

  • Normalizadas: Las puntuaciones normalizadas se establecen entre 1 y 1,000 para distinguir las entidades sin puntuaciones de las que sí tienen detecciones dentro del período de riesgo.

  • Tendencia normalizada: Es el cambio en la puntuación normalizada de riesgo de la entidad desde el período anterior.

  • Base: las puntuaciones base se calculan sumando las puntuaciones de riesgo en hallazgos (alertas y detecciones) para una entidad durante el período de riesgo con ponderación aplicada. Si el valor de ponderación es 1, la ponderación no tendrá un valor de impacto. Para obtener más información, consulta Riesgo de entidad puntuación.

  • Cambio en la base: Es el cambio en la puntuación base de riesgo de la entidad desde el período anterior.

  • Primer/último que se vio en el período: Marca de tiempo que corresponde al momento en que se creó la entidad. se vio por primera o última vez en un hallazgo (alerta o detección) durante el período especificadas en el período de riesgo.

Resultados de las estadísticas de riesgos

Los siguientes términos se usan en la página de perfil de la entidad (haz clic en una entidad en la tabla de entidades para abrirla en la página de perfil de la entidad).

  • Resultado: Es la cantidad de resultados (alertas y detecciones) que incluyen a esta entidad para el período del período de riesgo.

  • Gravedad: La fuente establece la gravedad cuando se crea un resultado.

  • Prioridad: La fuente establece la prioridad cuando se crea un problema.

  • Puntuación de riesgo: La fuente establece las puntuaciones de riesgo cuando se crea un hallazgo. Si no se establecen las puntuaciones de riesgo, se usará la puntuación de riesgo predeterminada para las alertas y las detecciones. La puntuación de riesgo predeterminada para las alertas es 40. Predeterminado la puntuación de riesgo de las detecciones es de 15.

Cálculo de la puntuación de riesgo

El cálculo de la puntuación de riesgo de cada entidad se basa en la puntuación de riesgo de los hallazgos y se modifica en función de un conjunto de parámetros que puedes especificar y un conjunto de parámetros controlados por Google Security Operations. Los parámetros que puedes controlar se puede acceder si vas a la barra de navegación y haces clic en Configuración > Entidad Puntuaciones de riesgo:

  • Coeficiente de alerta cerrada: Si los analistas de seguridad marcan una alerta como cerrado, se multiplica con este modificador de punto flotante. El rango es de 0 a 1. El valor predeterminado es 1.

  • Puntuación predeterminada de riesgo de las detecciones: Especifica la puntuación de riesgo de las detecciones en el motor de reglas. El rango es de 0 a 1,000. El valor predeterminado es 15.

Google Security Operations especifica los siguientes parámetros:

  • Modificación de la puntuación de riesgo con el TTL: La puntuación base de riesgo de entidad se modifica en un factor de multiplicación para el intervalo de tiempo.

  • Modificación de la puntuación de riesgo sin TTL: La puntuación de riesgo de detección se modifica con un factor de multiplicación.

Las siguientes son las fórmulas que se usan para calcular la puntuación de riesgo y la puntuación de riesgo normalizada:

  • Cálculo de la puntuación de riesgo: (Puntuación base de riesgo de entidad) = (Puntuación de riesgo máxima del hallazgo) + (Ponderación × (Suma de las puntuaciones de riesgo restantes de los hallazgos))

  • Puntuación de riesgo normalizada: Las puntuaciones de riesgo base de las entidades se normalizan en todas las entidades. La puntuación base de riesgo de entidad usa la normalización y los rangos mínimos y máximos. de 1 a 1,000. No se incluyen las entidades con riesgo cero.

Ejemplo: Cálculo de la puntuación de riesgo

A continuación, se describe la secuencia completa para calcular una puntuación de detección de riesgo para una entidad:

  1. Entrada: Las detecciones se agrupan por indicador.
  2. Coeficiente de alerta cerrada (opcional): Si la puntuación de riesgo de detección es para una alerta cerrada, la puntuación se multiplica por el coeficiente de alerta cerrada.
  3. Modificación de la puntuación de riesgo predeterminada(opcional) si no se establece explícitamente una regla, se aplica la puntuación de riesgo de detección predeterminada. Alertas predeterminadas las puntuaciones de riesgo de detección sin alertas se pueden cambiar en las puntuaciones de riesgo de entidad configuración.
  4. Cálculo de la puntuación de riesgo: El factor de ponderación se multiplica por la suma de todas las detecciones (excepto la puntuación máxima de riesgo de detección) y, luego, se agregan con la puntuación máxima de riesgo de detección. Este valor representa la entidad sin procesar puntuación de riesgo.
  5. Ponderación de modificación: La puntuación de riesgo de entidad sin procesar se multiplica por el el peso de la modificación. Esta modificación es una operación única, a menos que se establezca un TTL. Este valor es la puntuación base de riesgo de entidad.
  6. Peso de la lista de monitoreo: Si una entidad es parte de una lista de monitoreo, esta se agrega a la puntuación de riesgo de detección.
  7. Puntuación de riesgo normalizada: la puntuación base de riesgo de entidad se normaliza en todas las entidades que usan la normalización de mínimos y máximos.

Configuración de la puntuación de riesgo

En la página Puntuaciones de riesgo de entidad, puedes definir cómo se calculan las puntuaciones de riesgo de las entidades, las alertas y las detecciones. Puedes aplicar la ponderación al riesgo de entidad. cálculos de puntuación y establecer puntuaciones de riesgo de alerta y detección predeterminadas. Solo cambios se aplican a las alertas y detecciones nuevas, y pueden tardar hasta 30 minutos en aplicarse.

  • Ponderación de la puntuación de riesgo de las entidades: La ponderación define cómo se tienen en cuenta las puntuaciones de riesgo de alertas y detecciones en los cálculos de la puntuación de riesgo de las entidades. La ponderación es un de 0 a 1. La fórmula de la puntuación base de riesgo de entidad se define de la siguiente manera:

    Puntuación base de riesgo de entidad = (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (Suma de las puntuaciones de riesgo restantes de los hallazgos))

  • Puntuaciones de riesgo predeterminadas para alertas: especifica la puntuación de riesgo de alerta predeterminada en la página Configuración. El valor predeterminado es 40. Puedes modificar las puntuaciones de riesgo de alertas individuales en las reglas. Estos anulan todos los valores predeterminados en la página Configuración.

  • Puntuaciones de riesgo predeterminadas para las detecciones: Especifica la puntuación de riesgo de detección predeterminada en la página Configuración. El valor predeterminado es 15. Puedes modificar individualmente las puntuaciones de riesgo de detección en las propias reglas. Estos parámetros anulan cualquier valor predeterminado configurado en la página Configuración.