Descripción general de la puntuación de riesgo

Las puntuaciones de riesgo se usan en todo Google Security Operations. La definición y la función de estas puntuaciones varían según la función que uses.

El análisis de riesgos está disponible con las licencias Enterprise y Enterprise Plus, o como complemento de una licencia independiente de SIEM de Google SecOps.

Entidades en el análisis de riesgos

En esta sección, se definen los conceptos de entidades, riesgo y resultados, tal como se presentan en el panel de estadísticas de riesgos.

  • Entidades: Representación contextual de un recurso o usuario en tu entorno. Todos los eventos asociados con entidades proporcionan contexto sobre el riesgo de la entidad. Para obtener más información, consulta Objetos lógicos: evento y entidad.

  • Ventana de cálculo de riesgos: Te permite cambiar el período del panel, lo que te permite ver los datos en diferentes períodos. Por ejemplo, puedes descubrir intentos de acceso por fuerza bruta con el período más corto o examinar la actividad maliciosa a largo plazo configurando el período más largo.

  • Normalizadas: Las puntuaciones normalizadas se establecen entre 1 y 1,000 para distinguir las entidades sin puntuaciones de las que tienen detecciones dentro de la ventana de riesgo.

  • Tendencia normalizada: El cambio en la puntuación de riesgo de entidad normalizada desde el período anterior.

  • Base: Las puntuaciones base se calculan sumando las puntuaciones de riesgo de todos los resultados (alertas y detecciones) de una entidad durante el período de riesgo con la ponderación aplicada. Si el valor de ponderación es 1, la ponderación no tendrá ningún impacto. Para obtener más información, consulta la puntuación de riesgo de entidad.

  • Cambio base: Es el cambio en la puntuación de riesgo de entidad base desde el período anterior.

  • Primer o último caso en el período: Marca de tiempo que corresponde a la primera o última vez que se vio la entidad en un resultado (alerta o detección) durante el período especificado en el período de riesgo.

Hallazgos del análisis de riesgos

Los siguientes términos se usan en la página de perfil de la entidad (haz clic en una entidad de la tabla de entidades para abrirla en la página de perfil de la entidad).

  • Hallazgo: Cantidad de resultados (alertas y detecciones) que incluyen esta entidad durante el período en la ventana de riesgo.

  • Gravedad: la fuente establece la gravedad cuando se crea un resultado.

  • Prioridad: La fuente establece la prioridad cuando se crea un hallazgo.

  • Puntuación de riesgo: La fuente establece las puntuaciones de riesgo cuando se crea un hallazgo. Si no se establecen las puntuaciones de riesgo, se usa la puntuación de riesgo predeterminada para las alertas y detecciones. La puntuación de riesgo predeterminada de las alertas es 40. La puntuación de riesgo predeterminada para las detecciones es 15.

Cálculo de la puntuación de riesgo

El cálculo de la puntuación de riesgo para cada entidad se basa en la puntuación de riesgo de los resultados y se modifica en función de un conjunto de parámetros que puedes especificar y un conjunto de parámetros controlados por Google Security Operations. Puedes acceder a los parámetros que puedes controlar si vas a la barra de navegación y haces clic en Configuración > Puntuaciones de riesgo de entidad:

  • Coeficiente de alerta cerrada: Si los analistas de seguridad marcan una alerta como cerrada, se multiplica con este modificador de punto flotante. El rango es de 0 a 1. El valor predeterminado es 1.

  • Puntuación de riesgo de detección predeterminada: Especifica la puntuación de riesgo para las detecciones en el motor de reglas. El rango es de 0 a 1,000. El valor predeterminado es 15.

Google Security Operations especifica los siguientes parámetros:

  • Modificación de la puntuación de riesgo con TTL: La puntuación base de riesgo de entidad se modifica por un factor de multiplicación para el intervalo de tiempo.

  • Modificación de la puntuación de riesgo sin TTL: La puntuación de riesgo de la detección se modifica con un factor de multiplicación.

Las siguientes son las fórmulas que se usan para calcular la puntuación de riesgo y la puntuación de riesgo normalizada:

  • Cálculo de la puntuación de riesgo: (Puntuación base de riesgo de entidad) = (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (suma de las puntuaciones de riesgo restantes de los resultados))

  • Puntuación de riesgo normalizada: Las puntuaciones base de riesgo de entidad se normalizan en todas las entidades. La puntuación base de riesgo de entidad usa la normalización de mínimo-máximo y varía de 1 a 1,000. No se incluyen las entidades sin riesgo.

Ejemplo: cálculo de la puntuación de riesgo

A continuación, se describe la secuencia completa de cómo se calcula una puntuación de detección de riesgos para una entidad:

  1. Entrada: Las detecciones se agrupan por indicador.
  2. (Opcional) Coeficiente de alerta cerrada: Si la puntuación de riesgo de detección es para una alerta cerrada, la puntuación se multiplica por el coeficiente de alerta cerrada.
  3. Modificación de la puntuación de riesgo predeterminada(opcional): Si no se establece de forma explícita en una regla, se aplica la puntuación de riesgo de detección predeterminada. Las puntuaciones de riesgo de detección predeterminadas o de detección sin alertas se pueden cambiar en la configuración de las puntuaciones de riesgo de entidad.
  4. Cálculo de la puntuación de riesgo: El factor de ponderación se multiplica por la suma de todas las detecciones (excepto por la puntuación máxima de riesgo de detección) y, luego, se agrega a la puntuación máxima de riesgo de detección. Este valor representa la puntuación sin procesar del riesgo de la entidad.
  5. Ponderación de modificación: La puntuación de riesgo de entidad sin procesar se multiplica por la ponderación de modificación. Esta modificación es una operación única, a menos que se configure un TTL. Este valor es la puntuación base de riesgo de entidad.
  6. Peso de la lista de monitoreo: Si una entidad es parte de una lista, el peso de la lista se agrega a la puntuación de riesgo de detección.
  7. Puntuación de riesgo normalizada: La puntuación base de riesgo de entidad se normaliza en todas las entidades con la normalización mínimo y máximo.

Configuración de la puntuación de riesgo

La página Puntuaciones de riesgo de entidad te permite definir cómo se calculan las puntuaciones de riesgo para las entidades, alertas y detecciones. Puedes aplicar la ponderación a los cálculos de la puntuación de riesgo de entidad y establecer las puntuaciones predeterminadas de riesgo de alerta y detección. Los cambios solo se aplican a las alertas y detecciones nuevas, y pueden tardar hasta 30 minutos en aplicarse.

  • Ponderación de la puntuación de riesgo de entidad: La ponderación define cómo se tienen en cuenta las puntuaciones de riesgo de alerta y de detección en los cálculos de puntuación de riesgo de entidad. La ponderación es un valor entre 0 y 1. La fórmula de la puntuación base de riesgo de entidad se define de la siguiente manera:

    Puntuación base de riesgo de entidad = (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (suma de las puntuaciones de riesgo restantes de los resultados))

  • Puntuaciones de riesgo predeterminadas para alertas: especifica la puntuación de riesgo de alerta predeterminada en la página Configuración. El valor predeterminado es 40. Puedes modificar las puntuaciones de riesgo de alertas individuales en las reglas. Estas anulan cualquier valor predeterminado establecido en la página Configuración.

  • Puntuación de riesgo predeterminada para detecciones: Especifica la puntuación de riesgo de detección predeterminada en la página Configuración. El valor predeterminado es 15. Puedes modificar las puntuaciones de riesgo de detección individual en las reglas. Estas anulan cualquier valor predeterminado establecido en la página Configuración.