Descripción general de la puntuación de riesgo

Las puntuaciones de riesgo se usan en todo Google Security Operations. La definición y la función de estos puntajes varían según la función que estés usando.

El análisis de riesgos está disponible con las licencias Enterprise y Enterprise Plus, o como un complemento a una licencia independiente SIEM de Google SecOps.

Entidades en el análisis de riesgos

En esta sección, se definen los conceptos de entidades, riesgo y resultados tal como se presentan que se presentó en el informe Risk Analytics panel de control.

  • Entidades: Es la representación contextual de un recurso o usuario en tu en un entorno de nube. Todos los eventos asociados con entidades proporcionan contexto sobre qué tan riesgosa es la entidad. Para obtener más información, consulta Objetos lógicos: Evento y Entidad.

  • Período de cálculo de riesgos: Te permite cambiar el período del panel de control, lo que te permite ver los datos a través de diferentes períodos. Por ejemplo, puedes descubrir intentos de acceso por fuerza bruta usando el método de tiempo o examinar la actividad maliciosa a largo plazo estableciendo durante la ventana de tiempo.

  • Normalizada: Las puntuaciones normalizadas se establecen entre 1 y 1,000 para distinguir entidades sin puntuaciones provenientes de las entidades que sí tienen detecciones en el período de riesgo.

  • Tendencia normalizada: el cambio en la puntuación de riesgo de entidad normalizada desde el en la ventana anterior.

  • Base: las puntuaciones base se calculan sumando las puntuaciones de riesgo en hallazgos (alertas y detecciones) para una entidad durante el período de riesgo con ponderación aplicada. Si el valor de ponderación es 1, la ponderación no tendrá un valor de impacto. Para obtener más información, consulta Riesgo de entidad puntuación.

  • Cambio de base: El cambio en la puntuación base de riesgo de entidad desde el anterior en la ventana modal.

  • Primer/último que se vio en el período: Marca de tiempo que corresponde al momento en que se creó la entidad. se vio por primera o última vez en un hallazgo (alerta o detección) durante el período especificadas en el período de riesgo.

Hallazgos del análisis de riesgos

Los siguientes términos se usan en la página de perfil de la entidad (haz clic en una entidad en la tabla de entidades para abrirla en la página de perfil de la entidad).

  • Hallazgo: Cantidad de hallazgos (alertas y detecciones) que incluyen esto para el período de la ventana de riesgo.

  • Gravedad: la fuente establece la gravedad cuando se crea un resultado.

  • Prioridad: La fuente establece la prioridad cuando se crea un hallazgo.

  • Puntuación de riesgo: La fuente establece las puntuaciones de riesgo cuando se crea un hallazgo. Si no se establecen las puntuaciones de riesgo, la puntuación de riesgo predeterminada para las alertas y detecciones de los datos. La puntuación de riesgo predeterminada de las alertas es 40. Predeterminado la puntuación de riesgo de las detecciones es de 15.

Cálculo de la puntuación de riesgo

El cálculo de la puntuación de riesgo para cada entidad se basa en la puntuación de riesgo de y se modifica en función de un conjunto de parámetros que puedes especificar y un conjunto de parámetros controlados por Google Security Operations. Los parámetros que puedes controlar se puede acceder si vas a la barra de navegación y haces clic en Configuración > Entidad Puntuaciones de riesgo:

  • Coeficiente de alerta cerrada: Si los analistas de seguridad marcan una alerta como cerrado, se multiplica con este modificador de punto flotante. El rango es De 0 a 1. El valor predeterminado es 1.

  • Puntuación de riesgo de detección predeterminada: Especifica la puntuación de riesgo para detecciones en el motor de reglas. El rango es de 0 a 1,000. El valor predeterminado es 15.

Google Security Operations especifica los siguientes parámetros:

  • Modificación de la puntuación de riesgo con TTL: La puntuación base de riesgo de entidad se modifica en un factor de multiplicación para el intervalo de tiempo.

  • Modificación de la puntuación de riesgo sin TTL: Se modifica la puntuación de riesgo de la detección. con un factor de multiplicación.

Las siguientes son las fórmulas que se usan para calcular la puntuación de riesgo y Puntuación de riesgo normalizada:

  • Cálculo de la puntuación de riesgo: (Puntuación base de riesgo de entidad) = (Puntuación de riesgo máxima) del hallazgo) + (Ponderación * (suma de las puntuaciones de riesgo restantes para el hallazgos)).

  • Puntuación de riesgo normalizada: Las puntuaciones base de riesgo de entidad se normalizan en todos los entidades. La puntuación base de riesgo de entidad usa la normalización y los rangos mínimos y máximos. de 1 a 1,000. No se incluyen las entidades sin riesgo.

Ejemplo: cálculo de la puntuación de riesgo

A continuación, se describe la secuencia completa de cómo es una puntuación de detección de riesgos para una entidad:

  1. Entrada: Las detecciones se agrupan por indicador.
  2. (Opcional) Coeficiente de alerta cerrada: Si la puntuación de riesgo de detección es para En una alerta cerrada, la puntuación se multiplica por el coeficiente de alerta cerrada.
  3. Modificación de la puntuación de riesgo predeterminada(opcional) si no se establece explícitamente una regla, se aplica la puntuación de riesgo de detección predeterminada. Alertas predeterminadas las puntuaciones de riesgo de detección sin alertas se pueden cambiar en las puntuaciones de riesgo de entidad configuración.
  4. Cálculo de la puntuación de riesgo: El factor de ponderación se multiplica por la suma de todas las detecciones (excepto la puntuación máxima de riesgo de detección) y, luego, se agregan con la puntuación máxima de riesgo de detección. Este valor representa la entidad sin procesar puntuación de riesgo.
  5. Ponderación de modificación: La puntuación de riesgo de entidad sin procesar se multiplica por el el peso de la modificación. Esta modificación es una operación única, a menos que TTL esté establecida. Este valor es la puntuación base de riesgo de entidad.
  6. Peso de la lista de monitoreo: Si una entidad es parte de una lista de monitoreo, esta se agrega a la puntuación de riesgo de detección.
  7. Puntuación de riesgo normalizada: la puntuación base de riesgo de entidad se normaliza en todas las entidades que usan la normalización de mínimos y máximos.

Configuración de la puntuación de riesgo

La página Puntuaciones de riesgo de entidad te permite definir cómo se calculan las puntuaciones de riesgo para entidades, alertas y detecciones. Puedes aplicar la ponderación al riesgo de entidad. cálculos de puntuación y establecer puntuaciones de riesgo de alerta y detección predeterminadas. Solo cambios se aplican a las alertas y detecciones nuevas, y pueden tardar hasta 30 minutos en aplicarse.

  • Ponderación de la puntuación de riesgo de entidad: La ponderación define cómo la alerta y la detección de riesgo se incluyen en los cálculos de la puntuación de riesgo de entidad. La ponderación es un de 0 a 1. La fórmula de la puntuación base de riesgo de entidad se define de la siguiente manera: sigue:

    Puntuación base de riesgo de entidad = (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (Suma de las puntuaciones de riesgo restantes de los hallazgos))

  • Puntuaciones de riesgo predeterminadas para alertas: especifica la puntuación de riesgo de alerta predeterminada en la página Configuración. El valor predeterminado es 40. Puedes modificar alertas individuales de riesgos en las reglas. Estos anulan todos los valores predeterminados en la página Configuración.

  • Puntuación de riesgo predeterminada para detecciones: Especifica el riesgo de detección predeterminado. de la app en la página Configuración. El valor predeterminado es 15. Puedes modificar individualmente las puntuaciones de riesgo de detección en las propias reglas. Estos anulan los valores predeterminados. configurados en la página Configuración.