Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la puntuación de riesgo

Se admite en los siguientes países:

Google SecOps SIEM

Las puntuaciones de riesgo se utilizan en todas las operaciones de seguridad de Google. La definición y la función de estas puntuaciones varían según la función que uses.

Risk Analytics está disponible con las licencias Enterprise y Enterprise Plus, o como complemento de una licencia independiente de SIEM de Google SecOps.

Entidades en Análisis de riesgos

En esta sección, se definen los conceptos de entidades, riesgo y hallazgos tal como se presentan en el panel de Risk Analytics.

Entidades: Representación contextual de un activo o usuario en tu entorno. Todos los eventos asociados con las entidades proporcionan contexto sobre cuán riesgosa es la entidad. Para obtener más información, consulta Objetos lógicos: Evento y entidad.
Ventana de cálculo de riesgo: Te permite cambiar el período del panel para que puedas ver los datos en diferentes períodos. Por ejemplo, puedes descubrir intentos de acceso de fuerza bruta con el período más corto o examinar la actividad maliciosa a largo plazo configurando el período más extenso.
Normalizadas: Las puntuaciones normalizadas se establecen entre 1 y 1,000 para distinguir las entidades sin puntuaciones de las que sí tienen detecciones dentro del período de riesgo.
Tendencia normalizada: Es el cambio en la puntuación normalizada de riesgo de la entidad desde el período anterior.
Base: Para calcular las puntuaciones base, se suman las puntuaciones de riesgo de todos los resultados (alertas y detecciones) de una entidad durante el período de riesgo con la ponderación aplicada. Si el valor de ponderación es 1, la ponderación no tendrá ningún efecto. Para obtener más información, consulta Puntuación de riesgo de la entidad.
Cambio en la base: Es el cambio en la puntuación base de riesgo de la entidad desde el período anterior.
Primera o última aparición en el período: Marca de tiempo correspondiente al momento en que la entidad apareció por primera o última vez en un hallazgo (alerta o detección) durante el período especificado en el período de riesgo.

Resultados en Análisis de riesgos

En la página de perfil de la entidad, se usan los siguientes términos (haz clic en una entidad de la tabla de entidades para abrirla en la página de perfil de la entidad).

Resultado: Cantidad de resultados (alertas y detecciones) que incluyen a esta entidad para el período en el período de riesgo.
Gravedad: La fuente establece la gravedad cuando se crea un resultado.
Prioridad: La fuente establece la prioridad cuando se crea un problema.
Puntuación de riesgo: La fuente establece las puntuaciones de riesgo cuando se crea un hallazgo. Si no se configuran las puntuaciones de riesgo, se usará la puntuación de riesgo predeterminada para las alertas y las detecciones. La puntuación de riesgo predeterminada para las alertas es 40. La puntuación de riesgo predeterminada para las detecciones es 15.

Cálculo de la puntuación de riesgo

El cálculo de la puntuación de riesgo de cada entidad se basa en la puntuación de riesgo de los hallazgos y se modifica en función de un conjunto de parámetros que puedes especificar y un conjunto de parámetros controlados por Google Security Operations. Para acceder a los parámetros que puedes controlar, ve a la barra de navegación y haz clic en Configuración > Puntuaciones de riesgo de entidades:

Coeficiente de alerta cerrada: Si los analistas de seguridad marcan una alerta como cerrada, se multiplica por este modificador de punto flotante. El rango es de 0 a 1. El valor predeterminado es 1.
Puntuación predeterminada de riesgo de las detecciones: Especifica la puntuación de riesgo de las detecciones en el motor de reglas. El rango es de 0 a 1,000. El valor predeterminado es 15.

Google Security Operations especifica los siguientes parámetros:

Modificación de la puntuación de riesgo con TTL: La puntuación de riesgo base de la entidad se modifica con un factor de multiplicación para el período.
Modificación de la puntuación de riesgo sin TTL: La puntuación de riesgo de detección se modifica con un factor de multiplicación.

Las siguientes son las fórmulas que se usan para calcular la puntuación de riesgo y la puntuación de riesgo normalizada:

Cálculo de la puntuación de riesgo: (Puntuación base de riesgo de entidad) = (Puntuación de riesgo máxima del hallazgo) + (Ponderación × (Suma de las puntuaciones de riesgo restantes de los hallazgos))
Puntuación de riesgo normalizada: Las puntuaciones de riesgo base de las entidades se normalizan en todas las entidades. La puntuación base de riesgo de entidad usa la normalización mínima y máxima, y varía entre 1 y 1,000. No se incluyen las entidades con riesgo cero.

Ejemplo: Cálculo de la puntuación de riesgo

A continuación, se describe la secuencia completa para calcular una puntuación de detección de riesgo para una entidad:

Entrada: Las detecciones se agrupan por indicador.
Coeficiente de alerta cerrada(opcional): Si la puntuación de riesgo de detección es para una alerta cerrada, la puntuación se multiplica por el coeficiente de alerta cerrada.
Modificación opcional de la puntuación de riesgo predeterminada Si no se establece de forma explícita en una regla, se aplica la puntuación de riesgo de detección predeterminada. Las puntuaciones de riesgo de detección predeterminadas con alertas o sin alertas se pueden cambiar en la configuración de las puntuaciones de riesgo de las entidades.
Cálculo de la puntuación de riesgo: El factor de ponderación se multiplica por la suma de todas las detecciones (excepto por la puntuación de riesgo de detección máxima) y, luego, se suma a la puntuación de riesgo de detección máxima. Este valor representa la puntuación de riesgo sin procesar de la entidad.
Ponderación de modificación: La puntuación de riesgo de entidad sin procesar se multiplica por la ponderación de modificación. Esta modificación es una operación única, a menos que se establezca un TTL. Este valor es la puntuación base de riesgo de entidad.
Ponderación de la lista de seguimiento: Si una entidad forma parte de una lista de seguimiento, su ponderación se agrega a la puntuación de riesgo de detección.
Puntuación de riesgo normalizada: La puntuación base de riesgo de entidad se normaliza en todas las entidades con la normalización min-máx.

Configuración de la puntuación de riesgo

En la página Puntuaciones de riesgo de entidad, puedes definir cómo se calculan las puntuaciones de riesgo de las entidades, las alertas y las detecciones. Puedes aplicar ponderaciones a los cálculos de puntuación de riesgo de las entidades y establecer puntuaciones de riesgo predeterminadas para alertas y detecciones. Los cambios solo afectan a las alertas y las detecciones nuevas, y es posible que tarden hasta 30 minutos en aplicarse.

Ponderación de la puntuación de riesgo de las entidades: La ponderación define cómo se tienen en cuenta las puntuaciones de riesgo de alertas y detecciones en los cálculos de la puntuación de riesgo de las entidades. El ponderamiento es un valor de 0 a 1. La fórmula de la puntuación base de riesgo de entidad se define de la siguiente manera:

Puntuación base de riesgo de entidad = (puntuación de riesgo máxima del hallazgo) + (ponderación * (suma de las puntuaciones de riesgo restantes de los hallazgos))
Puntuaciones de riesgo predeterminadas para las alertas: Especifica la puntuación de riesgo predeterminada de las alertas en la página Configuración. El valor predeterminado es 40. Puedes modificar las puntuaciones de riesgo de alertas individuales en las reglas. Estos parámetros anulan cualquier valor predeterminado configurado en la página Configuración.
Puntuaciones de riesgo predeterminadas para las detecciones: Especifica la puntuación de riesgo de detección predeterminada en la página Configuración. El valor predeterminado es 15. Puedes modificar las puntuaciones de riesgo de detección individuales en las reglas. Estos parámetros anulan cualquier valor predeterminado configurado en la página Configuración.