Guía de inicio rápido de Analíticas de riesgos

Consulte cómo usar el panel de control de analíticas de riesgo para identificar comportamientos inusuales y comprender el riesgo potencial que suponen las entidades para su empresa. En los sistemas que usan el control de acceso basado en roles (RBAC), solo los usuarios con un ámbito global pueden acceder a las analíticas de riesgo. Para obtener más información, consulta Roles de usuario.

El panel de control Analíticas de riesgos consta de las siguientes secciones:

• Analíticas de comportamiento: muestra una lista de entidades según las puntuaciones de riesgo de entidades de Google Security Operations.
• Lista de seguimiento: muestra las entidades según los cálculos de riesgo internos de la empresa.

La ventana de cálculo de riesgo de la parte superior derecha cambia la puntuación de riesgo calculada que se muestra en el panel de control de analíticas de riesgo. Puedes cambiar este ajuste en función del tipo de ataque que estés buscando. Por ejemplo, los ataques de fuerza bruta son más visibles si se define el valor Ventana de cálculo de riesgo como 24 horas. Para ver los ataques a largo plazo, define el periodo de cálculo del riesgo en 7 días.

Para ver las puntuaciones de riesgo históricas, selecciona una fecha y una hora concretas en el selector de fechas situado junto a Periodo de cálculo de riesgo. Muestra los riesgos de las entidades calculados para el periodo de 24 horas o 7 días que finaliza en la fecha y hora elegidas.

Antes de empezar

Para ir al panel de control de analíticas de riesgos, sigue estos pasos:

1. En la barra de navegación, haz clic en Detección.
2. En Detección, haga clic en Analíticas de riesgo.

Analíticas de comportamiento

Analíticas de comportamiento incluye lo siguiente:

La página Analíticas de comportamiento consta de lo siguiente:

• Sección Métricas de resumen: vista general de un panel de control de analíticas de riesgos que te permite investigar entidades de riesgo en función del modelo de riesgo de entidades de Google SecOps. Puedes monitorizar hasta 10.000 entidades.
• Entidades: una tabla que complementa la puntuación de riesgo que se usa para hacer un seguimiento del riesgo de una entidad a lo largo del tiempo, como métrica para los casos prácticos de detección y como contexto de investigación. También se denominan métricas de riesgo de entidad. Una entidad es una representación contextual de los elementos de tu entorno. Por ejemplo, las entidades pueden ser cuentas de usuario, servidores, portátiles o teléfonos. Para desglosar la información de cada entidad, haga clic en su nombre. Se le dirigirá a la página Analíticas de entidades.

Para obtener más información sobre las entidades, consulta Objetos lógicos: evento y entidad. Para obtener más información sobre cómo se calculan las puntuaciones de riesgo, consulta el artículo Cálculo de la puntuación de riesgo.

Analíticas de la entidad

La página Analíticas de entidades consta de una ventana Intervalo de eventos en la esquina superior derecha, una sección Cronología de resultados y una tabla Resultados detallada.

Selecciona un periodo para analizar los riesgos

1. En la ventana Intervalo de eventos, seleccione un intervalo de tiempo de hasta 90 días ("Últimos 3 meses").
2. En Selección, haga clic en Ver analíticas de la selección. Se abrirá una barra lateral que muestra las analíticas asociadas a esta entidad en el intervalo de tiempo seleccionado. Cada analítica muestra un agregado de todos los valores analíticos del periodo.
3. Haga clic en Ver más para abrir la vista Alertas o Detección correspondiente. Cuando se detecta una analítica, esta incluye una lista de alertas y detecciones relacionadas que se pueden examinar con más detalle.

Ver detecciones compuestas

En la tabla Detecciones se muestran todas las detecciones de una entidad que se hayan producido en el periodo seleccionado. Una alerta es una detección compuesta cuando:

• En la columna Entradas se muestra Detección como fuente.

• En la columna Tipo de detección se muestra la etiqueta Alerta o Detección con un número al lado (por ejemplo, Alert (3)).

Esto indica que una detección o una cadena de detecciones ha activado la alerta, en lugar de eventos o entidades sin procesar.

Puede ver y analizar estas detecciones subyacentes en la tabla Detecciones mediante las siguientes funciones:

• Amplía las filas para ver las detecciones anidadas, los datos de eventos asociados y la información de las entidades relacionadas.

• Personaliza la vista con el gestor de columnas para seleccionar y organizar las columnas de la tabla.

Para obtener más información, consulta Investigar una alerta.

Casos prácticos

A continuación, se muestran algunos casos prácticos del panel de control de analíticas de riesgos.

Caso práctico 1: volumen de descargas alto

Un gran volumen de descarga de datos conlleva el riesgo de que se filtre información confidencial. Google SecOps calcula números de puntuación de riesgo altos para las entidades con volúmenes de descargas elevados.

Caso práctico 2: Número sospechoso de intentos de inicio de sesión fallidos

Un número sospechoso de intentos de inicio de sesión fallidos indica que un hacker o un malware está intentando acceder a la cuenta de un usuario. Google SecOps calculará las puntuaciones de riesgo alto de las entidades con un número sospechoso de intentos de inicio de sesión fallidos. Sin embargo, si se hace internamente como parte de una prueba de penetración, puedes modificar la puntuación de riesgo de la entidad.

Caso práctico 3: Mensaje de diálogo que suplanta la identidad de Google

Un mensaje de diálogo que suplanta la identidad de Google y pide que se actualice el navegador Chrome está intentando obtener acceso a las cuentas de los usuarios. Google SecOps calcula puntuaciones de riesgo elevadas para las entidades en las que se detectan estos mensajes de diálogo en el código.

Siguientes pasos

• Modificar una puntuación de riesgo de entidad
• Investigar un recurso

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.