Descripción general de Análisis de riesgos

Se admite en los siguientes sistemas operativos:

El análisis de riesgo se usa para identificar comportamientos inusuales y comprender el riesgo potencial que las entidades representan para tu empresa. En los sistemas que usan RBAC de datos, solo los usuarios con alcance global pueden acceder a las estadísticas de riesgo. El panel de estadísticas de riesgo consta de una sección de estadísticas de comportamiento, que enumera las entidades según las puntuaciones de riesgo de las entidades de Google Security Operations, y una sección de lista de vigilancia, que enumera las entidades según los cálculos internos de riesgo empresarial.

Las puntuaciones de riesgo se usan en todas las SecOps de Google. La definición y la función de estas puntuaciones varían según la función que uses.

Risk Analytics está disponible con las licencias de Enterprise y Enterprise Plus, o como complemento de una licencia independiente de SIEM de Google SecOps.

Entidades, riesgos y hallazgos en Estadísticas de riesgo

En esta sección, se definen los conceptos de entidades, riesgo y resultados tal como se presentan en el panel de Análisis de riesgos.

  • Entidades: Representación contextual de un activo o usuario en tu entorno. Todos los eventos asociados con las entidades proporcionan contexto sobre el nivel de riesgo de la entidad. Para obtener más información, consulta Objetos lógicos: Evento y Entidad.

  • Intervalo de cálculo del riesgo: Te permite cambiar el período del panel para que puedas consultar los datos de diferentes períodos. Por ejemplo, puedes descubrir intentos de acceso por fuerza bruta con el período más corto o examinar la actividad maliciosa a largo plazo con el período más largo.

  • Normalizada: Las puntuaciones normalizadas se establecen entre 1 y 1,000 para distinguir las entidades sin puntuaciones de las entidades que sí tienen detecciones dentro del período de riesgo.

  • Tendencia normalizada: Cambio en la puntuación normalizada de riesgo de la entidad desde el período anterior.

  • Base: Las puntuaciones base se calculan sumando las puntuaciones de riesgo de los resultados (alertas y detecciones) de una entidad durante el período de riesgo con la ponderación aplicada.

    La ponderación define cómo las puntuaciones de riesgo de alertas y detecciones contribuyen a los cálculos de la puntuación de riesgo de la entidad. La ponderación puede tomar un valor de 0 a 1.
    Si el valor de ponderación es 1, la ponderación no tendrá ningún impacto. Todos los demás valores son porcentajes (por ejemplo, 0.5 equivale al 50%). El valor de ponderación predeterminado es 0 .2 y se puede cambiar en Configuración. Para obtener más información, consulta Ponderación de la puntuación de riesgo de la entidad.

  • Cambio base: Es el cambio en la puntuación base de riesgo de la entidad desde el período anterior.

  • Primera/última aparición en el período: Marca de tiempo que corresponde al momento en que la entidad apareció por primera o última vez en un hallazgo (alerta o detección) durante el período especificado en el período de riesgo.

Resultados en Análisis de riesgos

En la página Findings, se usan los siguientes términos (haz clic en una entidad de la tabla de entidades para abrirla en la página Findings).

  • Resultados: Es la cantidad de resultados (alertas y detecciones) que incluyen a esta entidad durante el período de la ventana de riesgo.

  • Gravedad: La gravedad se determina según la fuente cuando se crea un resultado.

  • Prioridad: La prioridad se determina según la fuente cuando se crea un resultado.

  • Puntuación de riesgo: La fuente establece las puntuaciones de riesgo cuando se crea un hallazgo. Si no se establecen las puntuaciones de riesgo, se usa la puntuación de riesgo predeterminada para las alertas y las detecciones. La puntuación de riesgo predeterminada para las alertas es de 40. La puntuación de riesgo predeterminada para las detecciones es 15.

Cálculo de la puntuación de riesgo

El cálculo de la puntuación de riesgo para cada entidad se basa en la puntuación de riesgo de los hallazgos y se modifica según un conjunto de parámetros que puedes especificar y un conjunto de parámetros controlados por Google SecOps. Para acceder a los parámetros que puedes controlar, ve a la barra de navegación y haz clic en Configuración > Puntuaciones de riesgo de la entidad:

  • Coeficiente de alerta cerrada: Si los analistas de seguridad marcan una alerta como cerrada, se multiplica por este modificador de punto flotante. El rango es de 0 a 1. El valor predeterminado es 1.

  • Puntuación predeterminada de riesgo de las detecciones: Especifica la puntuación de riesgo para las detecciones en el motor de reglas. El rango es de 0 a 1,000. El valor predeterminado es 15.

Google SecOps especifica los siguientes parámetros:

  • Modificación de la puntuación de riesgo con TTL: La puntuación base de riesgo de entidad se modifica con un factor de multiplicación para el período.

  • Modificación de la puntuación de riesgo sin TTL: La puntuación de riesgo de detección se modifica con un factor multiplicador.

A continuación, se muestran las fórmulas que se usan para calcular la puntuación de riesgo y la puntuación de riesgo normalizada:

  • Cálculo de la puntuación de riesgo: (Puntuación base de riesgo de entidad) = (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (Suma de las puntuaciones de riesgo restantes de los hallazgos))

  • Puntuación de riesgo normalizada: Las puntuaciones base de riesgo de entidad se normalizan en todas las entidades. La puntuación base de riesgo de entidad usa la normalización min-máx y varía de 1 a 1,000. No se incluyen las entidades con riesgo cero.

Prioridad de la entidad para asignar la puntuación de riesgo

Cuando asigna la puntuación de riesgo, Google SecOps usa un subconjunto de los tipos de sustantivos de nivel superior principal, src, target y about, y asigna una puntuación de riesgo según los campos de alias de los subtipos de eventos user y asset.

Google SecOps asigna la puntuación de riesgo al alias más confiable de una entidad. El campo de alias con la clasificación más alta tiene prioridad para determinar y asignar la puntuación de riesgo (1 es la clasificación más alta).

En el caso de los campos de alias de user, Google SecOps usa la siguiente clasificación cuando asigna la puntuación de riesgo:

  1. windows_sid
  2. email_addresses
  3. userid
  4. employee_id
  5. product_object_id

En el caso de los campos de alias de asset, Google SecOps usa la siguiente clasificación cuando asigna la puntuación de riesgo:

  1. hostname
  2. mac
  3. asset_id
  4. ip
  5. product_object_id

Ejemplo de cálculo de la puntuación de riesgo

A continuación, se describe la secuencia completa para calcular la puntuación de detección de riesgo de una entidad:

  1. Entrada: Las detecciones generadas por las reglas se agrupan según sus indicadores subyacentes.
  2. (Opcional) Coeficiente de alerta cerrada: Si la puntuación de riesgo de detección es para una alerta cerrada, la puntuación se multiplica por el coeficiente de alerta cerrada.
  3. (Opcional) Modificación de la puntuación de riesgo predeterminada: Si no se establece de forma explícita en una regla, se aplica la puntuación de riesgo de detección predeterminada. Las puntuaciones de riesgo de detección predeterminadas con alertas o sin alertas se pueden cambiar en la configuración de las puntuaciones de riesgo de la entidad.
  4. (Opcional) Modificación de detecciones compuestas: Si no se establece explícitamente una entidad para calificar con la palabra clave $risk_entity_to_score en una regla, la puntuación de riesgo se atribuye a todas las entidades de los eventos muestreados y la sección de resultados.
  5. Cálculo de la puntuación de riesgo: El factor de ponderación se multiplica por la suma de todas las detecciones (excepto la puntuación de riesgo de detección máxima) y, luego, se suma a la puntuación de riesgo de detección máxima. Este valor representa la puntuación de riesgo de la entidad sin procesar.
  6. Peso de modificación: La puntuación de riesgo de entidad sin procesar se multiplica por el peso de modificación. Esta modificación es una operación única, a menos que se establezca un TTL. Este valor es la puntuación base de riesgo de la entidad.
  7. Peso de la lista de vigilancia: Si una entidad forma parte de una lista de vigilancia, el peso de la lista se agrega a la puntuación de riesgo de detección.
  8. Puntuación de riesgo normalizada: La puntuación base de riesgo de entidad se normaliza en todas las entidades con la normalización min-máx.

Configuración de la puntuación de riesgo

En la página Puntuaciones de riesgo de entidad, puedes definir cómo se calculan las puntuaciones de riesgo de las entidades, las alertas y las detecciones. Puedes aplicar ponderaciones a los cálculos de la puntuación de riesgo de la entidad y establecer puntuaciones de riesgo predeterminadas para las alertas y las detecciones. Los cambios solo se aplican a las alertas y detecciones nuevas, y pueden tardar hasta 30 minutos en surtir efecto.

  • Ponderación de la puntuación de riesgo de la entidad: La ponderación define cómo se tienen en cuenta las puntuaciones de riesgo de alertas y detecciones en los cálculos de la puntuación de riesgo de la entidad. La ponderación es un valor de 0 a 1. La fórmula para la puntuación base de riesgo de entidad se define de la siguiente manera:

    Puntuación base de riesgo de entidad = (Puntuación de riesgo máxima del hallazgo) + (Ponderación * (Suma de las puntuaciones de riesgo restantes de los hallazgos))

  • Puntuaciones de riesgo predeterminadas para las alertas: Especifica la puntuación de riesgo predeterminada de las alertas en la página Configuración. El valor predeterminado es 40. Puedes modificar las puntuaciones de riesgo de las alertas individuales en las reglas. Estos parámetros anulan cualquier valor predeterminado configurado en la página Configuración.

  • Puntuaciones de riesgo predeterminadas para las detecciones: Especifica la puntuación predeterminada de riesgo de las detecciones en la página Configuración. El valor predeterminado es 15. Puedes modificar las puntuaciones de riesgo de detección individuales en las reglas. Estos parámetros anulan cualquier valor predeterminado configurado en la página Configuración.

Análisis de riesgo casi en tiempo real para clientes empresariales

Este rápido recálculo te permite usar las alertas basadas en riesgos (RBA) para cumplir con los objetivos de nivel de servicio (SLO) de las alertas empresariales, ya que minimiza la demora en la identificación de los activos probablemente comprometidos y la respuesta a ellos.

Resolución de IRM para la puntuación de riesgo en UEBA

En el caso del análisis del comportamiento de usuarios y entidades (UEBA), la lógica de resolución del indicador más confiable (MRI) identifica el identificador más autorizado para una entidad (por ejemplo, un usuario, un activo, un archivo o un recurso) cuando hay varios indicadores presentes, un proceso necesario para la indexación y la puntuación de riesgo. Esto garantiza que el riesgo se atribuya a la identidad más estable disponible para un usuario en diferentes fuentes de datos. La resolución de MRI usa los siguientes procesos para identificar el indicador más confiable:

  • Prioridad basada en el tipo: Cada categoría de indicadores tiene un mapa de prioridad interno en el que los valores más altos indican una mayor confiabilidad. Por ejemplo, WINDOWS_SID (prioridad 4) es inherentemente más confiable que Employee ID (prioridad 1).
  • Desempate: Si dos indicadores tienen la misma prioridad, el sistema compara sus nombres visibles y espacios de nombres para decidir cuál es más confiable.

Jerarquía de confiabilidad dentro de los tipos de entidades

En la siguiente jerarquía, se enumeran los indicadores disponibles, desde el más confiable (prioridad 4) hasta el menos confiable (prioridad 0) dentro de cada tipo de entidad.

  1. Indicadores del usuario
    1. SID de Windows: prioridad 4
    2. Correo electrónico: prioridad 3
    3. Nombre de usuario: prioridad 2
    4. ID de empleado: prioridad 1
    5. ID del objeto del producto: prioridad 0
  2. Indicadores de recursos
    1. Nombre de host: Nombres de host de nivel superior priorizados si se configuran (prioridad 4)
    2. Dirección MAC: prioridad 3
    3. ID específico del producto o ID del recurso: prioridad 2
    4. Dirección IP del activo: prioridad 1
    5. ID del objeto del producto: prioridad 0
  3. Recursos e indicadores genéricos
    1. Nombre del recurso: prioridad 1
    2. ID del objeto del producto: prioridad 0

Resolución del alcance de la MRI

El alcance de la resolución de la MRI se limita a los siguientes tipos de entidades:

  • ASSET_IP_ADDRESS
  • MAC, HOSTNAME
  • PRODUCT_SPECIFIC_ID
  • CORREO ELECTRÓNICO
  • NOMBRE DE USUARIO
  • WINDOWS_SID
  • EMPLOYEE_ID
  • Es el ID del objeto del producto.

No usamos la resolución de MRI con los indicadores de proceso y archivo.

Variable de resultado risk_entity_to_score

La variable de resultado risk_entity_to_score especifica la entidad para la que se debe calcular la puntuación, no el campo en el que se debe mostrar la puntuación. Google SecOps siempre consolida el riesgo en el MRI disponible para la entidad seleccionada para evitar la fragmentación del riesgo. Sin embargo, si usas un MRI que no es de Google como identificador para una entidad en risk_entity_to_score, Google SecOps actualiza el MRI para esa entidad en lugar del identificador especificado.

Para obtener más información, consulta la variable de resultado risk_entity_to_score.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.