Una solución SIEM potenciada por UEBA puede permitir a las organizaciones establecer puntos de referencia de la actividad prevista para cada usuario y entidad. Cualquier actividad que no se sitúe dentro de este rango previsto se considerará una anomalía. Aunque las anomalías se pueden detectar de este modo, las organizaciones aún deben decidir cuánto riesgo conlleva una acción anómala. Esta ponderación asignada se puede utilizar al calcular una puntuación de riesgo global para el usuario o la entidad. No poder definir esta ponderación al determinar una puntuación de riesgo podría resultar en una priorización inadecuada y en una fatiga por las alertas.
La personalización de la puntuación de riesgo se refiere a la capacidad de adaptar cómo se calculan y asignan las puntuaciones de riesgo a las actividades anómalas según los requisitos de seguridad, las prioridades y el panorama de amenazas propios de una organización. La personalización de la puntuación de riesgo en la detección de anomalías mejora la precisión de la detección de amenazas y reduce los falsos positivos.
¿Qué es la personalización de la puntuación de riesgo en el UEBA?
La personalización de la puntuación de riesgo es una funcionalidad add-on que ofrecen ciertos proveedores de SIEM potenciada por UEBA y que permite a las organizaciones adaptar sus mecanismos de puntuación de riesgo para que se ajusten mejor a sus necesidades específicas de seguridad. La puntuación de riesgo puede ser un valor numérico entre cero y 100, e indica el nivel de riesgo de los usuarios y entidades de la red en un momento dado. Sin embargo, los factores que determinan lo que constituye un riesgo pueden diferir para las distintas organizaciones, y por eso es crucial poder personalizar la puntuación de riesgo. En pocas palabras, lo que puede ser arriesgado para una organización no tiene por qué serlo para otra, o el grado de riesgo que puede conllevar la acción puede ser diferente.
¿Cómo funciona la personalización de la puntuación de riesgo?
Personalizar la puntuación de riesgo significa ajustar los factores que contribuyen a ella en función de los requisitos de seguridad exclusivos de la organización.
Estos son los componentes clave de la personalización de la puntuación de riesgo:
Peso: El peso o ponderación es un indicador que se utiliza para cuantificar la importancia de un evento o de categorías de eventos según el escenario. A las diferentes actividades y comportamientos se les asignan diferentes pesos en función de su riesgo percibido. Por ejemplo, los cambios en los permisos de varios archivos podrían ponderarse más que un cambio inusual realizado por un usuario en los permisos de un único archivo. La personalización de estas ponderaciones permite a las organizaciones priorizar los riesgos más relevantes.
Deterioro temporal: Se refiere a la tasa a la que la puntuación de riesgo de una actividad disminuye con el tiempo si no se observan más comportamientos sospechosos. Personalizar los factores de deterioro temporal ayuda a garantizar que las anteriores actividades no sigan contribuyendo indefinidamente a la puntuación global de riesgo. Cuanto mayor sea el factor de deterioro, mayor será la reducción de la puntuación de riesgo. Por ejemplo, un factor de deterioro de 80 reduciría la puntuación de riesgo más rápidamente que si el factor de deterioro fuera de 20.
Para obtener más información sobre cómo el UEBA calcula la puntuación global de riesgo, lea: ¿Cómo funciona la puntuación de riesgo en la detección de anomalías?
La importancia de la personalización de la puntuación de riesgo en el UEBA para la detección de anomalías
La personalización de la puntuación de riesgo en UEBA mejora la precisión, relevancia y efectividad de la detección de anomalías. Así es cómo puede ayudar a las organizaciones:
- Mayor precisión: la personalización minimiza los falsos positivos y los falsos negativos, garantizando que el mecanismo de puntuación de riesgo identifique las amenazas genuinas y refleje las prioridades reales y el apetito de riesgo de la organización. Por ejemplo, una actividad inusual por parte de un usuario privilegiado podría justificar una puntuación más alta que un comportamiento similar por parte de un empleado normal.
- Mejor detección de amenazas y respuesta a amenazas: al proporcionar una puntuación de riesgo más precisa y relevante, la puntuación de riesgo personalizada ayuda a los equipos de seguridad a priorizar sus respuestas a amenazas críticas como las amenazas internas o APT, mejorando la eficiencia general de la seguridad.
- Relevancia contextual: las puntuaciones de riesgo personalizadas proporcionan un mejor contexto para las alertas de seguridad, lo que permite a los equipos de seguridad comprender la importancia de una anomalía en el contexto más amplio de las operaciones de la organización.
- Adaptabilidad: cada organización tiene un distinto entorno operativo. La personalización de la puntuación de riesgo garantiza que la solución UEBA se adapte a las necesidades de seguridad específicas de la organización, haciendo que la detección de anomalías sea más relevante y procesable y garantizando que siga siendo efectiva con el tiempo.
- Cumplimiento e informes: la personalización de las puntuaciones de riesgo ayuda a las organizaciones a alinear la detección de anomalías con los requisitos normativos, garantizando la precisión en el monitoreo y el reporte de eventos de alto riesgo.
Así, la personalización de la puntuación de riesgo permite a las organizaciones detectar y responder a las anomalías con rapidez, reforzando su postura de seguridad global.
Puntuación de riesgo personalizada en Log360
ManageEngine Log360 es una solución de SIEM unificada con funciones de UEBA, SOAR, DLP y CASB integradas. Además de proporcionarle un completo dashboard que le informa sobre las tendencias de las anomalías, las anomalías recientes, las 10 principales actividades anómalas, las anomalías basadas en categorías, los niveles de riesgo, entre otros, Log360 también le ayuda a mejorar la precisión de la puntuación de riesgo al tener en cuenta el análisis de grupos de pares, la estacionalidad, la correlación de identidades de usuarios, y el modelado de anomalías, y le permite personalizar su puntuación de riesgo.
La función de puntuación de riesgo personalizada en Log360 le permite definir el peso y el factor de deterioro de varias categorías (o grupos de tarjetas) y subcategorías, que básicamente son los informes de anomalías de una categoría concreta. Además, se clasifican en los siguientes cinco grupos:
- Anomalías globales
- Amenazas internas
- Exfiltración de datos
- Cuentas comprometidas
- Anomalías en el inicio de sesión
Personalización de la puntuación de riesgo proporcionada por Log360.
Para obtener información detallada sobre cómo funciona la detección de anomalías y qué características necesita una solución de UEBA para mejorar la puntuación de riesgo y la precisión en la detección de amenazas, lea este e-book. Para saber cómo una solución SIEM unificada con funciones de UEBA como ManageEngine Log360 puede ayudar a su organización a establecer puntuaciones de riesgo personalizadas y mejorar su postura de seguridad, regístrese para obtener una demostración personalizada.
Preguntas frecuentes
- ¿Por qué es importante la personalización de la puntuación de riesgo en UEBA?
La personalización de la puntuación de riesgo garantiza que el modelo de puntuación se ajuste a los requisitos de seguridad, el contexto operativo y las prioridades específicas de una organización. Al personalizar las puntuaciones, las organizaciones pueden:
- Reducir los falsos positivos adaptando los umbrales a su entorno.
- Centrarse en las amenazas de alta prioridad, mejorando la asignación de recursos.
- Identificar y alertar a los equipos de seguridad sobre eventos y usuarios de alto riesgo con fines de cumplimiento.
- ¿Cómo ayuda la personalización de la puntuación de riesgo a reducir los falsos positivos?
Al adaptar el mecanismo de puntuación de riesgo al entorno exclusivo de una organización, el UEBA puede filtrar anomalías benignas que pueden parecer sospechosas en un contexto genérico. Por ejemplo, se puede restar prioridad a las anomalías en el inicio de sesión relacionadas con los viajes para los empleados que suelen trabajar de forma remota o viajar con frecuencia, lo que reduce las alertas innecesarias. En situaciones como ésta, el análisis de grupos de pares también desempeña un papel importante a la hora de determinar la puntuación de riesgo.
- ¿La personalización de la puntuación de riesgo puede ayudar a detectar las amenazas internas?
Sí, la personalización es especialmente valiosa para detectar amenazas internas. Al asignar una mayor ponderación a actividades como el acceso a datos confidenciales, la descarga de archivos de gran tamaño o los movimientos laterales inusuales dentro de la red, las organizaciones pueden priorizar los posibles riesgos internos para investigarlos.
- ¿Cuáles son algunas actividades comunes que afectan a la puntuación de riesgo?
Las actividades comunes que afectan a la puntuación de riesgo incluyen múltiples intentos fallidos de inicio de sesión, patrones de acceso inusuales, acceso no autorizado a archivos y patrones de descarga anormales. A cada una de estas actividades se le asigna un peso en función de su riesgo percibido.
- ¿Las puntuaciones de riesgo de UEBA se pueden adaptar a los cambios en el comportamiento de los usuarios o las entidades a lo largo del tiempo?
Sí. Las soluciones de UEBA utilizan machine learning para actualizar continuamente las líneas de base del comportamiento. A medida que evoluciona el comportamiento de los usuarios o las entidades, el modelo de anomalías recalcula su puntuación de riesgo para mantener la precisión y relevancia.