观看列表常见问题解答

什么是观看列表？

借助观察名单，您可以根据内部风险因素（仅限风险分析中），手动整理要监控的实体列表。

监控列表位于何处？

在风险分析信息中心内，点击观察名单标签页以访问观察名单。

为何使用观看列表？

借助观察名单，您可以监控特定实体，从而提高或降低系统中的风险信号。这类实体可能没有较高的风险得分，但根据内部风险因素，需要重点监控。

观察名单如何提升风险评分？

观察名单会将人工专业知识和背景信息纳入风险评估流程。分析师可以确保高价值资产、敏感数据位置或您指定的特定位置得到适当的关注。例如，使用放大系数（见下文）。

我可以创建多少个观看列表？

您最多可以配置 200 个观看列表。

什么是观看列表中的放大系数？

您可以为每个监控列表应用一个乘数（值介于 0 到 100 之间），以修改该监控列表中所有实体的风险得分。默认值为 1。

如何添加观看列表？

如需添加观看列表，请执行以下操作： 1. 点击创建观看列表。 1. 输入观看列表名称、说明（可选）和乘数（可选）。1. 将实体添加到监控列表。

可以将哪些类型的实体添加到监控列表？

您可以根据以下类型将实体添加到监控列表： - ASSET_IP_ADDRESS - EMAIL - EMPLOYEE_ID - HOSTNAME - MAC - PRODUCT_OBJECT_ID - PRODUCT_SPECIFIC_ID - USERNAME - WINDOWS_SID

我可以对观看列表执行哪些操作？

您可以创建、修改、固定、取消固定和删除观看列表，以及在观看列表中添加或移除实体。

观看列表有哪些用例？

您可以使用观察名单来监控即将离职的员工、跟踪异常活动，或管理内部红队触发的提醒。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。