观看列表常见问题解答
什么是观看列表?
借助观察名单,您可以根据内部风险因素(仅限风险分析中),手动整理要监控的实体列表。
监控列表位于何处?
在风险分析信息中心内,点击观察名单标签页以访问观察名单。
为何使用观看列表?
借助观察名单,您可以监控特定实体,从而提高或降低系统中的风险信号。这类实体可能没有较高的风险得分,但根据内部风险因素,需要重点监控。
观察名单如何提升风险评分?
观察名单会将人工专业知识和背景信息纳入风险评估流程。分析师可以确保高价值资产、敏感数据位置或特定问题得到适当的关注。例如,使用放大系数(见下文)。
我可以创建多少个观看列表?
您最多可以配置 200 个观看列表。
什么是观看列表中的放大系数?
您可以为每个监控列表应用一个放大系数(值介于 0 到 100 之间),以修改该监控列表中所有实体的风险得分。默认值为 1。
如何添加观看列表?
如需添加观看列表,请执行以下操作: 1. 点击创建观看列表。 1. 输入观看列表名称、说明(可选)和乘数(可选)。1. 将实体添加到监控列表。
可以将哪些类型的实体添加到监控列表?
您可以根据以下类型将实体添加到监控列表:
- ASSET_IP_ADDRESS
- EMAIL
- EMPLOYEE_ID
- HOSTNAME
- MAC
- PRODUCT_OBJECT_ID
- PRODUCT_SPECIFIC_ID
- USERNAME
- WINDOWS_SID
我可以对观看列表执行哪些操作?
您可以创建、修改、固定、取消固定和删除观看列表,以及在观看列表中添加或移除实体。
观看列表有哪些用例?
您可以使用观察名单来监控即将离职的员工、跟踪异常活动,或管理内部红队触发的提醒。