Kurzanleitung für Merklisten

Unterstützt in:

Weitere Informationen zum Bereich „Merkliste“ Mit Beobachtungslisten in Google SecOps können Sie manuell Entitätslisten erstellen, um die Risikobewertungen im System zu überwachen, zu erhöhen oder zu unterdrücken. Sicherheitsanalysten können Untersuchungen priorisieren und sich auf Entitäten konzentrieren, die möglicherweise besonders wichtig sind, auch wenn ihre automatischen Risikobewertungen niedrig sind.

Hinweis

So greifen Sie auf den Tab „Merkliste“ zu:

  1. Klicken Sie im linken Navigationsmenü auf Erkennung.
  2. Klicken Sie unter Erkennung auf Risikoanalyse.
  3. Klicke auf den Tab Merkzettel.

Beobachtungslisten

Mit Beobachtungslisten in Google Security Operations können Nutzer manuell Listen mit Entitäten erstellen, die beobachtet werden sollen, und ihre Risikobewertungen im System erhöhen oder unterdrücken. So können Sicherheitsanalysten Untersuchungen priorisieren und sich auf Entitäten konzentrieren, die möglicherweise von besonderer Bedeutung sind, auch wenn ihre automatischen Risikobewertungen niedrig sind.

Risikobewertungen mit menschlichen Erkenntnissen verbessern

Während das automatisierte Risikobewertungssystem von Chronicle wertvolle Informationen liefert, werden bei Beobachtungslisten menschliches Fachwissen und Kontext in den Risikobewertungsprozess einbezogen. Ein Sicherheitsanalyst weiß beispielsweise möglicherweise um besonders wertvolle Assets, Standorte mit sensiblen Daten oder bestimmte Nutzer, die genauer beobachtet werden müssen. Indem sie diese Entitäten einer Beobachtungsliste hinzufügen, können Analysten dafür sorgen, dass sie unabhängig von ihren berechneten Risikobewertungen die gebührende Aufmerksamkeit erhalten.

Auf der Seite Beobachtungslisten können Sie bestimmte Entitäten in Ihrem Unternehmen gemäß den Einstellungen Ihres Unternehmens überwachen, unabhängig vom Risikowert der Entität. Beispiel:

  • Eine Beobachtungsliste mit Mitarbeitern erstellen, die das Unternehmen verlassen werden, um eine mögliche Datenexfiltration zu überwachen
  • Erstellen Sie eine Beobachtungsliste der C-Suite, um geringfügige Änderungen am Sicherheitsstatus genau im Blick zu behalten.

Beobachtungsliste erstellen

So erstellen Sie eine Beobachtungsliste für Ihr Google SecOps-Konto: Sie können bis zu 200 Merkzettel konfigurieren.

  1. Klicke auf Merkzettel erstellen.
  2. Geben Sie einen Namen für die Merkliste an.
  3. Optional: Geben Sie eine Beschreibung an.
  4. Optional: Geben Sie einen Multiplikationsfaktor zwischen 0 und 100 an. Der Standardwert ist 1.
  5. Optional: Geben Sie rechts im Fenster unter Entitäten zu einer Beobachtungsliste hinzufügen Entitäten an. Hier können Sie die folgenden Entitätstypen hinzufügen:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Klicke auf Merkzettel erstellen.

Mit einer Beobachtungsliste können Sie einen Risikobewertungs-Modifikator global auf eine Gruppe von Entitäten anwenden. Mit diesem Modifikator, der Multiplikationsfaktor genannt wird, werden die Risikobewertungen für alle Entitäten in der Beobachtungsliste optimiert. Der Basisrisikowert jeder Entität wird mit demselben Faktor multipliziert. Geben Sie einen Multiplikationsfaktor mit einem Wert von 0–100 ein. Der Standardwert ist 1.

Sie können nicht nur Beobachtungslisten erstellen, sondern auch bearbeiten, anpinnen/loslösen, löschen und Entitäten hinzufügen oder daraus entfernen. Weitere Informationen zum Erstellen von Beobachtungslisten finden Sie unter Beobachtungsliste hinzufügen.

Anwendungsfälle

Im Folgenden sind einige Anwendungsfälle für den Bereich „Merkliste“ aufgeführt.

Anwendungsfall 1:

Erstellen Sie eine Beobachtungsliste, um die Aktivitäten von Mitarbeitern im Blick zu behalten, die Ihr Unternehmen verlassen werden. Diese Mitarbeiter können versuchen, interne Spezifikationen, Pläne oder Präsentationen zu kopieren, insbesondere in stark umkämpften Branchen. Für die meisten Mitarbeiter wären diese Informationen von geringem Wert, da dieses Verhalten in der Regel als normal angesehen wird.

Anwendungsfall 2: Ungewöhnliche Aktivitäten bei leitenden Mitarbeitern

Erstellen Sie eine Beobachtungsliste, um ungewöhnliche Aktivitäten von leitenden Mitarbeitern in Ihrer Organisation zu verfolgen. Die Führungsebene ist häufig Ziel von Spear-Phishing-Angriffen. Plötzliche Steigerungen bei Rechnungen oder Überweisungsanfragen an externe Konten können mithilfe einer Beobachtungsliste überwacht werden, insbesondere wenn in Ihrem Unternehmen bekannte Phishing-Angriffe erkannt wurden.

Anwendungsfall 3: Internes Red Team

Erstellen Sie eine Beobachtungsliste für ein internes Red Team, das in Ihrem Unternehmen aktiv ist. Das Red Team könnte (wie erwartet) zahlreiche Warnungen in Ihrer Sicherheitsinfrastruktur auslösen. Sie können die Merkliste mit einem Multiplikator von 0 angeben, um die Sichtbarkeit zu verringern, während ein aktives Training läuft. Weitere Informationen finden Sie unter Merkliste hinzufügen.

Nächste Schritte