Guide de démarrage rapide de la liste de lecture
Découvrez comment utiliser la section Liste de lecture. Les listes de surveillance de Google SecOps vous permettent de créer manuellement des listes d'entités pour surveiller, améliorer ou supprimer leurs scores de risque dans le système. Les analystes de sécurité peuvent hiérarchiser les investigations et se concentrer sur les entités qui peuvent être particulièrement importantes, même si leurs scores de risque automatisés sont faibles.
Avant de commencer
Pour accéder à l'onglet "Liste de lecture", procédez comme suit:
- Dans le menu de navigation de gauche, cliquez sur Détection.
- Sous Détection, cliquez sur Analyse des risques.
- Cliquez sur l'onglet Listes de lecture.
Listes de suivi
Les listes de surveillance de Google Security Operations permettent aux utilisateurs de créer manuellement des listes d'entités à surveiller, en augmentant ou en supprimant leurs scores de risque dans le système. Les analystes de sécurité peuvent ainsi hiérarchiser les investigations et se concentrer sur les entités qui peuvent présenter un intérêt particulier, même si leur score de risque automatisé est faible.
Améliorer les scores de risque grâce à des insights humains
Bien que l'évaluation des risques automatisée de Chronicle fournisse des insights précieux, les listes de surveillance intègrent l'expertise humaine et le contexte au processus d'évaluation des risques. Par exemple, un analyste de sécurité peut connaître des éléments à forte valeur ajoutée, des emplacements de données sensibles ou des utilisateurs spécifiques qui nécessitent une surveillance plus étroite. En ajoutant ces entités à une liste de surveillance, les analystes peuvent s'assurer qu'elles reçoivent l'attention appropriée, quel que soit leur score de risque calculé.
La page Listes de surveillance vous permet de surveiller des entités spécifiques de votre entreprise en fonction de ses préférences, quel que soit leur score de risque. Exemple :
- Créer une liste de surveillance des employés sur le point de quitter l'entreprise pour surveiller toute exfiltration de données possible
- Créez une liste de surveillance de la suite cC pour surveiller de près toute modification subtile de sa posture de sécurité.
Créer une liste de visionnage
Pour créer une liste de surveillance dans votre compte Google SecOps, procédez comme suit : Vous pouvez configurer jusqu'à 200 listes de lecture.
- Cliquez sur Créer une liste.
- Spécifiez un nom de liste.
- (Facultatif) Spécifiez une description.
- (Facultatif) Spécifiez un facteur de multiplication compris entre 0 et 100. La valeur par défaut est 1.
(Facultatif) Spécifiez des entités sur le côté droit de la fenêtre après la section Ajouter des entités à une liste de surveillance. Vous pouvez y ajouter les types d'entités suivants:
ASSET_IP_ADDRESS
EMAIL
EMPLOYEE_ID
HOSTNAME
MAC
PRODUCT_OBJECT_ID
PRODUCT_SPECIFIC_ID
USERNAME
WINDOWS_SID
Cliquez sur Créer une liste.
Une liste de surveillance vous permet d'appliquer un modificateur de score de risque de manière globale à un ensemble d'entités. Ce modificateur, appelé Facteur de multiplication, affine les scores de risque pour toutes les entités de la liste de surveillance. Le score de risque de base de chaque entité est multiplié par le même facteur. Saisissez un facteur de multiplication dont la valeur est comprise entre 0 et 100. La valeur par défaut est 1.
En plus de créer une liste de valeurs suivies, vous pouvez la modifier, épingler/désépingler, supprimer et ajouter des entités. Pour en savoir plus sur la création de listes, consultez Ajouter une liste.
Cas d'utilisation
Voici quelques cas d'utilisation de la section "Liste de lecture".
Cas d'utilisation 1:
Créez une liste de surveillance pour suivre les activités des employés sur le point de quitter votre entreprise. Ces employés peuvent tenter de copier des spécifications, des plans ou des présentations internes, en particulier dans des secteurs hautement concurrentiels. Pour la plupart des employés, ce type d'informations n'a que peu de valeur, car ce type de comportement est généralement considéré comme normal.
Cas d'utilisation 2: Activité inhabituelle parmi les dirigeants
Créez une liste de surveillance pour suivre toute activité inhabituelle parmi les dirigeants de votre organisation. Les dirigeants sont souvent la cible d'attaques d'hameçonnage ciblé. Les augmentations soudaines de factures ou de demandes de virements vers des comptes externes peuvent être surveillées à l'aide d'une liste de surveillance, en particulier lorsque des attaques de phishing connues ont été identifiées dans votre entreprise.
Cas d'utilisation 3: équipe interne chargée de la sécurité
Créez une liste de surveillance pour une équipe interne chargée de la sécurité qui est active dans votre entreprise. L'équipe rouge peut déclencher de nombreuses alertes dans votre infrastructure de sécurité (comme prévu). Vous pouvez spécifier la liste de surveillance avec un facteur multiplicateur de 0 pour réduire sa visibilité lorsqu'elle est en cours d'exercice. Pour en savoir plus, consultez Ajouter une liste de lecture.
Étape suivante
- Ajouter une liste
- Modifier une liste
- Épingler une liste
- Désépingler une liste
- Supprimer une liste
- Ajouter des entités à une liste