ウォッチリストのクイックスタート ガイド

[ウォッチリスト] セクションの使用方法を学習する。Google SecOps のウォッチリストを使用すると、エンティティ リストを手動でキュレートして、システム内のリスクスコアをモニタリング、ブースト、抑制できます。セキュリティ アナリストは、自動化されたリスクスコアが低くても、特に重要なエンティティに調査の優先順位を付け、集中できます。

始める前に

[ウォッチリスト] タブにアクセスする手順は次のとおりです。

1. 左側のナビゲーション メニューで [検出] をクリックします。
2. [検出] で [リスク分析] をクリックします。
3. [再生リスト] タブをクリックします。

ウォッチリスト

Google セキュリティ オペレーションのウォッチリストを使用すると、ユーザーはエンティティのリストを手動でキュレートしてモニタリングし、システム内のリスクスコアを増減できます。これにより、セキュリティ アナリストは、自動リスクスコアが低くても、特に懸念されるエンティティに調査の優先順位を付け、集中して対応できます。

人間のインサイトを活用してリスクスコアを強化する

Chronicle の自動リスク スコアリングは貴重な分析情報を提供しますが、ウォッチリストは人間の専門知識とコンテキストをリスク評価プロセスに組み込みます。たとえば、セキュリティ アナリストは、価値の高いアセット、機密データの場所、より詳細なモニタリングが必要な特定のユーザーに関する知識を持っている場合があります。これらのエンティティをウォッチリストに追加することで、計算されたリスクスコアに関係なく、適切な注意を払うことができます。

[ウォッチリスト] ページでは、エンティティのリスクスコアに関係なく、組織の設定に従って組織全体の特定のエンティティをモニタリングできます。次に例を示します。

• 退職する予定の従業員のウォッチリストを作成して、データの引き出しを監視する
• セキュリティ対策の微妙な変化を注意深くモニタリングするために、C レベルのウォッチリストを作成します。

ウォッチリストを作成する

Google SecOps アカウントにウォッチリストを作成するには、次の手順を完了します。ウォッチリストは最大 200 個設定できます。

1. [再生リストを作成] をクリックします。
2. ウォッチリスト名を指定します。
3. （省略可）[説明] を指定します。
4. （省略可）[乗算係数] を 0～100 の範囲で指定します。デフォルトは 1 です。

5. （省略可）ウィンドウの右側にある [エンティティをウォッチリストに追加] セクションでエンティティを指定します。ここに次のエンティティ タイプを追加できます。

   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID

6. [再生リストを作成] をクリックします。

ウォッチリストを使用すると、リスクスコア修飾子を一連のエンティティにグローバルに適用できます。この修飾子（乗算係数）を使用すると、ウォッチリスト内のすべてのエンティティのリスクスコアを絞り込むことができます。各エンティティの基本リスクスコアには同じ係数が乗算されます。乗算係数の値を 0 ～ 100 で入力します。デフォルト値は 1 です。

ウォッチリストの作成に加えて、ウォッチリストの編集、固定/固定解除、削除、エンティティの追加/ 削除を行うことができます。ウォッチリストの作成方法については、ウォッチリストを追加するをご覧ください。

ユースケース

以下に、[再生リスト] セクションのユースケースをいくつか示します。

ユースケース 1:

ウォッチリストを作成して、退職する予定の社員のアクティビティを追跡します。特に競争の激しい業界では、このような社員が内部仕様、計画、プレゼンテーションをコピーしようとする可能性があります。ほとんどの社員にとって、このような行動は通常は正常と見なされるため、この種の情報はほとんど価値がありません。

ユースケース 2: 幹部社員の異常なアクティビティ

ウォッチリストを作成して、組織内の上級管理者の異常なアクティビティを追跡します。スピア フィッシング攻撃の標的は、多くの場合経営幹部です。請求書や外部口座への送金リクエストの急増は、特に組織内で既知のフィッシング攻撃が特定された場合は、ウォッチリストを使用してモニタリングできます。

ユースケース 3: 内部レッドチーム

組織で活動している内部レッドチームのウォッチリストを作成します。レッドチームは、セキュリティ インフラストラクチャ内で多数のアラートをトリガーする可能性があります（想定内です）。アクティブなエクササイズ中にリストの視認性を下げるには、乗数を 0 に指定します。詳しくは、ウォッチリストを追加するをご覧ください。

次のステップ

• ウォッチリストを追加する
• ウォッチリストを編集する
• ウォッチリストを固定する
• ウォッチリストの固定を解除する
• ウォッチリストを削除する
• エンティティをウォッチリストに追加する