Guia de início rápido da lista de observação

Saiba como usar a seção Lista de observação. As listas de observação no Google SecOps permitem que você selecione manualmente listas de entidades para monitorar, aumentar ou suprimir as pontuações de risco no sistema. Os analistas de segurança podem priorizar as investigações e se concentrar em entidades que podem ser particularmente importantes, mesmo que as pontuações de risco automatizadas sejam baixas.

Antes de começar

Para acessar a guia "Lista de observação", siga estas etapas:

1. No menu de navegação à esquerda, clique em Detecção.
2. Em Detecção, clique em Análise de risco.
3. Clique na guia Listas de exibição.

Listas de interesses

As listas de observação nas Operações de segurança do Google permitem que os usuários selecionem manualmente listas de entidades para monitorar, aumentando ou suprimindo as pontuações de risco no sistema. Isso permite que os analistas de segurança priorizem as investigações e se concentrem em entidades que podem ser de particular interesse, mesmo que as pontuações de risco automatizadas sejam baixas.

Melhorar as pontuações de risco com insights humanos

Embora a pontuação de risco automatizada do Chronicle ofereça insights valiosos, as listas de observação incorporam a experiência humana e o contexto ao processo de avaliação de risco. Por exemplo, um analista de segurança pode ter conhecimento de ativos de alto valor, localizações de dados sensíveis ou usuários específicos que exigem um monitoramento mais próximo. Ao adicionar essas entidades a uma lista de observação, os analistas podem garantir que elas recebam a atenção adequada, independentemente das pontuações de risco calculadas.

A página Listas de monitoramento permite monitorar entidades específicas de toda a empresa de acordo com as preferências dela, independentemente da pontuação de risco da entidade. Exemplo:

• Crie uma lista de observação de funcionários prestes a deixar a empresa para monitorar qualquer possível exfiltração de dados.
• Crie uma lista de observação da alta cúpula para monitorar de perto as mudanças sutis na postura de segurança.

Criar uma lista de interesses

Para criar uma lista de observação na sua conta do Google SecOps, siga estas etapas. É possível configurar até 200 listas de observação.

1. Clique em Criar lista de observação.
2. Especifique um nome da lista de interesses.
3. (Opcional) Especifique uma descrição.
4. (Opcional) Especifique o Fator de multiplicação entre 0 e 100. O padrão é 1.

5. (Opcional) Especifique entidades no lado direito da janela seguindo a seção Adicionar entidades a uma lista de observação. É possível adicionar os seguintes tipos de entidade:

   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID

6. Clique em Criar lista de observação.

Com uma lista de sites de interesse, você pode aplicar globalmente um modificador de pontuação de risco a um conjunto de entidades. Esse modificador, chamado fator de multiplicação, refina as pontuações de risco de todas as entidades na lista de sites de interesse. A pontuação de risco básica de cada entidade é multiplicada pelo mesmo fator. Insira um fator de multiplicação com um valor de 0 a 100. O valor padrão é 1.

Além de criar uma lista de sites de interesse, você pode editá-la, fixar/remover entidades, excluir e adicionar entidades a ela. Para saber mais sobre como criar listas de interesses, consulte Adicionar uma lista de interesses.

Casos de uso

Confira alguns casos de uso da seção "Lista de observação".

Caso de uso 1:

Crie uma lista de observação para acompanhar as atividades de funcionários que estão prestes a sair da empresa. Esses funcionários podem tentar copiar especificações, planos ou apresentações internas, principalmente em setores altamente competitivos. Para a maioria dos funcionários, esse tipo de informação não tem muito valor, já que esse tipo de comportamento normalmente é considerado normal.

Caso de uso 2: atividade incomum entre líderes sênior

Crie uma lista de observação para acompanhar atividades incomuns entre os líderes seniores da organização. A liderança é frequentemente alvo de ataques de spear-phishing. Aumentos repentinos em faturas ou solicitações de transferências de fundos para contas externas podem ser monitorados usando uma lista de observação, principalmente quando ataques de phishing conhecidos foram identificados na sua empresa.

Caso de uso 3: equipe de ataque interna

Crie uma lista de observação para uma equipe interna de red team ativa na sua empresa. A equipe vermelha pode acionar vários alertas na sua infraestrutura de segurança (como esperado). É possível especificar a lista de interesses com um fator de multiplicação de 0 para reduzir a visibilidade enquanto o usuário está em um exercício ativo. Para mais informações, consulte Adicionar uma lista de observação.

A seguir

• Adicionar uma lista de interesses
• Editar uma lista de interesses
• Fixar uma lista de interesses
• Liberar uma lista de interesses
• Excluir uma lista de interesses
• Adicionar entidades a uma lista de interesses