观看列表快速入门指南
了解如何使用观看列表部分。借助 Google SecOps 中的观察名单,您可以手动管理实体列表,以监控、提高或降低系统中实体的风险信号。安全分析师可以优先进行调查,并专注于可能特别重要的实体,即使其自动风险评分较低也是如此。
准备工作
如需访问“观看列表”标签页,请按以下步骤操作:
- 在左侧导航菜单中,点击检测。
- 在检测中,点击风险分析。
- 点击观看列表标签页。
监控列表
借助 Google 安全运维中的观察名单,用户可以手动管理实体列表,以便监控实体、提高或降低实体在系统中的风险信号。这样,安全分析师就可以确定调查的优先级,并专注于可能特别值得关注的实体,即使其自动风险评分较低也是如此。
利用人为数据分析提升风险得分
虽然 Chronicle 的自动化风险评分功能可提供有价值的分析洞见,但观察名单可将人类的专业知识和背景信息纳入风险评估流程。例如,安全分析师可能知道高价值资产、敏感数据位置或需要更密切监控的特定用户。通过将这些实体添加到观察名单,分析师可以确保无论计算出的风险得分如何,这些实体都会得到适当的关注。
在监视名单页面中,您可以根据企业的偏好设置监控企业中的特定实体,而不考虑实体的风险得分。例如:
- 创建一个包含即将离职员工的关注列表,以监控任何可能的数据渗漏
- 创建 cC 高管的观察名单,以密切监控其安全状况的任何细微变化。
创建观看列表
如需在 Google SecOps 账号中创建观察名单,请完成以下步骤。您最多可以配置 200 个观看列表。
- 点击创建观看列表。
- 指定观看列表名称。
- (可选)指定说明。
- (可选)指定介于 0 到 100 之间的放大系数。默认值为 1。
(可选)在窗口右侧的 Add entities into a watchlist(将实体添加到观察名单)部分下方指定实体。您可以在此处添加以下实体类型:
ASSET_IP_ADDRESS
EMAIL
EMPLOYEE_ID
HOSTNAME
MAC
PRODUCT_OBJECT_ID
PRODUCT_SPECIFIC_ID
USERNAME
WINDOWS_SID
点击创建观看列表。
借助监控列表,您可以将风险得分修饰符全局应用于一组实体。此修饰符(称为“放大系数”)可优化监控列表中所有实体的风险得分。每个实体的基准风险得分都会乘以相同的系数。输入值介于 0 到 100 之间的放大系数。默认值为 1。
除了创建监控列表之外,您还可以修改监控列表、将实体固定/取消固定、删除实体以及向监控列表中添加/ 从中移除实体。如需详细了解如何创建监控列表,请参阅添加监控列表。
使用场景
以下是“观看列表”部分的几个用例。
应用场景 1:
创建一个观察名单,以跟踪即将离职的员工的活动。 这些员工可能会尝试抄袭内部规范、计划或演示文稿,尤其是在竞争激烈的行业中。对于大多数员工来说,这类信息的价值不大,因为这类行为通常被视为正常行为。
用例 2:高级领导的异常活动
创建一个观察名单,以跟踪贵组织高级领导的异常活动。鱼叉式网络钓鱼攻击的目标往往是领导层。 您可以使用观察名单来监控账单数量或向外部账号转账请求的突然增加,尤其是在企业内发现已知的钓鱼式攻击时。
应用场景 3:内部红队
为贵企业中活跃的内部红队创建一个观察名单。红队可能会在您的安全基础架构中触发大量提醒(预期如此)。您可以指定观看列表,并将乘法系数设为 0,以在用户进行锻炼时降低观看列表的曝光度。如需了解详情,请参阅添加观看列表。