Gestire le liste di controllo delle entità

Supportato in:

Scopri come utilizzare la sezione Lista Orologi. Le liste di controllo in Google SecOps ti consentono di curare manualmente gli elenchi di entità da monitorare, aumentare o eliminare i relativi punteggi di rischio nel sistema. Gli analisti della sicurezza possono dare la priorità alle indagini e concentrarsi su entità che potrebbero essere particolarmente importanti, anche se i loro punteggi di rischio automatici sono bassi.

Prima di iniziare

Per accedere alla scheda Lista personale, segui questi passaggi:

  1. Nel menu di navigazione a sinistra, fai clic su Rilevamento.
  2. In Rilevamento, fai clic su Analisi del rischio.
  3. Fai clic sulla scheda Liste di visualizzazione.

Liste di titoli

Le watchlist in Google Security Operations consentono agli utenti di curare manualmente elenchi di entità da monitorare, aumentando o diminuendo i loro punteggi di rischio nel sistema. Ciò consente agli analisti della sicurezza di dare la priorità alle indagini e concentrarsi sulle entità che potrebbero essere di particolare interesse, anche se i loro punteggi di rischio automatizzati sono bassi.

Migliorare i punteggi di rischio con approfondimenti umani

Sebbene il calcolo automatico del rischio di Google SecOps fornisca informazioni preziose, le watchlist incorporano l'esperienza e il contesto umani nel processo di valutazione del rischio. Ad esempio, un analista della sicurezza potrebbe conoscere asset di alto valore, posizioni di dati sensibili o utenti specifici che richiedono un monitoraggio più attento. Aggiungendo queste entità a una watchlist, gli analisti possono assicurarsi che ricevano l'attenzione appropriata, indipendentemente dai punteggi di rischio calcolati.

La pagina Liste di controllo ti consente di monitorare entità specifiche della tua azienda in base alle preferenze della tua azienda, indipendentemente dal punteggio di rischio dell'entità. Ad esempio:

  • Crea una watchlist dei dipendenti in procinto di lasciare l'azienda per monitorare eventuali possibiliesfiltrazione di datii
  • Crea una watchlist dei dirigenti per monitorare attentamente eventuali cambiamenti sottili nella loro postura di sicurezza.

Creare una lista di titoli

Per creare una watchlist per il tuo account Google SecOps, completa i seguenti passaggi. Puoi configurare fino a 200 watchlist.

  1. Fai clic su Crea watchlist.
  2. Specifica un Nome lista di titoli.
  3. (Facoltativo) Specifica una descrizione.
  4. (Facoltativo) Specifica il fattore di moltiplicazione compreso tra 0 e 100. Il valore predefinito è 1.
  5. (Facoltativo) Specifica le entità sul lato destro della finestra seguendo la sezione Aggiungi entità a una watchlist. Qui puoi aggiungere i seguenti tipi di entità:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Fai clic su Crea watchlist.

Un elenco di controllo ti consente di applicare a livello globale un modificatore del punteggio di rischio a un insieme di entità. Questo modificatore, chiamato Fattore di moltiplicazione, perfeziona i punteggi di rischio per tutte le entità nella lista di titoli. Il punteggio di rischio di base di ogni entità viene moltiplicato per lo stesso fattore. Inserisci un fattore di moltiplicazione con un valore compreso tra 0 e 100. Il valore predefinito è 1.

Oltre a creare un elenco di titoli, puoi modificarlo, bloccarlo/sbloccarlo, eliminarlo e aggiungere/ rimuovere entità. Per scoprire di più su come creare le liste di titoli, consulta Aggiungere una lista di titoli.

Casi d'uso

Ecco alcuni casi d'uso per la sezione Lista personale.

Use case 1:

Crea una watchlist per monitorare le attività dei dipendenti che stanno per lasciare la tua azienda. Questi dipendenti potrebbero tentare di copiare specifiche, piani o presentazioni interni, in particolare in settori altamente competitivi. Per la maggior parte dei dipendenti, questo tipo di informazioni avrebbe scarso valore, poiché questo tipo di comportamento sarebbe in genere considerato normale.

Caso d'uso 2: attività insolita tra i dirigenti senior

Crea una watchlist per monitorare le attività insolite dei dirigenti della tua organizzazione. La leadership è spesso presa di mira da attacchi di spear phishing. Aumenti improvvisi di fatture o richieste di trasferimenti di fondi a conti esterni possono essere monitorati utilizzando una watchlist, in particolare quando sono stati identificati attacchi di phishing noti all'interno della tua azienda.

Use case 3: internal red team

Crea una lista di controllo per un red team interno attivo nella tua azienda. Il red team potrebbe attivare numerosi avvisi all'interno della tua infrastruttura di sicurezza (come previsto). Puoi specificare la lista di controllo con un fattore di moltiplicazione pari a 0 per ridurre la loro visibilità mentre sono in un esercizio attivo. Per saperne di più, vedi Aggiungere un elenco di titoli.

Passaggi successivi

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.