Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מדריך למתחילים בנושא רשימת המעקב

נתמך ב:

Google secops SIEM

איך משתמשים בקטע רשימת הצפייה רשימות הצפייה ב-Google SecOps מאפשרות לכם ליצור באופן ידני רשימות של ישויות למעקב, להגדיל או להקטין את ציוני הסיכון שלהן במערכת. אנליסטים של אבטחה יכולים לתת עדיפות לחקירות ולהתמקד בישויות שעשויות להיות חשובות במיוחד, גם אם ציוני הסיכון האוטומטיים שלהן נמוכים.

לפני שמתחילים

כדי לגשת לכרטיסייה 'רשימת צפייה':

בתפריט הניווט השמאלי, לוחצים על Detection (זיהוי).
בקטע זיהוי, לוחצים על ניתוח סיכונים.
לוחצים על הכרטיסייה רשימות צפייה.

רשימות המניות למעקב

רשימות הצפייה ב-Google Security Operations מאפשרות למשתמשים ליצור באופן ידני רשימות של ישויות למעקב, ולשפר או להפחית את ציוני הסיכון שלהן במערכת. כך אנליסטים של אבטחה יכולים לתת עדיפות לחקירות ולהתמקד בישויות שעשויות לעורר דאגה מיוחדת, גם אם ציוני הסיכון האוטומטיים שלהן נמוכים.

שיפור ציוני הסיכון בעזרת תובנות אנושיות

הניקוד האוטומטי של הסיכון ב-Google SecOps מספק תובנות חשובות, אבל רשימות המעקב משלבות מומחיות אנושית והקשר בתהליך הערכת הסיכון. לדוגמה, לאנליסט אבטחה יכול להיות ידע לגבי נכסים בעלי ערך גבוה, מיקומים של נתונים רגישים או משתמשים ספציפיים שצריך לעקוב אחריהם באופן הדוק יותר. הוספת הישויות האלה לרשימת מעקב מאפשרת לאנליסטים לוודא שהן יקבלו את תשומת הלב המתאימה, בלי קשר לדירוג הסיכון המחושב שלהן.

בדף רשימות מעקב אפשר לעקוב אחרי ישויות ספציפיות מכל הארגון בהתאם להעדפות הארגון, בלי קשר לציון הסיכון של הישות. לדוגמה:

יצירת רשימת מעקב של עובדים שעומדים לעזוב את החברה כדי לעקוב אחרי זליגת נתונים אפשרית
יוצרים רשימת מעקב של מנהלים בכירים כדי לעקוב מקרוב אחרי שינויים קלים במצב האבטחה שלהם.

יצירת רשימת מניות למעקב

כדי ליצור רשימת מעקב בחשבון Google SecOps, מבצעים את השלבים הבאים. אפשר להגדיר עד 200 רשימות צפייה.

לוחצים על יצירת רשימת מניות למעקב.
מציינים שם לרשימת המניות למעקב.
(אופציונלי) מציינים תיאור.
(אופציונלי) מציינים גורם מכפיל בין 0 ל-100. ערך ברירת המחדל הוא 1.
(אופציונלי) מציינים ישויות בצד שמאל של החלון בקטע הוספת ישויות לרשימת מעקב. אפשר להוסיף כאן את סוגי הישויות הבאים:
- ASSET_IP_ADDRESS
- EMAIL
- EMPLOYEE_ID
- HOSTNAME
- MAC
- PRODUCT_OBJECT_ID
- PRODUCT_SPECIFIC_ID
- USERNAME
- WINDOWS_SID
לוחצים על יצירת רשימת מניות למעקב.

רשימת מעקב מאפשרת להחיל באופן גלובלי משנה של ציון סיכון על קבוצה של ישויות. המשנה הזה, שנקרא מקדם הכפלה, משפר את ציוני הסיכון של כל הישויות ברשימת המעקב. ציון הסיכון הבסיסי של כל ישות מוכפל באותו גורם. מזינים מקדם הכפלה עם ערך בין 0 ל-100. ערך ברירת המחדל הוא 1.

בנוסף ליצירת רשימת מניות למעקב, אתם יכולים לערוך רשימת מניות למעקב, להצמיד אותה או לבטל את ההצמדה שלה, למחוק אותה ולהוסיף לה ישויות או להסיר ממנה ישויות. במאמר הוספת רשימת מניות למעקב יש מידע נוסף על יצירת רשימות מניות למעקב.

תרחישים לדוגמה

ריכזנו כאן כמה תרחישי שימוש במקטע 'רשימת המעקב'.

תרחיש לדוגמה 1:

ליצור רשימת מעקב כדי לעקוב אחרי פעילויות של עובדים שעומדים לעזוב את החברה. העובדים האלה עלולים לנסות להעתיק מפרטים, תוכניות או מצגות פנימיים, במיוחד בתעשיות תחרותיות מאוד. לרוב העובדים, מידע מהסוג הזה לא יהיה שימושי במיוחד, כי בדרך כלל התנהגות כזו נחשבת לנורמלית.

תרחיש שימוש 2: פעילות חריגה בקרב מנהלים בכירים

כדאי ליצור רשימת מעקב כדי לעקוב אחרי פעילות חריגה בקרב מנהלים בכירים בארגון. הנהלה היא יעד נפוץ למתקפות ספיר פישינג. אפשר לעקוב אחרי עליות פתאומיות בחשבוניות או בקשות להעברות כספים לחשבונות חיצוניים באמצעות רשימת מעקב, במיוחד אם זוהו מתקפות פישינג ידועות בארגון.

תרחיש שימוש 3: צוות אדום פנימי

יוצרים רשימת צפייה לצוות אדום פנימי שפעיל בארגון שלכם. הצוות האדום יכול להפעיל התראות רבות בתשתית האבטחה שלכם (כצפוי). אתם יכולים לציין את רשימת הצפייה עם מקדם הכפלה של 0 כדי לצמצם את הנראות שלהם בזמן שהם מבצעים תרגיל פעיל. מידע נוסף זמין במאמר הוספת רשימת מניות למעקב.

המאמרים הבאים

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.