Gerenciar listas de interesses de entidades
Saiba como usar a seção Lista de interesses. As listas de interesses no Google SecOps permitem que você organize manualmente listas de entidades para monitorar, aumentar ou suprimir as pontuações de risco delas no sistema. Os analistas de segurança podem priorizar investigações e se concentrar em entidades que podem ser particularmente importantes, mesmo que as pontuações de risco automatizadas sejam baixas.
.Antes de começar
Para acessar a guia "Lista de interesses", siga estas etapas:
- No menu de navegação à esquerda, clique em Detecção.
- Em Detecção, clique em Risk Analytics.
- Clique na guia Listas de interesses.
Listas de interesses
As listas de interesses no Google Security Operations permitem que os usuários organizem manualmente listas de entidades para monitorar, aumentando ou suprimindo as pontuações de risco delas no sistema. Isso permite que os analistas de segurança priorizem investigações e se concentrem em entidades que podem ser de interesse especial, mesmo que as pontuações de risco automatizadas sejam baixas.
Melhorar as pontuações de risco com insights humanos
Embora a pontuação de risco automatizada do Google SecOps forneça insights valiosos, as listas de interesses incorporam a experiência e o contexto humanos ao processo de avaliação de risco. Por exemplo, um analista de segurança pode ter conhecimento de ativos de alto valor, locais de dados sensíveis ou usuários específicos que exigem um monitoramento mais rigoroso. Ao adicionar essas entidades a uma lista de interesses, os analistas podem garantir que elas recebam a atenção adequada, independentemente das pontuações de risco calculadas.
A página Listas de interesses permite monitorar entidades específicas de toda a empresa de acordo com as preferências dela, independentemente da pontuação de risco da entidade. Por exemplo:
- Crie uma lista de interesses de funcionários prestes a deixar a empresa para monitorar qualquer possível exfiltração de dados.
- Crie uma lista de interesses da diretoria para monitorar de perto quaisquer mudanças sutis na postura de segurança.
Criar uma lista de interesses
Para criar uma lista de interesses na sua conta do Google SecOps, siga estas etapas. É possível configurar até 200 listas de interesses.
- Clique em Criar lista de interesses.
- Especifique um Nome da lista de interesses.
- (Opcional) Especifique uma Descrição.
- (Opcional) Especifique o Fator de multiplicação entre 0 e 100. O padrão é 1.
(Opcional) Especifique as entidades no lado direito da janela seguindo a Adicionar entidades a uma lista de interesses seção. É possível adicionar os seguintes tipos de entidade:
ASSET_IP_ADDRESSEMAILEMPLOYEE_IDHOSTNAMEMACPRODUCT_OBJECT_IDPRODUCT_SPECIFIC_IDUSERNAMEWINDOWS_SID
Clique em Criar lista de interesses.
Uma lista de interesses permite aplicar globalmente um modificador de pontuação de risco a um conjunto de entidades. Esse modificador, chamado Fator de multiplicação, refina as pontuações de risco de todas as entidades na lista de interesses. Cada pontuação de risco básica da entidade é multiplicada pelo mesmo fator. Insira um fator de multiplicação com um valor de 0 a 100. O valor padrão é 1.
Além de criar uma lista de interesses, é possível editar, fixar/desafixar, excluir e adicionar/ remover entidades dela. Para mais informações sobre como criar listas de interesses, consulte Adicionar uma lista de interesses.
Casos de uso
Confira alguns casos de uso da seção "Lista de interesses".
Caso de uso 1:
Crie uma lista de interesses para acompanhar as atividades de funcionários prestes a deixar sua empresa. Esses funcionários podem tentar copiar especificações, planos ou apresentações internas, principalmente em setores altamente competitivos. Para a maioria dos funcionários, esse tipo de informação teria pouco valor, já que esse tipo de comportamento normalmente seria considerado normal.
Caso de uso 2: atividade incomum entre líderes seniores
Crie uma lista de interesses para acompanhar atividades incomuns entre líderes seniores da sua organização. A liderança é frequentemente alvo de ataques de spear phishing. Aumentos repentinos em faturas ou solicitações de transferências de fundos para contas externas podem ser monitorados usando uma lista de interesses, principalmente quando ataques de phishing conhecidos foram identificados na sua empresa.
Caso de uso 3: equipe vermelha interna
Crie uma lista de interesses para uma equipe vermelha interna ativa na sua empresa. A equipe vermelha pode acionar vários alertas na sua infraestrutura de segurança (como esperado). É possível especificar a lista de interesses com um fator de multiplicação de 0 para reduzir a visibilidade dela enquanto estiver em um exercício ativo. Para mais informações, consulte Adicionar uma lista de interesses.
A seguir
- Adicionar uma lista de interesses
- Editar uma lista de interesses
- Fixar uma lista de interesses
- Desafixar uma lista de interesses
- Excluir uma lista de interesses
- Adicionar entidades a uma lista de interesses
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.