观看列表常见问题解答

支持的平台:

什么是观看列表?

借助观察名单,您可以根据内部风险因素(仅限风险分析中),手动整理要监控的实体列表。

监控列表位于何处?

风险分析信息中心内,点击观察名单标签页以访问观察名单。

为何使用观看列表?

借助观察名单,您可以监控特定实体,从而提高或降低系统中的风险信号。这类实体可能没有较高的风险得分,但根据内部风险因素,需要重点监控。

观察名单如何提升风险评分?

观察名单会将人工专业知识和背景信息纳入风险评估流程。分析师可以确保高价值资产、敏感数据位置或您指定的特定位置得到适当的关注。例如,使用放大系数(见下文)。

我可以创建多少个观看列表?

您最多可以配置 200 个观看列表。

什么是观看列表中的放大系数?

您可以为每个监控列表应用一个乘数(值介于 0 到 100 之间),以修改该监控列表中所有实体的风险得分。默认值为 1。

如何添加观看列表?

如需添加观看列表,请执行以下操作: 1. 点击创建观看列表。 1. 输入观看列表名称说明(可选)和乘数(可选)。1. 将实体添加到监控列表。

可以将哪些类型的实体添加到监控列表?

您可以根据以下类型将实体添加到监控列表: - ASSET_IP_ADDRESS - EMAIL - EMPLOYEE_ID - HOSTNAME - MAC - PRODUCT_OBJECT_ID - PRODUCT_SPECIFIC_ID - USERNAME - WINDOWS_SID

我可以对观看列表执行哪些操作?

您可以创建、修改、固定、取消固定和删除观看列表,以及在观看列表中添加或移除实体。

观看列表有哪些用例?

您可以使用观察名单来监控即将离职的员工、跟踪异常活动,或管理内部红队触发的提醒。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。