Kurzanleitung für die Beobachtungsliste

Informationen zur Verwendung des Bereichs „Beobachtungsliste“ Mit Watchlists in Google SecOps können Sie Entitätslisten manuell zusammenstellen, um die Risikobewertungen im System zu überwachen, zu erhöhen oder zu unterdrücken. Sicherheitsanalysten können Untersuchungen priorisieren und sich auf Einheiten konzentrieren, die besonders wichtig sein könnten, auch wenn ihre automatischen Risikobewertungen niedrig sind.

Hinweise

So greifst du auf den Tab „Merkliste“ zu:

1. Klicken Sie im linken Navigationsmenü auf Erkennung.
2. Klicken Sie unter Erkennung auf Risikoanalyse.
3. Klicke auf den Tab Merklisten.

Beobachtungslisten

Mit Watchlists in Google Security Operations können Nutzer Listen mit zu überwachenden Entitäten manuell zusammenstellen und deren Risikobewertungen im System erhöhen oder unterdrücken. So können Sicherheitsanalysten Untersuchungen priorisieren und sich auf Entitäten konzentrieren, die möglicherweise von besonderer Bedeutung sind, auch wenn ihre automatisierten Risikobewertungen niedrig sind.

Risikobewertungen mit menschlichen Erkenntnissen verbessern

Die automatisierte Risikobewertung von Google SecOps liefert zwar wertvolle Informationen, aber Watchlists beziehen menschliches Fachwissen und Kontext in den Risikobewertungsprozess ein. Ein Sicherheitsanalyst kann beispielsweise über Kenntnisse von wertvollen Assets, vertraulichen Datenstandorten oder bestimmten Nutzern verfügen, die eine genauere Überwachung erfordern. Wenn Analysten diese Entitäten einer Beobachtungsliste hinzufügen, können sie sicherstellen, dass sie die erforderliche Aufmerksamkeit erhalten, unabhängig von ihren berechneten Risikobewertungen.

Auf der Seite Beobachtungslisten können Sie bestimmte Entitäten aus Ihrem gesamten Unternehmen entsprechend den Einstellungen Ihres Unternehmens überwachen, unabhängig vom Risikowert der Entität. Beispiel:

• Eine Beobachtungsliste mit Mitarbeitern erstellen, die das Unternehmen verlassen, um eine mögliche Datenexfiltration zu überwachen
• Erstellen Sie eine Beobachtungsliste für die Führungsebene, um subtile Änderungen in ihrem Sicherheitsstatus genau zu beobachten.

Beobachtungsliste erstellen

So erstellen Sie eine Beobachtungsliste für Ihr Google SecOps-Konto: Du kannst bis zu 200 Beobachtungslisten konfigurieren.

1. Klicken Sie auf Beobachtungsliste erstellen.
2. Geben Sie einen Namen für die Beobachtungsliste an.
3. Optional: Geben Sie eine Beschreibung an.
4. Optional: Geben Sie einen Multiplikationsfaktor zwischen 0 und 100 an. Der Standardwert ist 1.

5. Optional: Geben Sie rechts im Fenster Entitäten an, wie im Abschnitt Entitäten in eine Beobachtungsliste einfügen beschrieben. Sie können hier die folgenden Entitätstypen hinzufügen:

   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID

6. Klicken Sie auf Beobachtungsliste erstellen.

Mit einer Beobachtungsliste können Sie einen Risikobewertungsmodifikator global auf eine Gruppe von Entitäten anwenden. Mit diesem Modifikator, dem Multiplikationsfaktor, werden die Risikobewertungen für alle Entitäten in der Beobachtungsliste optimiert. Die Basisrisikobewertung jeder Entität wird mit demselben Faktor multipliziert. Geben Sie einen Multiplikationsfaktor mit einem Wert von 0–100 ein. Der Standardwert ist 1.

Sie können nicht nur eine Beobachtungsliste erstellen, sondern sie auch bearbeiten, anpinnen/lösen, löschen und Entitäten hinzufügen/ entfernen. Weitere Informationen zum Erstellen von Beobachtungslisten

Anwendungsfälle

Hier sind einige Anwendungsfälle für den Bereich „Beobachtungsliste“.

Use case 1:

Erstellen Sie eine Beobachtungsliste, um die Aktivitäten von Mitarbeitern zu verfolgen, die Ihr Unternehmen bald verlassen. Diese Mitarbeiter versuchen möglicherweise, interne Spezifikationen, Pläne oder Präsentationen zu kopieren, insbesondere in Branchen mit hohem Wettbewerb. Für die meisten Mitarbeiter sind diese Informationen von geringem Wert, da dieses Verhalten in der Regel als normal angesehen wird.

Anwendungsfall 2: Ungewöhnliche Aktivitäten bei Führungskräften

Erstellen Sie eine Beobachtungsliste, um ungewöhnliche Aktivitäten von Führungskräften in Ihrer Organisation im Blick zu behalten. Führungskräfte sind häufig das Ziel von Spear-Phishing-Angriffen. Plötzliche Anstiege bei Rechnungen oder Anfragen für Geldüberweisungen auf externe Konten können mithilfe einer Beobachtungsliste überwacht werden, insbesondere wenn in Ihrem Unternehmen bekannte Phishing-Angriffe festgestellt wurden.

Anwendungsfall 3: Internes Red Team

Erstellen Sie eine Beobachtungsliste für ein internes Red Team, das in Ihrem Unternehmen aktiv ist. Das Red Team kann (erwartungsgemäß) zahlreiche Benachrichtigungen in Ihrer Sicherheitsinfrastruktur auslösen. Sie können die Merkliste mit einem Multiplikationsfaktor von 0 angeben, um die Sichtbarkeit von Inhalten zu verringern, während Sie ein aktives Training absolvieren. Weitere Informationen finden Sie unter Beobachtungsliste hinzufügen.

Nächste Schritte

• Merkliste hinzufügen
• Beobachtungsliste bearbeiten
• Beobachtungsliste anpinnen
• Beobachtungsliste loslösen
• Beobachtungsliste löschen
• Entitäten einer Merkliste hinzufügen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten