Guide de démarrage rapide de la liste de suivi

Découvrez comment utiliser la section Liste de suivi. Les watchlists de Google SecOps vous permettent de créer manuellement des listes d'entités à surveiller, à mettre en avant ou à supprimer dans le système en fonction de leur score de risque. Les analystes de sécurité peuvent hiérarchiser les investigations et se concentrer sur les entités qui peuvent être particulièrement importantes, même si leurs scores de risque automatisés sont faibles.

Avant de commencer

Pour accéder à l'onglet "Liste de suivi", procédez comme suit :

1. Dans le menu de navigation de gauche, cliquez sur Détection.
2. Dans Détection, cliquez sur Analyse des risques.
3. Cliquez sur l'onglet Listes de suivi.

Listes de surveillance

Les watchlists de Google Security Operations permettent aux utilisateurs de créer manuellement des listes d'entités à surveiller, en augmentant ou en diminuant leurs scores de risque dans le système. Les analystes de sécurité peuvent ainsi hiérarchiser les investigations et se concentrer sur les entités qui peuvent être particulièrement préoccupantes, même si leurs scores de risque automatisés sont faibles.

Améliorer les scores de risque grâce à des insights humains

Bien que la notation des risques automatisée de Google SecOps fournisse des insights précieux, les watchlists intègrent l'expertise humaine et le contexte dans le processus d'évaluation des risques. Par exemple, un analyste de la sécurité peut connaître les ressources à forte valeur, les emplacements des données sensibles ou les utilisateurs spécifiques qui nécessitent une surveillance plus étroite. En ajoutant ces entités à une liste de surveillance, les analystes peuvent s'assurer qu'elles reçoivent l'attention appropriée, quels que soient leurs scores de risque calculés.

La page Listes de surveillance vous permet de surveiller des entités spécifiques de votre entreprise en fonction des préférences de votre entreprise, quel que soit le score de risque de l'entité. Exemple :

• Créez une liste de surveillance des employés sur le point de quitter l'entreprise pour surveiller toute exfiltration de données potentielle.
• Créez une liste de surveillance des cadres dirigeants pour suivre de près toute modification subtile de leur posture de sécurité.

Créer une liste de suivi

Pour créer une liste de surveillance dans votre compte Google SecOps, procédez comme suit. Vous pouvez configurer jusqu'à 200 listes de surveillance.

1. Cliquez sur Créer une liste de suivi.
2. Spécifiez un nom pour la liste de surveillance.
3. (Facultatif) Spécifiez une description.
4. (Facultatif) Spécifiez un facteur de multiplication compris entre 0 et 100. La valeur par défaut est 1.

5. (Facultatif) Spécifiez les entités à droite de la fenêtre, dans la section Ajouter des entités à une liste de surveillance. Vous pouvez ajouter les types d'entités suivants :

   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID

6. Cliquez sur Créer une liste de suivi.

Une liste de surveillance vous permet d'appliquer globalement un modificateur de score de risque à un ensemble d'entités. Ce modificateur, appelé Facteur de multiplication, affine les scores de risque pour toutes les entités de la liste de surveillance. Le score de risque de base de chaque entité est multiplié par le même facteur. Saisissez un facteur de multiplication dont la valeur est comprise entre 0 et 100. La valeur par défaut est 1.

En plus de créer une liste de valeurs suivies, vous pouvez la modifier, l'épingler/la désépingler, la supprimer et y ajouter/ en supprimer des entités. Pour savoir comment créer des listes de suivi, consultez Ajouter une liste de suivi.

Cas d'utilisation

Voici quelques cas d'utilisation de la section "À regarder".

Cas d'utilisation 1 :

Créez une liste de surveillance pour suivre les activités des employés qui sont sur le point de quitter votre entreprise. Ces employés peuvent tenter de copier des spécifications, des plans ou des présentations internes, en particulier dans les secteurs très concurrentiels. Pour la plupart des employés, ce type d'informations n'aurait que peu d'intérêt, car ce type de comportement serait généralement considéré comme normal.

Cas d'utilisation 2 : Activité inhabituelle parmi les cadres supérieurs

Créez une liste de surveillance pour suivre les activités inhabituelles des cadres supérieurs de votre organisation. Les dirigeants sont souvent la cible d'attaques de spear phishing. Les augmentations soudaines des factures ou les demandes de transfert de fonds vers des comptes externes peuvent être surveillées à l'aide d'une liste de surveillance, en particulier lorsque des attaques de phishing connues ont été identifiées dans votre entreprise.

Cas d'utilisation 3 : équipe rouge interne

Créez une liste de surveillance pour une équipe rouge interne active dans votre entreprise. L'équipe rouge peut déclencher de nombreuses alertes dans votre infrastructure de sécurité (comme prévu). Vous pouvez spécifier la liste de surveillance avec un facteur de multiplication de 0 pour réduire la visibilité des utilisateurs pendant un exercice actif. Pour en savoir plus, consultez Ajouter une liste de surveillance.

Étapes suivantes

• Ajouter une liste
• Modifier une liste de surveillance
• Épingler une liste
• Désépingler une liste
• Supprimer une liste de suivi
• Ajouter des entités à une liste de surveillance

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.