ウォッチリストのクイックスタート ガイド

ウォッチリスト セクションの使用方法について説明します。Google SecOps のウォッチリストを使用すると、エンティティ リストを手動でキュレートして、システム内のリスクスコアをモニタリング、ブースト、抑制できます。セキュリティ アナリストは、自動化されたリスクスコアが低い場合でも、調査の優先順位を付けて、特に重要なエンティティに焦点を当てることができます。

始める前に

ウォッチリスト タブにアクセスする手順は次のとおりです。

1. 左側のナビゲーション メニューで、[検出] をクリックします。
2. [検出] で [リスク分析] をクリックします。
3. [ウォッチリスト] タブをクリックします。

ウォッチリスト

Google Security Operations のウォッチリストを使用すると、ユーザーはモニタリングするエンティティのリストを手動でキュレートし、システム内のリスクスコアを増減させることができます。これにより、セキュリティ アナリストは、自動化されたリスクスコアが低い場合でも、調査の優先順位を付け、特に懸念される可能性のあるエンティティに焦点を当てることができます。

人間のインサイトでリスクスコアを強化する

Google SecOps の自動リスク スコアリングは貴重な分析情報を提供しますが、ウォッチリストはリスク評価プロセスに人間の専門知識とコンテキストを組み込みます。たとえば、セキュリティ アナリストは、価値の高いアセット、機密データの場所、より厳密なモニタリングが必要な特定のユーザーに関する知識を持っている可能性があります。これらのエンティティをウォッチリストに追加することで、アナリストは計算されたリスクスコアに関係なく、適切な注意を払うことができます。

[ウォッチリスト] ページでは、エンティティのリスクスコアに関係なく、企業の優先度に従って企業全体の特定のエンティティをモニタリングできます。次に例を示します。

• 退職予定の従業員のウォッチリストを作成して、データの引き出しの可能性を監視する
• セキュリティ ポスチャーの微妙な変化を注意深くモニタリングするために、C-suite のウォッチリストを作成します。

ウォッチリストを作成する

Google SecOps アカウントにウォッチリストを作成する手順は次のとおりです。ウォッチリストは最大 200 個まで設定できます。

1. [ウォッチリストを作成] をクリックします。
2. [ウォッチリストの名前] を指定します。
3. （省略可）[説明] を指定します。
4. （省略可）[乗算係数] を 0～100 の範囲で指定します。デフォルトは 1 です。

5. （省略可）ウィンドウの右側にある [Add entities into a watchlist] セクションでエンティティを指定します。ここでは、次のエンティティ タイプを追加できます。

   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID

6. [ウォッチリストを作成] をクリックします。

ウォッチリストを使用すると、リスクスコア修飾子をエンティティのセットにグローバルに適用できます。この修飾子（乗算係数）は、ウォッチリスト内のすべてのエンティティのリスクスコアを絞り込みます。各エンティティの基本リスクスコアに同じ係数が乗算されます。乗算係数の値を 0～100 で入力します。デフォルト値は 1 です。

ウォッチリストの作成に加えて、ウォッチリストの編集、固定/固定解除、削除、エンティティの追加/ 削除を行うことができます。ウォッチリストの作成方法について詳しくは、ウォッチリストを追加するをご覧ください。

ユースケース

[ウォッチリスト] セクションのユースケースをいくつかご紹介します。

ユースケース 1:

ウォッチリストを作成して、退職予定の従業員のアクティビティを追跡します。特に競争の激しい業界では、従業員が内部仕様、計画、プレゼンテーションをコピーしようとする可能性があります。ほとんどの従業員にとって、このような情報はあまり価値がありません。このような行動は通常、正常と見なされるためです。

ユースケース 2: 幹部社員の不審なアクティビティ

ウォッチリストを作成して、組織内の上級管理職の不審なアクティビティを追跡します。リーダーシップは、スピア フィッシング攻撃の標的になることがよくあります。請求書の急増や外部アカウントへの送金リクエストの急増は、特に企業内で既知のフィッシング攻撃が確認された場合に、ウォッチリストを使用してモニタリングできます。

ユースケース 3: 内部レッドチーム

企業内で活動している内部レッドチームのウォッチリストを作成します。レッドチームは、セキュリティ インフラストラクチャ内で多数のアラートをトリガーする可能性があります（想定どおり）。アクティブなエクササイズ中に表示されないように、乗算係数 0 でウォッチリストを指定できます。詳しくは、ウォッチリストを追加するをご覧ください。

次のステップ

• ウォッチリストを追加する
• ウォッチリストを編集する
• ウォッチリストを固定する
• ウォッチリストの固定を解除する
• ウォッチリストを削除する
• 見たいものリストにエンティティを追加する

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。