Guia de início rápido da lista de observação

Saiba como usar a seção Lista de observação. Com as listas de observação do Google SecOps, é possível selecionar manualmente listas de entidades para monitorar, aumentar ou reduzir as pontuações de risco delas no sistema. Os analistas de segurança podem priorizar investigações e se concentrar em entidades que podem ser particularmente importantes, mesmo que as pontuações de risco automatizadas sejam baixas.

Antes de começar

Para acessar a guia "Lista de observação", siga estas etapas:

1. No menu de navegação à esquerda, clique em Detecção.
2. Em Detecção, clique em Análise de risco.
3. Clique na guia Listas de observação.

Listas de interesses

As listas de observação no Google Security Operations permitem que os usuários organizem manualmente listas de entidades para monitorar, aumentando ou diminuindo as pontuações de risco no sistema. Isso permite que os analistas de segurança priorizem investigações e se concentrem em entidades que podem ser de interesse especial, mesmo que as pontuações de risco automatizadas sejam baixas.

Melhorar as pontuações de risco com insights humanos

Embora a pontuação de risco automatizada do Google SecOps forneça insights valiosos, as listas de observação incorporam a experiência e o contexto humanos ao processo de avaliação de risco. Por exemplo, um analista de segurança pode ter conhecimento de recursos de alto valor, locais de dados sensíveis ou usuários específicos que exigem um monitoramento mais próximo. Ao adicionar essas entidades a uma lista de observação, os analistas garantem que elas recebam a atenção adequada, independentemente das pontuações de risco calculadas.

Na página Listas de observação, você monitora entidades específicas em toda a empresa de acordo com as preferências dela, independente da pontuação de risco da entidade. Exemplo:

• Crie uma lista de funcionários que estão prestes a sair da empresa para monitorar qualquer possível exfiltração de dados.
• Crie uma lista de observação da diretoria para monitorar de perto qualquer mudança sutil na postura de segurança.

Criar uma lista de interesses

Para criar uma lista de observação na sua conta do Google SecOps, siga estas etapas. É possível configurar até 200 listas de observação.

1. Clique em Criar lista de observação.
2. Especifique um Nome da lista de interesses.
3. (Opcional) Especifique uma Descrição.
4. (Opcional) Especifique um fator de multiplicação entre 0 e 100. O padrão é 1.

5. (Opcional) Especifique as entidades no lado direito da janela seguindo a seção Adicionar entidades a uma lista de observação. É possível adicionar os seguintes tipos de entidades:

   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID

6. Clique em Criar lista de observação.

Com uma lista de sites de interesse, é possível aplicar globalmente um modificador de pontuação de risco a um conjunto de entidades. Esse modificador, chamado Fator de multiplicação, refina as pontuações de risco para todas as entidades na lista de sites de interesse. A pontuação de risco básica de cada entidade é multiplicada pelo mesmo fator. Insira um fator de multiplicação com um valor de 0 a 100. O valor padrão é 1.

Além de criar uma lista de sites de interesse, você pode editar, fixar/remover a fixação, excluir e adicionar/ remover entidades dela. Para saber mais sobre como criar listas de interesses, consulte Adicionar uma lista de interesses.

Casos de uso

Confira alguns casos de uso da seção "Lista de observação".

Caso de uso 1:

Crie uma lista de observação para acompanhar as atividades dos funcionários que estão prestes a sair da empresa. Esses funcionários podem tentar copiar especificações, planos ou apresentações internas, principalmente em setores altamente competitivos. Para a maioria dos funcionários, esse tipo de informação teria pouco valor, já que esse tipo de comportamento normalmente seria considerado normal.

Caso de uso 2: atividade incomum entre líderes seniores

Crie uma lista de observação para rastrear atividades incomuns entre os líderes seniores da sua organização. A liderança é frequentemente alvo de ataques de spear phishing. Aumentos repentinos nas faturas ou solicitações de transferências de fundos para contas externas podem ser monitorados usando uma lista de observação, principalmente quando ataques de phishing conhecidos foram identificados na sua empresa.

Caso de uso 3: equipe de ataque interna

Crie uma lista de observação para uma equipe vermelha interna ativa na sua empresa. A equipe vermelha pode acionar vários alertas na sua infraestrutura de segurança (como esperado). Você pode especificar a lista de observação com um fator multiplicador de 0 para reduzir a visibilidade dela enquanto estiver em um exercício ativo. Para mais informações, consulte Adicionar uma lista de observação.

A seguir

• Adicionar uma lista de interesses
• Editar uma lista de interesses
• Fixar uma lista de interesses
• Liberar uma lista de interesses
• Excluir uma lista de sites de interesse
• Adicionar entidades a uma lista de interesses

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.