观看列表快速入门指南

了解如何使用关注列表部分。借助 Google SecOps 中的关注列表，您可以手动整理实体列表，以便在系统中监控、提高或抑制这些实体的风险评分。安全分析师可以确定调查的优先级，并专注于可能特别重要的实体，即使这些实体的自动化风险得分较低也是如此。

准备工作

如需访问“关注列表”标签页，请按以下步骤操作：

1. 在左侧导航菜单中，点击检测。
2. 在检测中，点击风险分析。
3. 点击观看列表标签页。

监控列表

Google Security Operations 中的监控列表允许用户手动整理要监控的实体列表，从而提高或抑制这些实体在系统中的风险评分。这样一来，安全分析师便可确定调查的优先级，并专注于可能特别令人担忧的实体，即使这些实体的自动化风险得分较低也是如此。

利用人工分析来增强风险得分

虽然 Google SecOps 的自动化风险评分功能可提供宝贵的洞见，但监控列表可将人工专业知识和情境纳入风险评估流程中。例如，安全分析师可能了解高价值资产、敏感数据位置或需要密切监控的特定用户。通过将这些实体添加到关注列表中，分析师可以确保无论其计算出的风险得分如何，都能获得适当的关注。

通过监控列表页面，您可以根据企业的偏好监控企业中的特定实体，而无需考虑实体的风险评分。例如：

• 创建即将离职的员工的关注列表，以监控任何可能的数据渗漏行为
• 创建高管关注列表，密切监控其安全状况的任何细微变化。

创建监控列表

如需在 Google SecOps 账号中创建关注列表，请完成以下步骤。您最多可以配置 200 个关注列表。

1. 点击创建关注列表。
2. 指定监控列表名称。
3. （可选）指定说明。
4. （可选）指定介于 0 到 100 之间的放大系数。默认值为 1。

5. （可选）按照将实体添加到关注列表部分中的说明，在窗口右侧指定实体。您可以在此处添加以下实体类型：

   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID

6. 点击创建关注列表。

通过关注列表，您可以针对一组实体全局应用风险得分修饰符。此修饰符称为“放大系数”，可优化监控列表中所有实体的风险得分。每个实体的基本风险得分都会乘以相同的系数。输入值介于 0 到 100 之间的放大系数。默认值为 1。

除了创建监控列表之外，您还可以修改监控列表、固定/取消固定、删除监控列表，以及向其中添加/ 从中移除实体。 如需详细了解如何创建监控列表，请参阅添加监控列表。

使用场景

以下是“关注列表”部分的一些使用场景。

应用场景 1：

创建监视列表，以跟踪即将离职的员工的活动。 这些员工可能会尝试复制内部规范、计划或演示文稿，尤其是在竞争激烈的行业中。对于大多数员工来说，此类信息几乎没有价值，因为此类行为通常会被认为是正常的。

用例 2：高层领导出现异常活动

创建监控名单，以跟踪组织内高层领导的异常活动。领导层经常成为鱼叉式网络钓鱼攻击的目标。 使用监控列表可以监控账单或向外部账号转账的请求是否突然增加，尤其是在企业内发现已知的网络钓鱼攻击时。

应用场景 3：内部红队

为企业中活跃的内部红队创建关注列表。红队可能会在您的安全基础架构中触发大量提醒（这是预期行为）。您可以指定一个乘数因子为 0 的观看列表，以在用户进行有效锻炼时降低这些视频的显示频率。如需了解详情，请参阅添加关注列表。

后续步骤

• 添加观看列表
• 修改监控列表
• 固定观察名单
• 取消固定观察名单
• 删除监控列表
• 将实体添加到监控列表

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。