快速入門指南：追蹤清單

瞭解如何使用「我的追蹤清單」專區。Google SecOps 中的監控清單可讓您手動建立實體清單，以便在系統中監控、提高或壓低這些實體的風險分數。安全分析師可以優先處理調查，並專注於可能特別重要的實體，即使自動風險評分較低也一樣。

事前準備

如要存取「我的追蹤清單」分頁，請按照下列步驟操作：

1. 在左側導覽選單中，按一下「偵測」。
2. 在「偵測」中，按一下「風險分析」。
3. 按一下「追蹤清單」分頁標籤。

觀察清單

Google Security Operations 中的監控清單可讓使用者手動建立要監控的實體清單，並在系統中提高或降低這些實體的風險評分。即使實體的自動風險評分偏低，安全分析人員也能優先調查，並專注於可能特別令人擔憂的實體。

運用人工洞察資料提升風險分數

Google SecOps 的自動風險評分機制可提供寶貴的洞察資訊，但監控清單會將專家的專業知識和背景脈絡納入風險評估程序。舉例來說，安全分析師可能瞭解高價值資產、機密資料位置，或需要密切監控的特定使用者。將這些實體加入監控清單後，分析師就能確保這些實體受到適當關注，無論計算出的風險分數為何。

您可以在「監控清單」頁面中，根據企業偏好設定監控整個企業的特定實體，無論實體的風險評分為何。例如：

• 建立即將離職員工的觀察清單，監控任何可能的資料竊取行為
• 建立高階主管監控清單，密切注意他們安全防護機制的任何細微變化。

建立待觀看影劇清單

如要在 Google SecOps 帳戶中建立監控清單，請完成下列步驟。最多可設定 200 個追蹤清單。

1. 按一下「建立追蹤清單」。
2. 指定待觀看影劇清單名稱。
3. (選用) 指定「Description」(說明)。
4. (選用) 指定介於 0 至 100 的乘數。預設值為 1。

5. (選用) 按照「將實體新增至監控清單」部分的操作說明，在視窗右側指定實體。您可以在這裡新增下列實體類型：

   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID

6. 按一下「建立追蹤清單」。

觀察清單可讓您對一組實體全域套用風險分數修飾符。這個修飾符稱為「乘數」，可調整觀察清單中所有實體的風險分數。每個實體的基本風險分數都會乘以相同因子。輸入介於 0 至 100 的乘數。預設值為 1。

除了建立觀察清單，您還可以編輯、釘選/取消釘選、刪除觀察清單，以及在清單中新增/ 移除實體。如要進一步瞭解如何建立觀察清單，請參閱「新增觀察清單」。

用途

以下列出「我的追蹤清單」專區的幾項應用實例。

應用情境 1：

建立觀察清單，追蹤即將離職的員工活動。 這些員工可能會嘗試複製內部規格、計畫或簡報，尤其是在競爭激烈的產業。對大多數員工而言，這類資訊的價值不高，因為這類行為通常會被視為正常。

用途 2：高階主管出現異常活動

建立監控清單，追蹤貴機構高階主管的異常活動。領導階層經常成為魚叉式網路釣魚攻擊的目標。如果企業內發生已知的網路釣魚攻擊，您可以使用監控清單，監控發票突然增加或要求將款項轉移至外部帳戶的情況。

應用情境 3：內部紅隊

為企業中活躍的內部紅隊建立監控清單。紅隊可能會在您的安全基礎架構中觸發大量警示 (這是預期行為)。你可以指定待觀看影劇清單，並將乘數設為 0，減少使用者運動時的曝光度。詳情請參閱「新增追蹤清單」。

後續步驟

• 新增觀察清單
• 編輯觀察清單
• 固定觀察清單
• 取消固定觀察清單
• 刪除觀察清單
• 將實體新增至觀察清單

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。