Nutzer prüfen

Unterstützt in:

Mit der Nutzer-Ansicht von Google Security Operations können Kunden besser nachvollziehen, wie sich Sicherheitsereignisse auf Nutzer in einem Unternehmen auswirken. Wenn sich Sicherheitsadministratoren auf das Verhalten einzelner Nutzer konzentrieren, können sie nach Aktivitäten suchen, die auf eine Kontomanipulation oder andere Sicherheitsrisiken hinweisen. Stellen Sie sicher, dass Sie die Aufnahme und Normalisierung von Daten von Geräten in Ihrem Netzwerk, Firewall, Web-Proxy, Nutzerkontext, Authentifizierung usw.

Nach einem Nutzer suchen

Wenn Sie die Ansicht Nutzer in Google Security Operations öffnen möchten, geben Sie den Nutzernamen oder die E-Mail-Adresse eines Nutzers in Ihrem Unternehmen in das Suchfeld ein. Ist die nutzende Person in Google Security Operations-Konto anmelden, wird dieser Nutzer als Ergebnis angezeigt. Klicken Sie auf das Nutzername, um zur Ansicht Nutzer zu wechseln.

Aliasing für Nutzeransicht

Die Ansicht Nutzer enthält eine Alias-Funktion für Nutzer, damit Ereignisse, die mit einem einzelnen Nutzer verknüpft sind, nicht dupliziert werden und sich leichter in Ihrem Google Security Operations-Konto suchen lassen. Beispiel: Bei einem Mitarbeiter namens Dennis mit der Nutzerkennung dennis und der E-Mail-Adresse dennis@altostrat.com und Sie in Google Security Operations nach dennis suchen, Ereignisse für dennis und dennis@altostrat.com zurückgegeben.

Funktionen der Nutzeransicht

Die Nutzer-Ansicht enthält viele Funktionen und Steuerelemente für die Benutzeroberfläche, mit denen Sie die Nutzerdaten in Ihrem Unternehmen genauer untersuchen können. Einige dieser Funktionen sind nur in der Ansicht Nutzer verfügbar, andere werden auch in den anderen Ereignisansichten von Google Security Operations verwendet (z. B. Domainansicht und IP-Adressansicht).

Nutzeransicht mit Zusatzinformationen Funktionen der Benutzeransicht von Google Security Operations

1 Nutzerinformationen

Zeigt Informationen zum Nutzer an, die in Ihren IT-Systemen des Unternehmens gespeichert sind (z. B. Active Directory, Workday, Okta).

2. Datumsauswahl

Mit den Pfeiltasten nach links und rechts können Sie sich die Ereignisse ansehen, die dem Nutzer innerhalb einer Kalenderwoche (Samstag bis Sonntag) zugeordnet sind. Wenn für den angezeigten Zeitraum keine Daten verfügbar sind, haben Sie die Optionen „Erste Interaktion“ und „Letzte Interaktion“, um die Ansicht schnell auf einen relevanten Zeitraum umzustellen.

3 Zeitverschiebung der X-Achse

In der Ansicht Nutzer ist die Farbverlaufs-Hitzekarte standardmäßig um 12:00 Uhr (UTC) mittags zentriert. Mit können Sie die Heatmap bis zu 12 Stunden vor dem Start der oder nach 12:00 Uhr. So können Sie sich auf atypische Zeiträume für den Nutzer konzentrieren. Sie können die Anzeige beispielsweise auf 00:00 Uhr (UTC) (Mitternacht) verschieben, um sich auf die Nutzeraktivitäten am späten Abend und am frühen Morgen zu konzentrieren, wie in diesen Abbildungen dargestellt.

Zeitverschiebung der X-Achse auf +12 Stunden festlegen Zeitverschiebung der X-Achse auf +12 Stunden festlegen

4 Gradient-Heatmap

Die Nutzeransicht zeigt eine zusammengefasste Ansicht der Nutzeraktivitäten bei für den Zeitraum, den Sie untersuchen. Jedes Quadrat steht für eine Stunde des Tages (UTC) für eine protokollierte Nutzeraktivität während eines bestimmten Zeitraums. In diesem Diagramm können Sie um ungewöhnliche oder untypische Aktivitäten zu erkennen.

Wenn Sie auf ein Quadrat klicken, wird das Aktivitätsdatum angezeigt. Wenn Sie auf dieses Datum im grünen Pop-up-Fenster klicken, gelangen Sie zu den Ereignissen dieser Stunde auf der Zeitachse.

Die Farbe der einzelnen Quadrate variiert von Schwarz über Grautöne bis Weiß:

  • Schwarze Quadrate weisen auf keine Nutzeraktivität hin.

  • Weiße Quadrate stehen für häufige Nutzeraktivitäten.

  • Dunkelgraue bis hellgraue Quadrate zeigen ein erhöhtes Aktivitätsniveau mit dunkle Grautöne für weniger Aktivität und helle Grautöne die mehr repräsentieren.

Ein Nutzer ist beispielsweise während der normalen Arbeitszeiten regelmäßig aktiv, aber nie spät in der Nacht oder am Wochenende. Dieser Nutzer ist jedoch seit Kurzem täglich um 3:00 Uhr aktiv. Mit der Heatmap des Gradienten können Sie untypischen Aktivitäten.

5 Nutzerwarnungen

Sicherheitswarnungen für Nutzer werden von Google Security Operations erfasst und hier angezeigt. Sie können auf die zugehörigen Links klicken, um die Benachrichtigung genauer zu untersuchen.

7 Spalten

Sie können die Spalten anpassen, die auf dem Tab Zeitachse angezeigt werden.

6 Zeitachse und Assets

Die Tabs Zeitachse und Assets sind auch in der Ansicht Nutzer verfügbar. Wie bei anderen Google Security Operations-Ansichten haben, werden auf dem Tab Timeline (Zeitachse) Ereignisse aufgeführt. chronologisch sortiert und auf dem Tab Assets werden die mit dem Nutzer verknüpften alphabetisch oder numerisch sortiert. Die angezeigten Assets entsprechen der Nutzeraktivität in Ihrem Unternehmen und ist durch den Zeitraum begrenzt angegeben ist.

Verwenden Sie diese Tabs so:

  • Tab Zeitachse: Wenn Sie auf dem Tab „Zeitachse“ ein Ereignis auswählen, wird auch das entsprechende Ereignis in der Heatmap des Gradienten in grün angezeigt. Warnungen sind durch ein rotes Dreieck und roten Text gekennzeichnet.

  • Tab Asset: Wenn du ein Asset auswählst, wird es auf dem Tab „Asset“ grün hervorgehoben. Alle Aktivitäten, die dieses Asset betreffen, sind ebenfalls im Heatmap mit Farbverlauf. Sie können zur Asset-Ansicht wechseln, indem Sie auf dem Tab „Assets“ auf den ersten oder letzten Zugriff klicken.

8 Prozedurales Filtern

Sie können das Menü Prozedurliche Filterung öffnen, indem Sie auf den Tab Filtersymbol in der Ansicht Nutzer und Filtern der Nutzerinformationen nach verschiedenen Kriterien von Merkmalen. Sie können z. B. nach Hauptkontostandort filtern, um den geografischen Standort der Anmeldeversuche des Nutzers überprüfen. Das kann darauf hindeuten, dass sich ein Nutzer von ungewöhnlichen Standorten aus anmeldet.

Prozedurliches Filtern nach Hauptkonto Standort

Prozessuale Filterung nach Hauptsitz

Hinweise

Für die Nutzeransicht gelten folgende Einschränkungen:

  • In dieser Ansicht können nur 80.000 Ereignisse angezeigt werden.
  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht sind nur die Ereignistypen „Nutzer“, „E-Mail“ und „DNS“ enthalten. Die Informationen zum ersten und letzten Aufruf, die in dieser Ansicht angezeigt werden, sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Suchanfragen für Rohlogs und UDMs berücksichtigt.