Se usó la API de Cloud Translation para traducir esta página.

Investigar a un usuario

La vista Usuario de Google Security Operations permite a los clientes comprender mejor cómo los eventos de seguridad afectan a los usuarios de una empresa. Si se enfocan en el comportamiento de usuarios individuales, los administradores de seguridad pueden buscar actividades que indiquen la vulneración de una cuenta o algún otro problema de seguridad. Asegúrate de transferir y normalizar datos de los dispositivos de tu red, como EDR, firewall, proxy web, contexto del usuario y autenticación, entre otros.

Buscar a un usuario

Para abrir la vista Usuario en Google Security Operations, ingresa el nombre de usuario o la dirección de correo electrónico de un usuario de tu empresa en el campo de búsqueda. Si el usuario está presente en tu cuenta de Google Security Operations, ese usuario aparece como resultado. Haz clic en el nombre de usuario para cambiar a la vista Usuario.

Asignación de alias en la vista del usuario

La vista Usuario incluye una función de alias de usuario para garantizar que los eventos asociados con un solo usuario no se dupliquen y sea más fácil buscar en tu cuenta de Google Security Operations. Por ejemplo, si tienes un empleado llamado Dennis cuyo identificador de usuario es dennis y cuyo correo electrónico es dennis@altostrat.com, y buscas dennis en Google Security Operations, se muestran eventos para dennis y dennis@altostrat.com.

Funciones de vista del usuario

La vista de Usuario incluye muchas funciones y controles de interfaz de usuario para que puedas examinar con más detalle los datos del usuario en tu empresa. Algunas de estas funciones son exclusivas de la vista Usuario y otras se comparten con las otras vistas de eventos de Google Security Operations (vista de dominio, vista de dirección IP, etcétera).

Vista del usuario con textos destacados Funciones de la vista de usuario de Google Security Operations

1 Información del usuario

Muestra información sobre el usuario almacenada en los sistemas de TI de tu empresa (por ejemplo, Active Directory, Workday, Okta, etcétera).

2 Selección de fecha

Usa las flechas hacia la izquierda y derecha para examinar los eventos asociados con el usuario durante un intervalo de una semana calendario (sábado a domingo). Si no hay datos disponibles en el período que se muestra, tendrás las opciones Primera vista y Última vista para cambiar rápidamente la vista a un período relevante.

Cambio de tiempo de 3 ejes X

De forma predeterminada, la vista Usuario centra el mapa de calor de gradientes a las 12:00 UTC (mediodía). Con el control de cambio de tiempo del eje X, puedes centrar el mapa de calor hasta 12 horas antes o después de las 12:00 p.m. Esto te permite enfocarte en períodos atípicos para el usuario. Por ejemplo, puedes cambiar la hora de la pantalla a 0:00 UTC (medianoche) para enfocarte en la actividad del usuario durante la noche y las primeras horas de la mañana, como se muestra en estas cifras.

Establece la Pausa en vivo del eje X en +12 Configura el cambio de tiempo del eje X en +12

4 Mapa de calor de gradientes

El mapa de calor de gradientes de la vista de usuario muestra una vista agregada de la actividad de los usuarios durante el período que estás investigando. Cada cuadrado indica una hora del día (UTC) para la actividad de un usuario registrada durante el período. Este gráfico te permite ubicar una actividad del usuario inusual o atípica.

Si haces clic en un cuadrado, se muestra la fecha de la actividad y, si haces clic en esa fecha en la ventana emergente verde, se te dirigirá a la hora de eventos en el cronograma.

El color de cada cuadrado varía del negro a través de tonos de gris a blanco:

Los cuadrados negros indican que no hubo actividad del usuario.
Los cuadrados blancos indican actividad frecuente del usuario.
Los cuadrados de gris oscuro a gris claro indican niveles crecientes de actividad, con tonos oscuros de gris, que representan menos actividad, y tonos de gris claro, que representan más.

Por ejemplo, un usuario suele ser activo durante las horas laborales normales y nunca está activo a altas horas de la noche ni los fines de semana. Sin embargo, este usuario se volvió activo hace poco todos los días a las 3 a.m. El mapa de calor de gradientes te permite encontrar rápidamente este tipo de actividad atípica.

5 alertas al usuario

Google Security Operations captura las alertas de seguridad de los usuarios y se muestran aquí. Puedes hacer clic en los vínculos asociados para investigar la alerta en más detalle.

7 Columns

Personaliza las columnas que se muestran en la pestaña Cronograma.

6 Cronograma y recursos

Las pestañas Cronograma y Recursos también están disponibles en la vista Usuario. Al igual que con otras vistas de Google Security Operations, la pestaña Timeline muestra los eventos en orden cronológico y la pestaña Assets muestra los recursos asociados con el usuario de forma alfabética o numérica. Los recursos que se muestran corresponden a la actividad de este usuario específico en tu empresa y están limitados por el período especificado.

Usa estas pestañas de la siguiente manera:

Pestaña Timeline (Cronograma): Cuando seleccionas un evento en la pestaña Rutas, también se destaca el evento correspondiente en el mapa de calor de gradientes en verde. Las alertas se indican con un triángulo rojo y texto en rojo.
Pestaña Asset: Cuando seleccionas un recurso, se destaca en verde en la pestaña Asset y toda la actividad que involucra ese recurso también se destaca en verde en el mapa de calor de gradiente. Para ir a la vista Activos, haz clic en el primer o el último acceso en la pestaña Recursos.

8 Filtrado de procedimientos

Para abrir el menú Filtro de procedimientos, haz clic en el ícono de filtro de procedimientos en la vista Usuario y filtra la información del usuario en función de una variedad de características. Por ejemplo, puedes filtrar por Ubicación principal para examinar la ubicación geográfica de los intentos de acceso del usuario. Puede indicar que un usuario accede desde ubicaciones inusuales.

Filtrado de procedimientos en la ubicación de la principal

Filtrado de procedimientos en la ubicación de la principal

Consideraciones

La vista del usuario tiene las siguientes limitaciones:

En esta vista, solo se pueden mostrar 80,000 eventos.
Solo puedes filtrar los eventos que se muestran en esta vista.
En esta vista, solo se propagan los tipos de eventos de usuario, correo electrónico y DNS. La información del primer y último caso que se propaga en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en búsquedas de UDM y registros sin procesar.