Enquêter sur un utilisateur

La vue Utilisateur de Google Security Operations permet aux clients de mieux comprendre l'impact des événements liés à la sécurité sur les utilisateurs d'une entreprise. En se concentrant sur le comportement des utilisateurs individuels, les administrateurs de sécurité peuvent rechercher les activités indiquant un piratage de compte ou d'autres problèmes de sécurité. Assurez-vous d'ingérer et de normaliser les données des appareils de votre réseau, tels que les solutions EDR, les pare-feu, le proxy Web, le contexte utilisateur et l'authentification.

Rechercher un utilisateur

Pour ouvrir la vue Utilisateur dans Google Security Operations, saisissez le nom d'utilisateur ou l'adresse e-mail d'un utilisateur de votre entreprise dans le champ de recherche. S'il figure dans votre compte Google Security Operations, il apparaît dans les résultats. Cliquez sur le nom d'utilisateur pour passer à la vue Utilisateur.

Création d'alias de vues utilisateur

La vue User (Utilisateur) inclut une fonctionnalité de création d'alias d'utilisateur qui garantit que les événements associés à un seul utilisateur ne sont pas dupliqués et sont plus faciles à rechercher dans votre compte Google Security Operations. Par exemple, si vous avez un employé nommé Dennis dont l'identifiant d'utilisateur est dennis et dont l'adresse e-mail est dennis@altostrat.com, et que vous recherchez dennis dans Google Security Operations, les événements dennis et dennis@altostrat.com sont renvoyés.

Fonctionnalités de vue utilisateur

La vue Utilisateur comprend de nombreuses fonctionnalités et commandes d'interface utilisateur qui vous permettent d'examiner plus en détail les données utilisateur de votre entreprise. Certaines de ces fonctionnalités sont propres à la vue Utilisateur, et d'autres sont partagées avec les autres vues d'événements Google Security Operations (Vue du domaine, Vue des adresses IP, etc.).

Vue utilisateur avec accroches Fonctionnalités de la vue Utilisateur Google Security Operations

1 Informations sur l'utilisateur

Affiche des informations sur l'utilisateur stocké dans les systèmes informatiques de votre entreprise (par exemple, Active Directory, Workday, Okta, etc.).

2. Sélection des dates

Utilisez les flèches vers la gauche et vers la droite pour examiner les événements associés à l'utilisateur sur un intervalle d'une semaine calendaire (du samedi au dimanche). Si aucune donnée n'est disponible pour la période affichée, les options "Première vue" et "Dernière vue" vous sont proposées pour déplacer rapidement la vue vers la période appropriée.

Décalage temporel sur 3 axes X

Par défaut, la vue Utilisateur centre la carte de densité en dégradé à 12h UTC (midi). La commande de décalage temporel de l'axe X vous permet de centrer la carte thermique jusqu'à 12 heures avant ou après 12h. Vous pouvez ainsi vous concentrer sur des périodes inhabituelles pour l'utilisateur. Par exemple, vous pouvez décaler l'affichage sur 0:00 UTC (minuit) pour vous concentrer sur l'activité des utilisateurs en fin de soirée et en début de matinée, comme le montre ces figures.

Définir le décalage temporel de l'axe X sur +12 Définir le décalage temporel de l'axe X sur +12

Carte de densité des quatre gradients

La vue Utilisateur sur la carte de densité en dégradé affiche une vue globale de l'activité des utilisateurs au cours de la période étudiée. Chaque carré indique une heure de la journée (UTC) pour une activité utilisateur enregistrée au cours de la période. Ce graphique vous permet de localiser les activités utilisateur inhabituelles ou atypiques.

Cliquez sur un carré pour afficher la date de l'activité. Cliquez sur cette date dans le pop-up vert pour accéder à l'heure des événements dans la chronologie.

La couleur de chaque carré varie du noir à des nuances de gris au blanc:

  • Les carrés noirs indiquent l'absence d'activité de l'utilisateur.

  • Les carrés blancs indiquent l'activité fréquente des utilisateurs.

  • Les carrés gris foncé à gris clair indiquent des niveaux d'activité croissants, les nuances de gris foncé représentant une activité moindre et les nuances de gris claires représentant plus.

Par exemple, un utilisateur est régulièrement actif pendant les heures de travail normales et n'est jamais actif la nuit ni le week-end. Cependant, cet utilisateur est récemment devenu actif tous les jours à 3 h du matin. La carte de densité en gradient vous permet de localiser rapidement ce type d'activité atypique.

5 Alertes utilisateur

Les alertes de sécurité utilisateur sont capturées par Google Security Operations et affichées ici. Vous pouvez cliquer sur les liens associés pour examiner l'alerte plus en détail.

7 colonnes

Personnalisez les colonnes affichées dans l'onglet Chronologie.

6. Chronologie et éléments

Les onglets Chronologie et éléments sont également disponibles dans la vue Utilisateur. Comme pour les autres vues Google Security Operations, l'onglet Chronologie répertorie les événements par ordre chronologique et l'onglet Éléments répertorie les éléments associés à l'utilisateur par ordre alphabétique ou numérique. Les éléments affichés correspondent à l'activité de cet utilisateur spécifique dans votre entreprise et sont limités par la période spécifiée.

Utilisez ces onglets comme suit:

  • Onglet Timeline (Chronologie) : la sélection d'un événement dans l'onglet "Timeline" met également en surbrillance l'événement correspondant en vert dans la carte de densité en dégradé. Les alertes sont signalées par un triangle et un texte rouges.

  • Onglet Asset (Ressource) : lorsque vous sélectionnez un élément, celui-ci apparaît en vert dans l'onglet "Asset" (Élément), et toutes les activités impliquant cet élément sont également mises en surbrillance en vert sur la carte de densité en dégradé. Vous pouvez passer à la vue "Asset" (Éléments) en cliquant sur le premier ou le dernier accès à la vue dans l'onglet "Assets" (Éléments).

8 Filtrage procédural

Vous pouvez ouvrir le menu Procedural Filtering (Filtrage procédural) en cliquant sur l'icône de filtrage procédural de la vue User (Utilisateur) et filtrer les informations utilisateur en fonction de diverses caractéristiques. Par exemple, vous pouvez filtrer sur l'emplacement principal pour examiner l'emplacement géographique des tentatives de connexion de l'utilisateur. Cela peut indiquer qu'un utilisateur se connecte à partir d'emplacements inhabituels.

Filtrage procédural sur l'emplacement principal

Filtrage procédural sur l'emplacement principal

Remarques

La vue utilisateur présente les limites suivantes:

  • Seuls 80 000 événements peuvent être affichés dans cette vue.
  • Vous ne pouvez filtrer que les événements affichés dans cette vue.
  • Seuls les types d'événements "Utilisateur", "Adresse e-mail" et "DNS" sont renseignés dans cette vue. Les informations de première et de dernière occurrence qui sont renseignées dans cette vue sont également limitées à ces types d'événements.
  • Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.