调查用户
通过 Google 安全运营用户视图,客户可以更好地了解企业中的用户会受到安全事件的影响。通过关注单个用户的行为,安全管理员可以搜索表明帐号被盗用或其他安全问题的活动。确保从您网络上的设备中提取数据并对其进行标准化,例如 EDR、防火墙、Web 代理、用户上下文和身份验证等。
搜索用户
如需在 Google Security Operations 中打开用户视图,请在“搜索”字段中输入企业内部用户的用户名或电子邮件地址。如果该用户存在于您的 Google Security Operations 帐号中,该用户会显示在结果中。点击用户名可转到用户视图。
“用户”视图别名
用户视图包含用户别名功能,可确保与单个用户关联的事件不会被重复,并且更易于在您的 Google 安全运维帐号中搜索。例如,如果您有一位名叫 Dennis 的员工,其用户标识符为 dennis,电子邮件地址为 dennis@altostrat.com,当您在 Google Security Operations 中搜索 dennis,那么系统将返回针对 dennis 和 dennis@altostrat.com 的事件。
“用户”视图功能
用户视图包含许多功能和界面控件,可让您更仔细地检查企业内的用户数据。其中一些功能是“用户”视图所独有的,还有一些功能与其他 Google 安全运维事件视图(网域视图、IP 地址视图等)共享。
Google Security Operations 用户视图功能
1 用户信息
显示存储在企业 IT 系统(例如 Active Directory、Workday、Okta 等)中的用户的相关信息。
2 日期选择
使用向左和向右箭头可查看一个日历周间隔(星期六到星期日)内与用户关联的事件。如果显示的时间段内没有可用数据,系统会为您提供“首次看到”和“上次出现时间”选项,以便您将视图快速切换到相关时间段。
3 X 轴时移
默认情况下,用户视图将渐变热图的中心设为世界协调时间 (UTC) 中午 12:00。使用 X 轴时移控件,您可以让热图在中午 12:00 之前或之后最长 12 小时内居中显示。这样,您就可以重点关注用户的非典型时间段。例如,您可以将显示时间调至世界协调时间 (UTC) 0:00(午夜),以关注用户在深夜和清晨的活动,如下图所示。
将 X 轴时间偏移值设为 +12
4 渐变热点图
用户视图 渐变热图可显示您所调查时间段内用户活动的汇总视图。每个方格均表示该时间段内所记录用户活动的时段 (UTC)。您可以通过此图表找到异常或非典型用户活动。
点击方形会显示活动日期,点击绿色弹出式窗口中的该日期会将您转到时间轴中对应的事件所在的时段。
每个方形的颜色从黑色到灰色再到白色不等:
黑色方块表示没有用户活动。
白色方块表示频繁的用户活动。
深灰色到浅灰色方块表示活动量不断增加,深灰色代表活动较少,浅灰色代表活动更多。
例如,用户在正常工作时间内经常处于活跃状态,而在深夜或周末从不活跃。不过,该用户最近在每天凌晨 3 点处于活跃状态。通过渐变热图,您可以快速找到此类异常活动。
5 条用户提醒
用户安全提醒由 Google 安全运维团队捕获并显示在此处。您可以点击相关链接以进一步调查提醒。
7 列
自定义时间轴标签页中显示的列。
6 时间表和资源
此外,用户视图中也提供了时间轴和素材资源标签页。与其他 Google Security Operations 视图一样,时间轴标签页按时间顺序列出事件,资产标签页则按字母顺序或数字顺序列出与用户关联的资源。显示的资源与该特定用户在您企业内的活动相对应,并且受指定时间段的限制。
使用这些标签页,如下所示:
时间轴标签页:在“时间轴”标签页中选择一个事件后,相应的事件也会在渐变热图中以绿色突出显示。提醒由红色三角形和红色文本表示。
资产标签页:选择一项资产会在“资产”标签页中以绿色突出显示,且涉及该资产的所有活动也会在渐变热图中以绿色突出显示。点击“资产”标签页中首次访问或上次访问的用户,即可转到“资产”视图。
8 过程过滤
您可以通过点击 User 视图中的 Procedural Classification 图标来打开 Procedural 过滤菜单,然后根据各种特征过滤用户信息。例如,您可以按主账号位置进行过滤,以检查用户尝试登录时所在的地理位置。这可能表明用户正在从异常位置登录。
对主账号位置进行过程过滤
注意事项
用户视图具有以下限制:
- 此视图中只能显示 8 万个活动。
- 您只能过滤此视图中显示的事件。
- 此视图中仅填充用户、电子邮件和 DNS 事件类型。在此视图中填充的“首次看到”和“上次出现时间”信息也仅限于这些事件类型。
- 常规事件不会出现在任何精选视图中。它们仅出现在原始日志和 UDM 搜索结果中。