Indagine su un utente

Supportato in:

La vista Utente di Google Security Operations consente ai clienti di comprendere meglio in che modo gli utenti all'interno di un'azienda sono influenzati da eventi di sicurezza. Concentrando l'attenzione sul il comportamento dei singoli utenti, gli amministratori della sicurezza che indicano una compromissione dell'account o altri problemi di sicurezza. Assicurati di avere importare e normalizzare i dati dai dispositivi sulla tua rete, come EDR, firewall, proxy web, contesto utente, autenticazione e così via.

Cerca un utente

Per aprire la visualizzazione Utente in Google Security Operations, inserisci il nome utente o l'indirizzo email di a un utente della tua azienda nel campo di ricerca. Se l'utente è presente in il tuo account Google Security Operations, l'utente verrà visualizzato come risultato. Fai clic sull' per creare un pivot della vista Utente.

Alias visualizzazione utente

La vista Utente include una funzionalità di aliasing utente per garantire che gli eventi associati a un i singoli utenti non vengono duplicati e sono più facili da cercare all'interno di Account Google Security Operations. Ad esempio, se hai un dipendente di nome Daniele con identificatore utente dennis e indirizzo email dennis@altostrat.com e cerchi dennis in Google Security Operations, eventi sia per dennis che Vengono restituiti dennis@altostrat.com.

Funzionalità di visualizzazione utente

La visualizzazione Utente include molte funzionalità e controlli dell'interfaccia utente per consentirti di esaminare più da vicino i dati utente all'interno della tua azienda. Alcuni di questi sono uniche per la vista Utente e alcune sono condivise con l'altra Visualizzazioni di eventi di Google Security Operations (vista dominio, visualizzazione indirizzo IP e così via).

Visualizzazione utente con callout Funzionalità di visualizzazione utente di Google Security Operations

1 Informazioni utente

Visualizza le informazioni sull'utente archiviate nei sistemi IT della tua azienda. (ad esempio, Active Directory, Workday, Okta e così via).

2 Selezione della data

Utilizza le frecce destra e sinistra per esaminare gli eventi associati all'utente in un intervallo di una settimana di calendario (da sabato a domenica). Se non sono presenti dati disponibili nel periodo di tempo visualizzato, vengono visualizzate le metriche Primo accesso Opzioni Ultimo accesso per spostare rapidamente la visualizzazione a un periodo di tempo pertinente.

Spostamento temporale su 3 assi X

Per impostazione predefinita, la vista Utente centra la mappa termica del gradiente alle 12:00 UTC (mezzogiorno). Utilizzo il controllo Spostamento temporale dell'asse X, puoi centrare la mappa termica fino a 12 ore prima o dopo le 12:00. Ciò ti consente di concentrarti su periodi di tempo atipici per l'utente. Ad esempio, puoi impostare l'ora del display su 0:00 UTC (mezzanotte) per l'attività utente a tarda sera e la mattina presto, come mostrato in le immagini.

Impostazione dello spostamento temporale dell'asse X su +12 Impostazione dello spostamento temporale dell'asse X su +12

4 Mappa termica con gradiente

La mappa termica del gradiente di visualizzazione utente mostra una vista aggregata dell'attività utente su il periodo di tempo che stai esaminando. Ogni quadrato indica un'ora del giorno (UTC) per un'attività utente registrata nel periodo di tempo selezionato. Questo grafico ti consente per individuare attività utente insolite o atipiche.

Facendo clic su un quadrato viene visualizzata la data dell'attività, facendo clic su quella data popover verde ti porta all'ora degli eventi della Timeline.

Il colore di ogni quadrato varia dal nero alle sfumature di grigio fino al bianco:

  • I quadrati neri indicano che non c'è attività utente.

  • I quadrati bianchi indicano un'attività utente frequente.

  • I quadrati dal grigio scuro al grigio chiaro indicano l'aumento dei livelli di attività con tonalità scure di grigio che rappresentano meno attività, mentre le tonalità chiare di grigio che ne rappresentano di più.

Ad esempio, un utente è regolarmente attivo durante il normale orario di lavoro e mai attivo a tarda notte o nei fine settimana. Tuttavia, di recente questo utente è attivo tutti i giorni alle 03:00. La mappa termica del gradiente ti consente di individuare rapidamente questo tipo di attività atipica.

5 avvisi utente

Gli avvisi di sicurezza degli utenti vengono acquisiti da Google Security Operations e visualizzati qui. Tu puoi fare clic sui link associati per esaminare ulteriormente l'avviso.

7 colonne

Personalizza le colonne visualizzate nella scheda Spostamenti.

6 Timeline e asset

Le schede Spostamenti e Asset sono disponibili anche nella visualizzazione Utente. Come per altre visualizzazioni di Google Security Operations, la scheda Sequenza temporale elenca gli eventi in ordine cronologico e la scheda Asset elenca gli asset associati all'utente in ordine alfabetico o numerico. Le risorse visualizzate corrispondono all'attività di questo utente specifico all'interno della tua azienda e sono limitate dal periodo di tempo specificato.

Utilizza queste schede nel seguente modo:

  • Scheda Sequenza temporale: se selezioni un evento nella scheda Timeline, viene evidenziato anche l'evento corrispondente nella mappa termica del gradiente in verde. Gli avvisi sono indicato da un triangolo rosso e testo rosso.

  • Scheda Asset: se selezioni un asset, questo viene evidenziato in verde nella scheda Asset. e tutte le attività relative a quella risorsa sono evidenziate in verde nella Mappa termica del gradiente. Puoi passare alla visualizzazione Asset facendo clic sul primo l'ultimo accesso o l'ultimo accesso nella scheda Asset.

8 Filtraggio procedurale

Puoi aprire il menu Procedurale Filtraggio facendo clic sul pulsante Icona di filtro nella visualizzazione Utente e filtro delle informazioni utente in base a una serie di caratteristiche. Ad esempio, puoi filtrare in base alla località principale per esaminare la posizione geografica dei tentativi di accesso dell'utente. Potrebbe indicare che un utente acceda da località insolite.

Filtro procedurale su entità
Luogo

Filtro procedurale sulla località dell'entità

Considerazioni

La visualizzazione utente presenta le seguenti limitazioni:

  • In questa visualizzazione possono essere visualizzati solo 80.000 eventi.
  • Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
  • In questa vista vengono inseriti solo i tipi di evento Utente, Email e DNS. Il primo anche le informazioni visualizzate e l'ultima visualizzazione compilate in questa visualizzazione sono limitate a questi tipi di eventi.
  • Gli eventi generici non vengono mostrati in nessuna delle visualizzazioni selezionate. Appaiono solo in log non elaborati e ricerche UDM.