Nutzer prüfen

In der Google Security Operations-Ansicht Nutzer können Kunden besser nachvollziehen, wie Nutzer Unternehmen von Sicherheitsereignissen betroffen sind. Indem wir uns auf die einzelner Nutzer haben, können Sicherheitsadministratoren nach Aktivitäten suchen, , die auf eine Manipulation des Kontos oder andere Sicherheitsbedenken hinweisen. Stellen Sie sicher, dass Sie die Aufnahme und Normalisierung von Daten von Geräten in Ihrem Netzwerk, Firewall, Web-Proxy, Nutzerkontext, Authentifizierung usw.

Nach einem Nutzer suchen

Um die Ansicht Nutzer in Google Security Operations zu öffnen, geben Sie den Nutzernamen oder die E-Mail-Adresse von Nutzer in Ihrem Unternehmen in das Suchfeld ein. Ist die nutzende Person in Google Security Operations-Konto anmelden, wird dieser Nutzer als Ergebnis angezeigt. Klicken Sie auf das Nutzername, um zur Ansicht Nutzer zu wechseln.

Aliasing für Nutzeransicht

Die Ansicht Nutzer enthält eine Aliasing-Funktion für Nutzer, um sicherzustellen, dass Ereignisse, die mit einem einzelne Nutzer nicht dupliziert werden und Sie können in der Google Security Operations-Konto. Beispiel: Bei einem Mitarbeiter namens Dennis mit der Nutzerkennung dennis und der E-Mail-Adresse dennis@altostrat.com und Sie in Google Security Operations nach dennis suchen, Ereignisse für dennis und dennis@altostrat.com zurückgegeben.

Funktionen der Nutzeransicht

Die Nutzeransicht enthält viele Funktionen und Steuerelemente auf der Benutzeroberfläche, mit denen Sie die Nutzerdaten in Ihrem Unternehmen genauer zu untersuchen. Einige davon Funktionen gibt es nur in der Nutzeransicht. Einige werden mit der anderen Google Security Operations-Ereignisansichten (Domainansicht, IP-Adressansicht usw.).

Nutzeransicht mit Zusatzinformationen Funktionen der Google Security Operations-Nutzeransicht

1 Nutzerinformationen

Zeigt Informationen über den Nutzer an, der in den IT-Systemen Ihres Unternehmens gespeichert ist (z. B. Active Directory, Workday, Okta usw.).

2 Datumsauswahl

Mit dem Links- und Rechtspfeil können Sie sich die Ereignisse ansehen, die mit dem Nutzer verknüpft sind. in einem Intervall von einer Kalenderwoche (Samstag bis Sonntag) Wenn keine Daten im angezeigten Zeitraum verfügbar sind, erhalten Sie Mit der Option "Zuletzt gesehen" können Sie die Ansicht schnell zu einem relevanten Zeitraum verschieben.

3 X-Achsen-Zeitverschiebung

Standardmäßig wird die Gradient-Heatmap in der Nutzeransicht um 12:00 Uhr (UTC) zentriert. Mit können Sie die Heatmap bis zu 12 Stunden vor dem Start der oder nach 12:00 Uhr. So können Sie sich auf für die Nutzenden untypische Zeiträume konzentrieren. Sie können die Anzeige beispielsweise auf 0:00 Uhr (Mitternacht) verschieben, um sich auf der Nutzeraktivitäten spätabends und frühmorgens, wie in diesen und Zahlen.

Zeitverschiebung auf der X-Achse auf +12 festlegen Zeitverschiebung auf der X-Achse auf +12 festlegen

4 Gradient-Heatmap

Die Nutzeransicht zeigt eine zusammengefasste Ansicht der Nutzeraktivitäten bei für den Zeitraum, den Sie untersuchen. Jedes Quadrat steht für eine Stunde des Tages (UTC) für eine protokollierte Nutzeraktivität während eines bestimmten Zeitraums. In diesem Diagramm können Sie um ungewöhnliche oder untypische Aktivitäten zu erkennen.

Wenn Sie auf ein Quadrat klicken, wird das Aktivitätsdatum angezeigt. Wenn Sie im Menü grünes Pop-over bringt Sie zu der entsprechenden Stunde des Ereignisses auf der Zeitachse.

Die Farbe der einzelnen Quadrate variiert von Schwarz über Grautöne bis Weiß:

  • Schwarze Quadrate weisen auf keine Nutzeraktivität hin.

  • Weiße Quadrate kennzeichnen häufige User-Aktivitäten.

  • Dunkelgraue bis hellgraue Quadrate zeigen ein erhöhtes Aktivitätsniveau mit dunkle Grautöne, die für weniger Aktivität stehen, und helle Grautöne. die mehr repräsentieren.

Beispiel: Ein Nutzer ist routinemäßig während der normalen Arbeitszeit aktiv und spät nachts oder am Wochenende aktiv sind. Dieser Nutzer ist jedoch seit Kurzem täglich um 3:00 Uhr aktiv. Mit der Verlaufs-Heatmap können Sie untypischen Aktivitäten.

5 Nutzerbenachrichtigungen

Sicherheitswarnungen für Nutzer werden von Google Security Operations erfasst und hier angezeigt. Ich können Sie auf die zugehörigen Links klicken, um die Benachrichtigung weiter zu untersuchen.

7 Spalten

Passen Sie die Spalten auf dem Tab Zeitachse an.

6 Zeitachse und Assets

Die Tabs Zeitachse und Assets sind auch in der Ansicht Nutzer verfügbar. Wie bei anderen Google Security Operations-Ansichten haben, werden auf dem Tab Timeline (Zeitachse) Ereignisse aufgeführt. chronologisch sortiert und auf dem Tab Assets werden die mit dem Nutzer verknüpften alphabetisch oder numerisch sortiert. Die angezeigten Assets entsprechen der Nutzeraktivität in Ihrem Unternehmen und ist durch den Zeitraum begrenzt angegeben ist.

Verwenden Sie diese Tabs wie folgt:

  • Tab Zeitachse: Wenn Sie auf dem Tab „Zeitachse“ ein Ereignis auswählen, wird auch das entsprechende Ereignis in der Heatmap des Gradienten in grün angezeigt. Benachrichtigungen sind die durch ein rotes Dreieck und roter Text angezeigt werden.

  • Tab Asset: Wenn du ein Asset auswählst, wird es auf dem Tab „Asset“ grün hervorgehoben. Alle Aktivitäten, die dieses Asset betreffen, sind ebenfalls im Heatmap mit Farbverlauf Sie können zur Asset-Ansicht wechseln, indem Sie auf das erste auf den bzw. der zuletzt auf dem Tab „Assets“ zugegriffen wurde.

8 Verfahrensfilter

Sie können das Menü Prozedurliche Filterung öffnen, indem Sie auf den Tab Filtersymbol in der Ansicht Nutzer und Filtern der Nutzerinformationen nach verschiedenen Kriterien von Merkmalen. Sie könnten z. B. nach Hauptkontostandort filtern, um den geografischen Standort der Anmeldeversuche des Nutzers überprüfen. Das kann ein Hinweis darauf sein, dass sich ein Nutzer von einem ungewöhnlichen Standort aus anmeldet.

Prozedurliches Filtern nach Hauptkonto Standort

Prozedurales Filtern nach Hauptkontostandort

Hinweise

Für die Nutzeransicht gelten folgende Einschränkungen:

  • In dieser Ansicht können nur 80.000 Ereignisse angezeigt werden.
  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht sind nur die Ereignistypen „Nutzer“, „E-Mail“ und „DNS“ enthalten. Die erste „Gesehen“ und „Zuletzt gesehen“ in dieser Ansicht sind ebenfalls eingeschränkt zu diesen Ereignistypen hinzufügen.
  • Allgemeine Ereignisse werden in den ausgewählten Ansichten nicht angezeigt. Sie erscheinen nur in mit unformatierten Log- und UDM-Suchanfragen.