Enquêter sur un utilisateur

La vue Utilisateur Chronicle permet aux clients de mieux comprendre l'impact des événements de sécurité sur les utilisateurs d'une entreprise. En se concentrant sur le comportement des utilisateurs individuels, les administrateurs de sécurité peuvent rechercher les activités indiquant un piratage de compte ou d'autres problèmes de sécurité. Assurez-vous d'ingérer et de normaliser les données des appareils de votre réseau (EDR, pare-feu, proxy Web, contexte utilisateur et authentification, etc.).

Rechercher un utilisateur

Pour ouvrir la vue User (Utilisateur) dans Chronicle, saisissez le nom d'utilisateur ou l'adresse e-mail d'un utilisateur de votre entreprise dans le champ de recherche. Si l'utilisateur est présent dans votre compte Chronicle, il s'affiche dans les résultats. Cliquez sur le nom d'utilisateur pour passer à la vue User (Utilisateur).

Création d'alias de vues d'utilisateurs

La vue Utilisateur inclut une fonctionnalité d'alias d'utilisateur qui garantit que les événements associés à un seul utilisateur ne sont pas dupliqués et sont plus faciles à rechercher dans votre compte Chronicle. Par exemple, si vous avez un employé nommé Dennis dont l'identifiant utilisateur est dennis et dont l'adresse e-mail est dennis@altostrat.com et que vous recherchez dennis dans Chronicle, les événements dennis et dennis@altostrat.com sont renvoyés.

Fonctionnalités d'affichage utilisateur

La vue Utilisateur comprend de nombreuses fonctionnalités et commandes d'interface utilisateur qui vous permettent d'examiner de plus près les données utilisateur au sein de votre entreprise. Certaines de ces fonctionnalités sont propres à la vue User (Utilisateur) et d'autres sont partagées avec les autres vues d'événements Chronicle (vue du domaine, vue des adresses IP, etc.).

Vue utilisateur avec accroches Fonctionnalités de la vue utilisateur Chronicle

1 Informations utilisateur

Affiche des informations sur l'utilisateur stockées dans les systèmes informatiques de votre entreprise (par exemple, Active Directory, Workday, Okta, etc.).

2 Sélectionner des dates

Utilisez les flèches vers la gauche et vers la droite pour examiner les événements associés à l'utilisateur sur un intervalle d'une semaine calendaire (du samedi au dimanche). Si aucune donnée n'est disponible pour la période affichée, les options "Première connexion" et "Dernière visite" vous permettent de déplacer rapidement la vue vers une période pertinente.

Décalage temporel à trois axes des X

Par défaut, la vue Utilisateur centre la carte de densité du gradient à 12h UTC (midi). À l'aide de la commande de décalage temporel de l'axe X, vous pouvez centrer la carte de densité jusqu'à 12 heures avant ou après 12h. Vous pouvez ainsi vous concentrer sur des périodes atypiques pour l'utilisateur. Par exemple, vous pouvez décaler l'affichage sur 0h UTC (minuit) pour vous concentrer sur l'activité des utilisateurs en fin de soirée et en début de matinée, comme illustré dans ces figures.

Définir le décalage temporel de l'axe X sur +12 Définir le décalage temporel de l'axe X sur +12

Le décalage temporel de l'axe X est défini sur +12 Décalage temporel pour l'axe X défini sur +12

Carte de densité à quatre gradients

La carte de densité des utilisateurs affiche une vue globale de l'activité des utilisateurs au cours de la période étudiée. Chaque carré indique une heure de la journée (UTC) pour une activité d'utilisateur enregistrée sur la période donnée. Ce graphique vous permet de localiser les activités inhabituelles ou atypiques des utilisateurs.

Cliquez sur un carré pour afficher la date de l'activité, puis cliquez sur cette date dans le pop-up vert pour accéder à l'heure d'événement correspondante dans la chronologie.

La couleur de chaque carré varie du noir à des nuances de gris au blanc:

  • Les carrés noirs indiquent qu'il n'y a aucune activité de l'utilisateur.

  • Les carrés blancs indiquent une activité fréquente des utilisateurs.

  • Les carrés du gris foncé au gris clair indiquent les niveaux croissants d'activité, les nuances de gris foncé représentant moins d'activité et les nuances de gris claires représentant plus.

Par exemple, un utilisateur est régulièrement actif pendant les heures de travail normales et n'est jamais actif tard le soir ou le week-end. Cependant, cet utilisateur est récemment devenu actif tous les jours à 3h du matin. La carte de densité du gradient vous permet de localiser rapidement ce type d'activité atypique.

5 alertes relatives aux utilisateurs

Les alertes de sécurité des utilisateurs sont capturées par Chronicle et affichées ici. Vous pouvez cliquer sur les liens associés pour examiner l'alerte plus en détail.

7 colonnes

Personnalisez les colonnes affichées dans l'onglet Chronologie.

6 Chronologie et éléments

Les onglets Chronologie et Éléments sont également disponibles dans la vue Utilisateur. Comme pour les autres vues Chronicle, l'onglet Timeline répertorie les événements par ordre chronologique, tandis que l'onglet Éléments répertorie les éléments associés à l'utilisateur par ordre alphabétique ou numérique. Les ressources affichées correspondent à l'activité de cet utilisateur spécifique dans votre entreprise. Elles sont limitées par la période spécifiée.

Utilisez ces onglets comme suit:

  • Onglet Chronologie: la sélection d'un événement dans l'onglet "Chronologie" met également en évidence l'événement correspondant sur la carte thermique du gradient en vert. Les alertes sont indiquées par un triangle rouge et un texte en rouge.

  • Onglet Asset (Élément) : lorsque vous sélectionnez un élément, il est surligné en vert dans l'onglet "Asset" (Élément), et toutes les activités associées à cet élément sont également surlignées en vert dans la carte de densité en dégradé. Vous pouvez basculer vers la vue "Élément" en cliquant sur le premier ou le dernier accès dans l'onglet "Éléments".

8 Filtrage procédural

Vous pouvez ouvrir le menu Procedural Filtering (Filtrage procédural) en cliquant sur l'icône de filtrage procédural dans la vue User (Utilisateur) et filtrer les informations utilisateur en fonction de diverses caractéristiques. Par exemple, vous pouvez appliquer un filtre "Emplacement principal" pour examiner l'emplacement géographique des tentatives de connexion de l'utilisateur. Cela peut indiquer qu'un utilisateur se connecte depuis des lieux inhabituels.

Filtrage procédural sur l'emplacement principal

Filtrage procédural sur l'emplacement principal

Remarques

L'affichage de l'utilisateur présente les limites suivantes:

  • Seuls 80 000 événements peuvent être affichés dans cette vue.
  • Vous ne pouvez filtrer que les événements affichés dans cette vue.
  • Seuls les types d'événements "Utilisateur", "E-mail" et "DNS" sont affichés dans cette vue. Les informations sur la première et la dernière visite qui sont renseignées dans cette vue sont également limitées à ces types d'événements.
  • Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.