Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un utente

La visualizzazione Utente delle operazioni di sicurezza di Google consente ai clienti di comprendere meglio in che modo gli eventi di sicurezza vengono influenzati dagli eventi di sicurezza all'interno di un'azienda. Concentrandosi sul comportamento dei singoli utenti, gli amministratori della sicurezza possono cercare attività che indichino la compromissione di un account o altri problemi di sicurezza. Assicurati di importare e normalizzare i dati dei dispositivi in rete, ad esempio EDR, firewall, proxy web, contesto utente, autenticazione e così via.

Cerca un utente

Per aprire la visualizzazione Utente in Google Security Operations, inserisci il nome utente o l'indirizzo email di un utente della tua azienda nel campo di ricerca. Se l'utente è presente nel tuo account Google Security Operations, viene visualizzato di conseguenza. Fai clic sul nome utente da utilizzare per la visualizzazione Utente.

Alias visualizzazione utente

La vista Utente include una funzionalità di aliasing degli utenti per garantire che gli eventi associati a un singolo utente non vengano duplicati e che siano più facili da cercare nell'account Google Security Operations. Ad esempio, se hai un dipendente di nome Dennis, il cui identificatore utente è dennis e l'indirizzo email dennis@altostrat.com e cerchi dennis in Google Security Operations, vengono restituiti gli eventi sia per dennis sia per dennis@altostrat.com.

Funzionalità di visualizzazione utente

La vista Utente include molte funzionalità e controlli dell'interfaccia utente che ti consentono di esaminare più da vicino i dati utente all'interno della tua azienda. Alcune di queste funzionalità sono specifiche per la visualizzazione Utente, mentre altre sono condivise con le altre visualizzazioni eventi Google Security Operations (visualizzazione dominio, visualizzazione indirizzo IP e così via).

Visualizzazione utente con callout Funzionalità di visualizzazione utente Google Security Operations

1 Informazioni utente

Visualizza le informazioni sull'utente archiviate all'interno dei sistemi IT della tua azienda (ad esempio Active Directory, Workday, Okta e così via).

2 Selezione della data

Utilizza le frecce destra e sinistra per esaminare gli eventi associati all'utente in un intervallo di una settimana di calendario (da sabato a domenica). Se nel periodo di tempo visualizzato non sono disponibili dati, hai a disposizione le opzioni Primo accesso e Ultimo accesso per spostare rapidamente la visualizzazione su un periodo di tempo pertinente.

Spostamento temporale su 3 assi X

Per impostazione predefinita, la sezione Utente visualizza la mappa termica Gradient al centro della mappa a 12:00 UTC (mezzogiorno). Utilizzando il controllo Time Shift sull'asse X, puoi centrare la mappa termica fino a 12 ore prima o dopo le 12:00. In questo modo puoi concentrarti su periodi di tempo atipici per l'utente. Ad esempio, puoi spostare il display a 0:00 UTC (mezzanotte) per concentrarti sull'attività utente in tarda sera e nelle prime ore del mattino, come mostrato in queste figure.

Impostazione di Spostamento tempo asse X su +12 Impostare lo spostamento orario dell'asse X su +12

Mappa termica gradiente 4

La visualizzazione Utente della mappa termica Gradient mostra una visualizzazione aggregata dell'attività utente nel periodo di tempo che stai esaminando. Ogni quadrato indica un'ora del giorno (UTC) relativa all'attività utente registrata nel periodo di tempo. Questo grafico ti consente di individuare attività utente insolite o atipiche.

Se fai clic su un quadrato viene visualizzata la data dell'attività, mentre se fai clic su quella data dal popover verde vieni indirizzato all'ora degli eventi corrispondenti nellaTimelinea.

Il colore di ogni quadrato varia dal nero alle sfumature del grigio e al bianco:

I quadrati neri indicano che non è presente alcuna attività utente'utente.
I quadrati bianchi indicano un'attività frequente dell'utente.
I quadrati da grigio scuro a grigio chiaro indicano livelli crescenti di attività, con tonalità di grigio scure che rappresentano una minore attività e sfumature di grigio che rappresentano di più.

Ad esempio, un utente è regolarmente attivo durante il normale orario di lavoro e non è mai attivo di notte o nei fine settimana. Tuttavia, di recente questo utente è diventato attivo ogni giorno alle 03:00. La mappa termica Gradient ti consente di individuare rapidamente questo tipo di attività atipica.

5 avvisi per gli utenti

Gli avvisi di sicurezza per gli utenti vengono acquisiti da Google Security Operations e visualizzati qui. Puoi fare clic sui link associati per esaminare ulteriormente l'avviso.

7 colonne

Personalizza le colonne visualizzate nella scheda Sequenza temporale.

6 Timeline e asset

Le schede Sequenza temporale e Asset sono disponibili anche nella visualizzazione Utente. Come per altre viste relative alle operazioni di sicurezza di Google, la scheda Sequenza temporale elenca gli eventi in ordine cronologico, mentre la scheda Asset elenca gli asset associati all'utente in ordine alfabetico o numerico. Gli asset visualizzati corrispondono all'attività di questo utente specifico nella tua azienda ed sono limitati dal periodo di tempo specificato.

Utilizza queste schede nel seguente modo:

Scheda Sequenza temporale: se selezioni un evento nella scheda Timeline, viene evidenziato in verde anche l'evento corrispondente nella mappa termica gradiente. Gli avvisi sono indicati da un triangolo rosso e dal testo rosso.
Scheda Asset: se selezioni un asset, questo viene evidenziato in verde nella scheda Risorsa e tutte le attività che lo riguardano vengono evidenziate in verde nella Mappa termica della sfumatura. Puoi passare alla visualizzazione Asset facendo clic sul primo o sull'ultimo accesso nella scheda Asset.

8 Filtro procedurale

Puoi aprire il menu Filtro procedurale facendo clic sull'icona Filtro procedurale nella visualizzazione Utente e filtrare le informazioni dell'utente in base a una serie di caratteristiche. Ad esempio, puoi filtrare in base a Località principale per esaminare la posizione geografica dei tentativi di accesso dell'utente. Potrebbe indicare che un utente sta eseguendo l'accesso da posizioni insolite.

Filtro procedurale sulla località
dell'entità

Filtro procedurale sulla località dell'entità

Considerazioni

La visualizzazione utente presenta le seguenti limitazioni:

In questa visualizzazione possono essere visualizzati solo 80.000 eventi.
Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
In questa visualizzazione vengono compilati solo i tipi di eventi utente, email e DNS. Le informazioni visualizzate per la prima volta e per l'ultima volta inserite in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono mostrati in nessuna delle viste selezionate. Appaiono solo nelle ricerche di log non elaborati e UDM.