Indagine su un utente

La vista Utente di Google Security Operations consente ai clienti di comprendere meglio in che modo gli eventi di sicurezza influiscono sugli utenti di un'azienda. Concentrandosi sul comportamento dei singoli utenti, gli amministratori della sicurezza possono cercare attività che indicano una compromissione dell'account o altri problemi di sicurezza. Assicurati di importare e normalizzare i dati dei dispositivi sulla tua rete, ad esempio EDR, firewall, proxy web, contesto utente, autenticazione e così via.

Cerca un utente

Per aprire la visualizzazione Utente in Google Security Operations, inserisci il nome utente o l'indirizzo email di un utente della tua azienda nel campo di ricerca. Se l'utente è presente nel tuo account Google Security Operations, verrà visualizzato di conseguenza. Fai clic sul nome utente per passare alla vista Utente.

Alias visualizzazione utente

La vista Utente include una funzionalità di aliasing dell'utente per garantire che gli eventi associati a un singolo utente non vengano duplicati e sia più semplice eseguire ricerche all'interno dell'account Google Security Operations. Ad esempio, se hai un dipendente di nome Dennis il cui identificatore utente è dennis e il cui indirizzo email è dennis@altostrat.com e cerchi dennis in Google Security Operations, vengono restituiti sia gli eventi dennis che dennis@altostrat.com.

Funzionalità di visualizzazione utente

La vista Utente include molti controlli dell'interfaccia utente e funzionalità che ti consentono di esaminare più da vicino i dati utente all'interno della tua azienda. Alcune di queste funzionalità sono univoche per la vista Utente, mentre altre sono condivise con le altre visualizzazioni degli eventi di Google Security Operations (vista dominio, visualizzazione indirizzo IP e così via).

Visualizzazione utente con callout Funzionalità di visualizzazione utente di Google Security Operations

1 Informazioni utente

Mostra le informazioni sull'utente archiviate nei sistemi IT aziendali (ad esempio Active Directory, Workday, Okta e così via).

2 Selezione della data

Utilizza le frecce sinistra e destra per esaminare gli eventi associati all'utente in un intervallo di una settimana di calendario (da sabato a domenica). Se non sono disponibili dati per il periodo di tempo visualizzato, vengono visualizzate le opzioni Primo accesso e Ultimo accesso per spostare rapidamente la visualizzazione a un periodo di tempo pertinente.

Spostamento temporale su 3 assi X

Per impostazione predefinita, la vista Utente centra la mappa termica del gradiente alle 12:00 UTC (mezzogiorno). Utilizzando il controllo Spostamento temporale dell'asse X, puoi centrare la mappa termica fino a 12 ore prima o dopo le 12:00. Ciò ti consente di concentrarti su periodi di tempo atipici per l'utente. Ad esempio, potresti impostare l'ora del display su 0:00 UTC (mezzanotte) per concentrarti sull'attività utente in tarda serata e di prima mattina, come mostrato in queste figure.

Impostazione dello spostamento temporale dell'asse X su +12 Impostazione dello spostamento temporale dell'asse X su +12

Mappa termica gradiente 4

La mappa termica gradiente nella visualizzazione utente mostra una vista aggregata dell'attività utente nel periodo di tempo che stai esaminando. Ogni quadrato indica un'ora del giorno (UTC) per un'attività utente registrata nel periodo di tempo. Questo grafico ti consente di individuare attività utente insolite o atipiche.

Se fai clic su un quadrato, viene mostrata la data dell'attività, mentre se fai clic su quella data dal popover verde, vieni indirizzato a quell'ora di eventi nella Timeline.

Il colore di ogni quadrato varia dal nero alle tonalità del grigio al bianco:

  • I quadrati neri non indicano alcuna attività utente.

  • I quadrati bianchi indicano un'attività utente frequente.

  • I quadrati dal grigio scuro al grigio chiaro indicano livelli di attività crescenti, con le tonalità scure di grigio che indicano meno attività, mentre le tonalità chiare di grigio ne rappresentano una maggiore.

Ad esempio, un utente è regolarmente attivo durante il normale orario di lavoro e mai a tarda notte o nei fine settimana. Tuttavia, di recente questo utente è diventato attivo ogni giorno alle 03:00. La mappa termica del gradiente ti consente di localizzare rapidamente questo tipo di attività atipica.

5 avvisi utente

Gli avvisi di sicurezza degli utenti vengono acquisiti da Google Security Operations e visualizzati qui. Puoi fare clic sui link associati per esaminare ulteriormente l'avviso.

7 colonne

Personalizza le colonne visualizzate nella scheda Spostamenti.

6 Timeline e asset

Le schede Spostamenti e Asset sono disponibili anche nella visualizzazione Utente. Come per le altre viste di Google Security Operations, la scheda Sequenza temporale elenca gli eventi in ordine cronologico, mentre la scheda Asset elenca gli asset associati all'utente in ordine alfabetico o numerico. Gli asset visualizzati corrispondono all'attività specifica dell'utente nella tua azienda ed sono limitati dal periodo di tempo specificato.

Utilizza queste schede nel seguente modo:

  • Scheda Sequenza temporale: se selezioni un evento nella scheda Timeline, l'evento corrispondente viene evidenziato in verde anche nella mappa termica gradiente. Gli avvisi sono indicati con un triangolo rosso e un testo rosso.

  • Scheda Asset: se selezioni un asset, questo viene evidenziato in verde nella scheda Asset e tutte le attività relative a quell'asset vengono evidenziate in verde anche nella mappa termica dei gradienti. Puoi usare la visualizzazione Asset facendo clic sul primo o sull'ultimo accesso nella scheda Asset.

8 Filtro procedurale

Puoi aprire il menu Filtro procedurale facendo clic sull'icona Filtro procedurale nella vista Utente e filtrare le informazioni dell'utente in base a una serie di caratteristiche. Ad esempio, puoi filtrare in base a Località principale per esaminare la posizione geografica dei tentativi di accesso dell'utente. Potrebbe indicare che un utente accede da posizioni insolite.

il filtro procedurale sulla località dell'entità

Filtro procedurale sulla località dell'entità

Considerazioni

La visualizzazione utente presenta le seguenti limitazioni:

  • In questa visualizzazione possono essere visualizzati solo 80.000 eventi.
  • Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
  • In questa vista vengono inseriti solo i tipi di evento Utente, Email e DNS. Anche le informazioni relative alla prima e all'ultima visualizzazione compilate in questa vista sono limitate a questi tipi di eventi.
  • Gli eventi generici non vengono mostrati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nelle ricerche nei log non elaborati e UDM.