调查用户
Google Security Operations 用户视图可让客户更好地了解用户 会受到安全事件的影响通过专注于 具体用户的行为,安全管理员可以搜索 表明存在账号被盗用或其他安全问题。请确保您 从您网络上的设备中提取数据并进行标准化,例如 EDR、 防火墙、Web 代理、用户情境和身份验证等
搜索用户
如需在 Google Security Operations 中打开用户视图,请输入 您企业内的用户。如果用户位于 您的 Google Security Operations 账号,系统就会显示该用户。点击 用户名以切换到用户视图。
“用户”视图别名
用户视图包含用户别名功能,可确保事件与
这样,同一用户就不会重复出现,而且更易于搜索您的
Google Security Operations 账号。举例来说,如果您有一位名叫 Dennis 的员工,
用户标识符为 dennis,电子邮件地址为 dennis@altostrat.com;
您在 Google Security Operations 中搜索“dennis”,dennis 和
返回 dennis@altostrat.com。
“用户”视图功能
用户视图包含许多功能和界面控件,让您能够执行以下操作: 企业内部的用户数据以下部分 功能是用户视图所独有的,而且有些功能是与其他用户共享的 Google Security Operations 事件视图(网域视图、IP 地址视图等)。
Google Security Operations 用户视图功能
1 用户信息
显示企业 IT 系统中存储的用户相关信息 (例如 Active Directory、Workday、Okta 等)。
2 日期选择
使用向左和向右箭头可查看与用户关联的事件 在一个日历周间隔内(从周六到周日)投放一次广告。如果 系统会显示“首次看到”和 “上次出现时间”选项,用于将视图快速切换到相关时间段。
3 X 轴时移
默认情况下,用户视图会以世界协调时间 (UTC) 12:00(中午)为中心设置渐变热图。使用 X 轴时移控件,您可以在 12 小时之前将热图居中 或中午 12 点以后。这样一来,您就可以专注于用户的非典型时间段。 例如,您可以将显示时间从世界协调时间 (UTC) 0:00 切换到 0:00(午夜),以便聚焦于 傍晚和清晨时段的用户活动,如以下示例中所示 数字。
将 X 轴时移设置为 +12
4 渐变热点图
用户视图梯度热图可显示跨屏显示用户活动的汇总视图 您要调查的时间段每个方块表示一天中的小时 (世界协调时间)内记录的用户活动。通过该图表 找出异常或异常的用户活动
点击方形可显示活动日期,点击方形即可查看活动日期 绿色弹出式窗口可带您前往时间轴中相应事件的时间。
每个方形的颜色从黑色到灰色再到白色不等:
黑色方块表示没有用户活动。
白色方块表示频繁的用户活动。
深灰色到浅灰色正方形表示活动量增加, 深灰色阴影表示活动较少,浅灰色阴影区 它代表着更多内容
例如,用户经常在正常工作时间内活动, 会在深夜或周末活动。不过,此用户最近 每天凌晨 3 点活跃。借助渐变热图,您可以快速找到 这类非典型活动。
5 条用户提醒
Google Security Operations 会捕获用户安全提醒并在此处显示。您 可以单击相关的链接进一步调查该提醒。
7 列
自定义时间轴标签中显示的列。
6 时间轴和素材资源
您还可以在用户视图中找到时间轴和素材资源标签页。与 其他 Google Security Operations 视图,Timeline 标签页会列出事件 资产标签页按时间顺序列出与用户关联的资产 按字母顺序或数字排列显示的资源 用户在您企业中的活动(受时间段限制) 。
使用这些标签页,如下所示:
时间轴标签页:在“时间轴”标签页中选择事件也会突出显示 渐变热图中以绿色显示的相应事件。提醒包括 以红色三角形和红色文字表示
资产标签页:选择一项资产后,该资产在“资产”标签页中会以绿色突出显示 并且所有涉及该资产的活动也会在 渐变热图。要切换到“素材资源”视图,请点击第一个 在“资产”标签页中访问过或上次访问过。
8 过程过滤
要打开过程过滤菜单,您可以点击“过程过滤”菜单, 过滤用户视图中的图标,并根据各种用户信息过滤用户信息 特征。例如,您可以按主账号位置进行过滤 检查用户登录尝试时所处的地理位置。这可能意味着 用户正在从异常位置登录。
对主账号位置进行过程过滤
注意事项
用户视图具有以下限制:
- 此视图中只能显示 8 万个事件。
- 您只能过滤此数据视图中显示的事件。
- 此视图中仅填充用户、电子邮件和 DNS 事件类型。第一个 此视图中填充的可见和上次出现信息也有限 这些事件类型
- 常规事件不会显示在任何精选视图中。它们仅出现在 原始日志和 UDM 搜索。