Investigar a un usuario

Compatible con:

La vista Usuario de Google Security Operations permite que los clientes comprendan mejor cómo en una empresa se ven afectadas por los eventos de seguridad. Cuando se enfocan en el comportamiento de usuarios individuales, los administradores de seguridad pueden buscar actividad que indique una vulneración de la cuenta o alguna otra inquietud de seguridad. Asegúrate de la transferencia y normalización de datos de los dispositivos de la red, como EDR, firewall, proxy web, contexto del usuario, autenticación, etc.

Buscar a un usuario

Para abrir la vista de Usuario en Google Security Operations, ingresa el nombre de usuario o la dirección de correo electrónico de un usuario de la empresa en el campo de búsqueda. Si el usuario está presente en tu cuenta de Google Security Operations, ese usuario aparecerá como resultado. Haz clic en el ícono nombre de usuario para cambiar a la vista Usuario.

Asignación de alias en la vista del usuario

Usuario incluye una función de alias de usuario para garantizar que los eventos asociados con un no se duplican y son más fáciles de buscar dentro de Cuenta de Google Security Operations. Por ejemplo, si tienes un empleado llamado Dennis cuyo identificador de usuario es dennis y su correo electrónico es dennis@altostrat.com, y buscas dennis en Google Security Operations, se muestran los eventos de dennis y dennis@altostrat.com.

Funciones de vista del usuario

La vista Usuario incluye muchas funciones y controles de interfaz de usuario que te permiten hacer lo siguiente: examinar con más detenimiento los datos de los usuarios en tu empresa. Algunas de estas funciones son exclusivas de la vista Usuario y otras se comparten con las otras vistas de eventos de Operaciones de seguridad de Google (vista de dominio, vista de dirección IP, etcétera).

Vista del usuario con textos destacados Funciones de la vista de usuarios de Google Security Operations

1 Información del usuario

Muestra información sobre el usuario almacenada en los sistemas de TI de tu empresa (por ejemplo, Active Directory, Workday, Okta, etcétera).

2 Selección de fecha

Usa las flechas hacia la izquierda y la derecha para examinar los eventos asociados con el usuario durante un intervalo de una semana calendario (de sábado a domingo). Si no hay datos disponibles en el período que se muestra, se te dará Primera vista y Opciones del tipo Visto por última vez para cambiar rápidamente la vista a un período relevante

3 cambios de tiempo en el eje X

De forma predeterminada, la vista Usuario centra el mapa de calor de gradientes a las 12:00 UTC (mediodía). Usando con el control de Pausa en vivo del eje X, puedes centrar el mapa de calor hasta 12 horas antes o después de las 12:00 p.m. Esto te permite enfocarte en períodos atípicos para el usuario. Por ejemplo, puedes cambiar el horario de la pantalla a las 0:00 UTC (medianoche) para enfocarte la actividad de los usuarios a última hora de la tarde y temprano en la mañana, como se muestra en estos cifras.

Establece la Pausa en vivo del eje X en +12 Configura el cambio de tiempo del eje X en +12

4 Mapa de calor de gradiente

El mapa de calor de gradientes de vista de usuario muestra una vista global de la actividad de los usuarios en el período de tiempo que estás investigando. Cada cuadrado indica una hora del día (UTC) para la actividad de un usuario registrado durante el período. Este gráfico te permite para ubicar una actividad del usuario inusual o atípica.

Al hacer clic en un cuadrado, se muestra la fecha de la actividad y, al hacer clic en esa fecha desde el la ventana emergente verde te lleva a esa hora de eventos en la línea de tiempo.

El color de cada cuadrado varía del negro a través de tonos de gris a blanco:

  • Los cuadrados negros indican que no hubo actividad del usuario.

  • Los cuadrados blancos indican actividad frecuente del usuario.

  • Los cuadrados de color gris oscuro a gris claro indican niveles crecientes de actividad con tonos oscuros de gris que representan menos actividad y tonos claros de gris representan más.

Por ejemplo, un usuario es rutinariamente activo durante el horario laboral normal y nunca activo a altas horas de la noche o los fines de semana. Sin embargo, recientemente se convirtió activo todos los días a las 3 a.m. El mapa de calor de gradientes te permite localizar rápidamente este tipo de actividad atípica.

5 alertas para el usuario

Google Security Operations captura las alertas de seguridad de los usuarios y se muestran aquí. Tú puedes hacer clic en los vínculos asociados para investigar la alerta en más detalle.

7 Columns

Personaliza las columnas que se muestran en la pestaña Cronograma.

6 Cronograma y recursos

Las pestañas Rutas y recursos también están disponibles en la vista Usuario. Al igual que con otras vistas de Google Security Operations, la pestaña Timeline muestra los eventos En orden cronológico, y la pestaña Recursos enumera los recursos asociados con el usuario alfabéticamente o numéricamente. Los recursos que se muestran corresponden del usuario en tu empresa y está limitada por el período especificada.

Usa estas pestañas de la siguiente manera:

  • Pestaña Cronograma: Si seleccionas un evento en la pestaña Cronograma, también se destacará el evento correspondiente en el mapa de calor de gradientes en verde. Las alertas son se indican con un triángulo rojo y texto rojo.

  • Pestaña Recurso: cuando seleccionas un recurso, se destaca en verde en la pestaña Activo. y toda la actividad relacionada con ese recurso también aparece resaltada en verde en el Mapa de calor de gradientes. Para ir a la vista de recursos, haz clic en el primer accedió o accedió por última vez en la pestaña Recursos.

8 Filtrado de procedimientos

Para abrir el menú Filtro de procedimientos, haz clic en el botón Ícono de filtrado en la vista Usuario y filtra la información del usuario en función de una variedad de características. Por ejemplo, puedes filtrar por Ubicación principal para examinar la ubicación geográfica de los intentos de acceso del usuario. Puede indicar que un usuario accede desde ubicaciones inusuales.

Filtrado de procedimientos en la principal
Ubicación

Filtrado procedimental en la ubicación principal

Consideraciones

La vista del usuario tiene las siguientes limitaciones:

  • En esta vista, solo se pueden mostrar 80,000 eventos.
  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • En esta vista, solo se propagan los tipos de eventos de usuario, correo electrónico y DNS. La primera también se limita la información vista y por última vez que aparece en esta vista. a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en en las búsquedas de UDM y registros sin procesar.