Enquêter sur un utilisateur

La vue Utilisateur de Google Security Operations permet aux clients de mieux comprendre dans une entreprise sont affectés par les événements liés à la sécurité. En se concentrant sur des utilisateurs individuels, les administrateurs de la sécurité peuvent rechercher l'activité indiquant un piratage de compte ou d'autres problèmes de sécurité. Assurez-vous que vous êtes l'ingestion et la normalisation des données à partir d'appareils de votre réseau, tels qu'EDR, pare-feu, proxy Web, contexte utilisateur, authentification, etc.

Rechercher un utilisateur

Pour ouvrir la vue Utilisateur dans Google Security Operations, saisissez le nom d'utilisateur ou l'adresse e-mail de un utilisateur de votre entreprise dans le champ de recherche. Si l'utilisateur se trouve dans votre compte Google Security Operations, cet utilisateur apparaît dans les résultats. Cliquez sur l'icône pour passer à la vue Utilisateur.

Création d'alias de vues utilisateur

La vue User (Utilisateur) inclut une fonctionnalité de création d'alias pour les utilisateurs afin de s'assurer que les événements associés à ne sont pas dupliqués et les recherches sont plus faciles à effectuer dans votre compte Google Security Operations. Par exemple, si l'un de vos employés s'appelle Dennis dont l'identifiant d'utilisateur est dennis et dont l'adresse e-mail est dennis@altostrat.com et vous recherchez dennis dans Google Security Operations, des événements pour dennis et Les dennis@altostrat.com sont renvoyés.

Fonctionnalités de vue utilisateur

La vue Utilisateur inclut de nombreuses fonctionnalités et commandes d'interface utilisateur qui vous permettent : examiner de plus près les données utilisateur de votre entreprise. Quelques exemples sont uniques dans la vue Utilisateur, et certaines sont partagées Vues des événements Google Security Operations (Vue du domaine, Vue des adresses IP, etc.)

Vue utilisateur avec accroches Fonctionnalités de la vue Utilisateur Google Security Operations

1 Informations sur l'utilisateur

Affiche des informations sur l'utilisateur stockées dans les systèmes informatiques de votre entreprise (par exemple, Active Directory, Workday, Okta, etc.).

2. Sélection des dates

Utilisez les flèches vers la gauche et vers la droite pour examiner les événements associés à l'utilisateur sur un intervalle d'une semaine calendaire (du samedi au dimanche). Si aucune donnée n'est disponibles pour la période affichée, les statistiques "Première occurrence" et Options "Dernière occurrence" pour déplacer rapidement l'affichage vers la période pertinente.

Décalage temporel sur 3 axes X

Par défaut, la vue Utilisateur centre la carte de densité en dégradé à 12h UTC (midi). En utilisant la commande Time Shift de l'axe X, vous pouvez centrer la carte thermique jusqu'à 12 heures avant ou après 12 h 00. Vous pouvez ainsi vous concentrer sur des périodes inhabituelles pour l'utilisateur. Par exemple, vous pouvez décaler l'affichage sur 0:00 UTC (minuit) pour vous concentrer sur l'activité des utilisateurs en fin de soirée et en début de matinée, comme indiqué dans ces chiffres.

Définir le décalage temporel de l'axe X sur +12 Définir le décalage temporel de l'axe X sur +12

Carte de densité des quatre gradients

Vue Utilisateur, carte de densité en dégradé de couleur, présentant l'activité des utilisateurs de manière globale la période sur laquelle porte votre enquête. Chaque carré indique une heure de la journée (UTC) de l'activité d'un utilisateur enregistrée au cours d'une période donnée. Ce graphique vous permet pour repérer toute activité inhabituelle ou atypique de l'utilisateur.

Cliquez sur un carré pour afficher la date de l'activité. Si vous cliquez sur cette date, pop-over vert vous permet d'accéder aux événements de cette heure dans la chronologie.

La couleur de chaque carré varie du noir à des nuances de gris au blanc:

  • Les carrés noirs indiquent l'absence d'activité de l'utilisateur.

  • Les carrés blancs indiquent l'activité fréquente des utilisateurs.

  • Les carrés gris foncé à gris clair indiquent des niveaux croissants d'activité avec nuances de gris foncé représentant moins d'activité et nuances de gris claires représentent plus.

Par exemple, un utilisateur est régulièrement actif pendant les heures de travail normales et n'a jamais actif tard le soir ou le week-end. Cependant, cet utilisateur est récemment devenu active tous les jours à 3 h du matin. La carte de densité en dégradé vous permet de repérer rapidement ce type d'activité atypique.

5 Alertes utilisateur

Les alertes de sécurité utilisateur sont capturées par Google Security Operations et affichées ici. Toi peuvent cliquer sur les liens associés pour examiner l'alerte plus en détail.

7 colonnes

Personnalisez les colonnes affichées dans l'onglet Chronologie.

6. Chronologie et éléments

Les onglets Chronologie et éléments sont également disponibles dans la vue Utilisateur. Comme pour autres vues Google Security Operations, l'onglet Chronologie répertorie les événements chronologiquement. L'onglet Éléments liste les éléments associés à l'utilisateur. par ordre alphabétique ou numérique. Les composants affichés correspondent à cette l'activité de l'utilisateur dans votre entreprise et est limitée par la période spécifié.

Utilisez ces onglets comme suit:

  • Onglet Chronologie: lorsque vous sélectionnez un événement dans cet onglet, l'événement correspondant sur la carte de densité en dégradé de couleur. Les alertes sont indiqué par un triangle et un texte rouges.

  • Onglet Élément: lorsque vous sélectionnez un élément, celui-ci s'affiche en vert dans l'onglet "Éléments". Toutes les activités impliquant cet élément sont également surlignées en vert dans Carte de densité en dégradé. Vous pouvez passer à la vue "Asset" (Éléments) en cliquant sur la première ou le dernier accès depuis l'onglet "Éléments".

8 Filtrage procédural

Vous pouvez ouvrir le menu Procedural Filtering (Filtrage procédural) en cliquant sur le bouton Procedural Icône de filtrage dans la vue Utilisateur et filtrer les informations sur l'utilisateur en fonction de différentes de caractéristiques. Par exemple, vous pouvez appliquer le filtre "Emplacement principal" examiner l'emplacement géographique des tentatives de connexion de l'utilisateur. Cela peut indiquer qu'un utilisateur se connecte depuis des lieux inhabituels.

Filtrage procédural sur le compte principal Lieu

Filtrage procédural sur l'emplacement principal

Remarques

La vue utilisateur présente les limites suivantes:

  • Seuls 80 000 événements peuvent être affichés dans cette vue.
  • Vous ne pouvez filtrer que les événements affichés dans cette vue.
  • Seuls les types d'événements "Utilisateur", "Adresse e-mail" et "DNS" sont renseignés dans cette vue. Le premier Les informations sur les vues et la dernière occurrence renseignées dans cette vue sont également limitées à ces types d'événements.
  • Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans dans les journaux bruts et les recherches UDM.