Nutzer prüfen
In der Google Security Operations-Ansicht Nutzer können Kunden besser nachvollziehen, wie Nutzer Unternehmen von Sicherheitsereignissen betroffen sind. Wenn sich Sicherheitsadministratoren auf das Verhalten einzelner Nutzer konzentrieren, können sie nach Aktivitäten suchen, die auf eine Kontomanipulation oder andere Sicherheitsrisiken hinweisen. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR, Firewall, Webproxy, Nutzerkontext und Authentifizierung.
Nach einem Nutzer suchen
Um die Ansicht Nutzer in Google Security Operations zu öffnen, geben Sie den Nutzernamen oder die E-Mail-Adresse von Nutzer in Ihrem Unternehmen in das Suchfeld eingeben. Ist die nutzende Person in Google Security Operations-Konto anmelden, wird dieser Nutzer als Ergebnis angezeigt. Klicken Sie auf das Nutzername, um zur Ansicht Nutzer zu wechseln.
Aliasing für Nutzeransicht
Die Ansicht Nutzer enthält eine Aliasing-Funktion für Nutzer, um sicherzustellen, dass Ereignisse, die mit einem
einzelne Nutzer nicht dupliziert werden und Sie können in der
Google Security Operations-Konto. Wenn Sie beispielsweise einen Mitarbeiter namens Dennis mit der Nutzer-ID dennis
und der E-Mail-Adresse dennis@altostrat.com
haben und in Google Security Operations nach dennis
suchen, werden sowohl Ereignisse für dennis
als auch für dennis@altostrat.com
zurückgegeben.
Funktionen der Nutzeransicht
Die Nutzeransicht enthält viele Funktionen und Steuerelemente auf der Benutzeroberfläche, mit denen Sie die Nutzerdaten in Ihrem Unternehmen genauer untersuchen. Einige davon Funktionen gibt es nur in der Nutzeransicht. Einige werden mit der anderen Google Security Operations-Ereignisansichten (Domainansicht, IP-Adressansicht usw.).
Funktionen der Google Security Operations-Nutzeransicht
1 Nutzerinformationen
Zeigt Informationen zum Nutzer an, die in Ihren IT-Systemen des Unternehmens gespeichert sind (z. B. Active Directory, Workday, Okta).
2. Datumsauswahl
Mit dem Links- und Rechtspfeil können Sie sich die Ereignisse ansehen, die mit dem Nutzer verknüpft sind. in einem Intervall von einer Kalenderwoche (Samstag bis Sonntag) Wenn keine Daten im angezeigten Zeitraum verfügbar sind, erhalten Sie Mit der Option "Zuletzt gesehen" können Sie die Ansicht schnell zu einem relevanten Zeitraum verschieben.
3 X-Achsen-Zeitverschiebung
Standardmäßig wird die Gradient-Heatmap in der Nutzeransicht um 12:00 Uhr (UTC) zentriert. Mit können Sie die Heatmap bis zu 12 Stunden vor dem Start der oder nach 12:00 Uhr. So können Sie sich auf für die Nutzenden untypische Zeiträume konzentrieren. Sie können die Anzeige beispielsweise auf 0:00 Uhr (Mitternacht) verschieben, um sich auf der Nutzeraktivitäten spätabends und am frühen Morgen, wie in diesen und Zahlen.
Zeitverschiebung auf der X-Achse auf +12 festlegen
4 Gradient-Heatmap
Die Nutzeransicht zeigt eine zusammengefasste Ansicht der Nutzeraktivitäten bei für den Zeitraum, den Sie untersuchen. Jedes Quadrat steht für eine Stunde des Tages (UTC) für eine protokollierte Nutzeraktivität im angegebenen Zeitraum. In diesem Diagramm können Sie um ungewöhnliche oder untypische Aktivitäten zu erkennen.
Wenn Sie auf ein Quadrat klicken, wird das Aktivitätsdatum angezeigt. Wenn Sie im Menü grünes Pop-over bringt Sie zu der entsprechenden Stunde des Ereignisses auf der Zeitachse.
Die Farbe der einzelnen Quadrate variiert von Schwarz über Grautöne bis Weiß:
Schwarze Quadrate weisen auf keine Nutzeraktivität hin.
Weiße Quadrate kennzeichnen häufige User-Aktivitäten.
Dunkelgraue bis hellgraue Quadrate zeigen ein erhöhtes Aktivitätsniveau mit dunkle Grautöne für weniger Aktivität und helle Grautöne die mehr repräsentieren.
Beispiel: Ein Nutzer ist routinemäßig während der normalen Arbeitszeit aktiv und spät nachts oder am Wochenende aktiv sind. Dieser Nutzer ist jedoch seit Kurzem täglich um 3:00 Uhr aktiv. Mit der Farbverlaufs-Heatmap können Sie diese Art von atypischen Aktivitäten schnell finden.
5 Nutzerbenachrichtigungen
Sicherheitswarnungen für Nutzer werden von Google Security Operations erfasst und hier angezeigt. Ich können Sie auf die zugehörigen Links klicken, um die Benachrichtigung weiter zu untersuchen.
7 Spalten
Passen Sie die Spalten auf dem Tab Zeitachse an.
6 Zeitachse und Assets
Die Tabs Zeitachse und Assets sind auch in der Ansicht Nutzer verfügbar. Wie bei anderen Google Security Operations-Ansichten haben, werden auf dem Tab Timeline (Zeitachse) Ereignisse aufgeführt. chronologisch sortiert und auf dem Tab Assets werden die mit dem Nutzer verknüpften alphabetisch oder numerisch sortiert. Die angezeigten Assets entsprechen der Nutzeraktivität in Ihrem Unternehmen und ist durch den Zeitraum begrenzt angegeben ist.
Verwenden Sie diese Tabs so:
Tab Zeitachse: Wenn Sie auf dem Tab „Zeitachse“ ein Ereignis auswählen, wird auch das entsprechende Ereignis in der Heatmap des Gradienten in grün angezeigt. Benachrichtigungen sind die durch ein rotes Dreieck und roter Text angezeigt werden.
Tab Asset: Wenn du ein Asset auswählst, wird es auf dem Tab „Asset“ grün hervorgehoben. Alle Aktivitäten, die dieses Asset betreffen, sind ebenfalls im Heatmap mit Farbverlauf. Sie können zur Asset-Ansicht wechseln, indem Sie auf das erste auf den bzw. der zuletzt auf dem Tab „Assets“ zugegriffen wurde.
8 Prozedurales Filtern
Sie können das Menü Prozedurliche Filterung öffnen, indem Sie auf den Tab Filtersymbol in der Ansicht Nutzer und Filtern der Nutzerinformationen nach verschiedenen Kriterien von Merkmalen. Sie können z. B. nach Hauptkontostandort filtern, um den geografischen Standort der Anmeldeversuche des Nutzers überprüfen. Das kann ein Hinweis darauf sein, dass sich ein Nutzer von einem ungewöhnlichen Standort aus anmeldet.
Prozedurales Filtern nach Hauptkontostandort
Hinweise
Für die Nutzeransicht gelten folgende Einschränkungen:
- In dieser Ansicht können nur 80.000 Ereignisse angezeigt werden.
- Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
- In dieser Ansicht sind nur die Ereignistypen „Nutzer“, „E-Mail“ und „DNS“ enthalten. Die erste „Gesehen“ und „Zuletzt gesehen“ in dieser Ansicht sind ebenfalls eingeschränkt zu diesen Ereignistypen hinzufügen.
- Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Suchanfragen für Rohlogs und UDMs berücksichtigt.