Enquêter sur un utilisateur

Compatible avec:

La vue Utilisateur de Google Security Operations permet aux clients de mieux comprendre dans une entreprise sont affectés par les événements liés à la sécurité. En se concentrant sur des utilisateurs individuels, les administrateurs de la sécurité peuvent rechercher l'activité indiquant un piratage de compte ou d'autres problèmes de sécurité. Assurez-vous que vous êtes l'ingestion et la normalisation des données à partir d'appareils de votre réseau, tels qu'EDR, pare-feu, proxy Web, contexte utilisateur, authentification, etc.

Rechercher un utilisateur

Pour ouvrir la vue Utilisateur dans Google Security Operations, saisissez le nom d'utilisateur ou l'adresse e-mail de un utilisateur de votre entreprise dans le champ de recherche. Si l'utilisateur se trouve dans votre compte Google Security Operations, cet utilisateur apparaît dans les résultats. Cliquez sur le nom d'utilisateur pour passer à la vue Utilisateur.

Création d'alias de vues utilisateur

La vue Utilisateur inclut une fonctionnalité d'aliasing utilisateur pour vous assurer que les événements associés à un seul utilisateur ne sont pas dupliqués et sont plus faciles à rechercher dans votre compte Google Security Operations. Par exemple, si un employé nommé Dennis a pour identifiant utilisateur dennis et pour adresse e-mail dennis@altostrat.com, et que vous recherchez dennis dans Google Security Operations, les événements pour dennis et dennis@altostrat.com sont renvoyés.

Fonctionnalités de la vue utilisateur

La vue Utilisateur inclut de nombreuses fonctionnalités et commandes d'interface utilisateur qui vous permettent : examiner de plus près les données utilisateur de votre entreprise. Quelques exemples sont uniques dans la vue Utilisateur, et certaines sont partagées Vues des événements Google Security Operations (Vue du domaine, Vue des adresses IP, etc.)

Vue utilisateur avec accroches Fonctionnalités de la vue utilisateur de Google Security Operations

1 Informations utilisateur

Affiche les informations sur l'utilisateur stockées dans vos systèmes IT d'entreprise (par exemple, Active Directory, Workday, Okta, etc.).

2. Sélection des dates

Utilisez les flèches vers la gauche et vers la droite pour examiner les événements associés à l'utilisateur sur un intervalle d'une semaine calendaire (du samedi au dimanche). Si aucune donnée n'est disponibles pour la période affichée, les statistiques "Première occurrence" et Options "Dernière occurrence" pour déplacer rapidement l'affichage vers la période pertinente.

3 Décalage temporel sur l'axe X

Par défaut, la vue Utilisateur centre la carte de densité en dégradé à 12h UTC (midi). À l'aide du curseur de décalage temporel de l'axe X, vous pouvez centrer la carte thermique jusqu'à 12 heures avant ou après 12h00. Vous pouvez ainsi vous concentrer sur des périodes inhabituelles pour l'utilisateur. Par exemple, vous pouvez décaler l'affichage sur 0:00 UTC (minuit) pour vous concentrer sur l'activité des utilisateurs en fin de soirée et en début de matinée, comme indiqué dans ces chiffres.

Définir le décalage temporel de l'axe X sur +12 Définir le décalage temporel de l'axe X sur +12

4 Carte thermique dégradée

Vue Utilisateur, carte de densité en dégradé de couleur, présentant l'activité des utilisateurs de manière globale la période sur laquelle porte votre enquête. Chaque carré indique une heure de la journée (UTC) de l'activité d'un utilisateur enregistrée au cours d'une période donnée. Ce graphique vous permet d'identifier une activité utilisateur inhabituelle ou atypique.

Cliquez sur un carré pour afficher la date de l'activité. Cliquez sur cette date dans le pop-up vert pour accéder à l'heure correspondante dans la chronologie.

La couleur de chaque carré varie du noir aux nuances de gris jusqu'au blanc :

  • Les carrés noirs indiquent qu'aucune activité utilisateur n'a été enregistrée.

  • Les carrés blancs indiquent l'activité fréquente des utilisateurs.

  • Les carrés gris foncé à gris clair indiquent des niveaux croissants d'activité avec nuances de gris foncé représentant moins d'activité et nuances de gris claires représentent plus.

Par exemple, un utilisateur est régulièrement actif pendant les heures de travail normales et n'a jamais actif tard le soir ou le week-end. Cependant, cet utilisateur est récemment devenu actif tous les jours à 3h du matin. La carte de densité en dégradé vous permet de localiser rapidement ce type d'activité atypique.

5 Alertes utilisateur

Les alertes de sécurité des utilisateurs sont collectées par Google Security Operations et s'affichent ici. Toi peuvent cliquer sur les liens associés pour examiner l'alerte plus en détail.

7 colonnes

Personnalisez les colonnes affichées dans l'onglet Chronologie.

6. Chronologie et éléments

Les onglets Chronologie et composants sont également disponibles dans la vue Utilisateur. Comme pour autres vues Google Security Operations, l'onglet Chronologie répertorie les événements chronologiquement. L'onglet Éléments liste les éléments associés à l'utilisateur. par ordre alphabétique ou numérique. Les composants affichés correspondent à l'activité de cet utilisateur spécifique au sein de votre entreprise et sont limités à la période spécifiée.

Utilisez ces onglets comme suit :

  • Onglet Vos trajets: lorsque vous sélectionnez un événement dans cet onglet, l'événement correspondant dans la carte de densité en dégradé de couleur. Les alertes sont signalées par un triangle rouge et du texte rouge.

  • Onglet Élément : lorsque vous sélectionnez un élément, il s'affiche en vert dans l'onglet "Élément". Toute activité impliquant cet élément s'affiche également en vert dans la carte thermique en dégradé. Vous pouvez passer à la vue "Composants" en cliquant sur le composant auquel vous avez accédé en premier ou en dernier dans l'onglet "Composants".

8 Filtrage procédural

Vous pouvez ouvrir le menu Procedural Filtering (Filtrage procédural) en cliquant sur le bouton Procedural Icône de filtrage dans la vue Utilisateur pour filtrer les informations sur l'utilisateur en fonction de différentes de caractéristiques. Par exemple, vous pouvez filtrer sur "Principal Location" (Emplacement principal) pour examiner l'emplacement géographique des tentatives de connexion de l'utilisateur. Cela peut indiquer qu'un utilisateur se connecte depuis des lieux inhabituels.

Filtrage procédural sur l'emplacement principal

Filtrage procédural sur l'emplacement principal

Remarques

La vue utilisateur présente les limites suivantes:

  • Seuls 80 000 événements peuvent être affichés dans cette vue.
  • Vous ne pouvez filtrer que les événements affichés dans cette vue.
  • Seuls les types d'événements "Utilisateur", "Adresse e-mail" et "DNS" sont renseignés dans cette vue. Le premier Les informations sur les vues et la dernière occurrence renseignées dans cette vue sont également limitées à ces types d'événements.
  • Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et de UDM.