Esta página foi traduzida pela API Cloud Translation.

Investigar um usuário

Compatível com:

Google SecOps SIEM

A visualização Usuário das Operações de segurança do Google permite que os clientes entendam melhor como os usuários na empresa são afetadas por ocorrências de segurança. Ao focar no de usuários individuais, os administradores de segurança podem pesquisar as atividades indicando que uma conta foi comprometida ou outras preocupações de segurança. Confirme se você está ingestão e normalização de dados de dispositivos em sua rede, como EDR, firewall, proxy da Web, contexto e autenticação do usuário etc.

Pesquisar um usuário

Para abrir a visualização Usuário nas Operações de segurança do Google, digite o nome de usuário ou o endereço de e-mail de um usuário da sua empresa no campo de pesquisa. Se o usuário estiver presente na sua conta de operações de segurança do Google, ele será exibido como resultado. Clique no botão para a visualização Usuário.

Alias de visualização do usuário

A visualização Usuário inclui um recurso de atribuição de alias para garantir que os eventos associados a um usuário único não são duplicados e são mais fáceis de pesquisar em seu na conta de Operações de Segurança do Google. Por exemplo, se você tiver um funcionário chamado Dennis, com o identificador de usuário dennis e o e-mail dennis@altostrat.com, e pesquisar dennis nas Operações de segurança do Google, os eventos de dennis e dennis@altostrat.com serão retornados.

Recursos da visualização do usuário

A visualização Usuário inclui muitos recursos e controles de interface do usuário para permitir que você analisar mais detalhadamente os dados dos usuários na sua empresa. Alguns desses recursos são exclusivos da visualização Usuário e outros são compartilhados com as outras visualizações de eventos das Operações de segurança do Google (visualização de domínio, de endereço IP etc.).

Visualização do usuário com frases de destaque Recursos de visualização de usuário das Operações de segurança do Google

1 Informações do usuário

Exibe informações sobre o usuário armazenadas nos sistemas de TI da sua empresa como Active Directory, Workday, Okta etc.

2 Seleção de data

Use as setas para a esquerda e direita para examinar os eventos associados ao usuário em um intervalo de uma semana (sábado a domingo). Se nenhum dado for disponível no período exibido, você recebe uma solicitação Opções de visualização mais recente para mudar a visualização rapidamente para um período relevante.

3 deslocamentos no eixo X

Por padrão, a visualização Usuário centraliza o mapa de calor de gradiente às 12h (meio-dia) no horário UTC. Usando o controle de deslocamento no eixo X, você pode centralizar o mapa de calor até 12 horas antes ou depois das 12h. Isso permite que você se concentre em períodos atípicos para o usuário. Por exemplo, é possível mudar o horário da tela para 0h UTC (meia-noite) para focar na das atividades do usuário no final da noite e no início da manhã, conforme mostrado nestes figuras

Definindo a Mudança de tempo do eixo X como +12 Como definir a mudança de tempo do eixo X para +12

4 Mapa de calor do gradiente

O mapa de calor gradiente da visualização do usuário mostra uma visão agregada da atividade do usuário em período que está sendo investigado. Cada quadrado indica uma hora do dia (UTC) para uma atividade de usuário registrada no período. Esse gráfico permite localizar atividades incomuns ou atípicas do usuário.

Clicar em um quadrado mostra a data da atividade e clicar nessa data do o pop-up verde leva você até aquele horário de eventos na Linha do tempo.

A cor de cada quadrado varia de preto a tons de cinza a branco:

Quadrados pretos indicam que não há atividade do usuário.
Os quadrados brancos indicam atividade frequente do usuário.
Quadrados cinza-escuro a cinza claro indicam níveis crescentes de atividade com tons escuros de cinza representando menos atividade e tons claros de cinza que representam mais.

Por exemplo, um usuário é ativamente ativo durante o horário normal de trabalho e nunca está ativo tarde da noite ou nos finais de semana. No entanto, esse usuário tem se mostrado ativo todos os dias às 3h. O mapa de calor de gradiente permite localizar esse tipo de atividade atípica.

5 alertas de usuário

Os alertas de segurança do usuário são capturados pelo Google Security Operations e exibidos aqui. Você pode clicar nos links associados para investigar o alerta.

7 colunas

Personalize as colunas exibidas na guia Cronograma.

6 Cronograma e recursos

As guias Cronograma e recursos também estão disponíveis na visualização Usuário. Assim como em outras visualizações do Google Security Operations, a guia Linha do tempo lista os eventos em ordem cronológica, e a guia Recursos lista os recursos associados ao usuário em ordem alfabética ou numérica. Os recursos exibidos correspondem a esse a atividade do usuário na sua empresa e é limitada pelo período especificado.

Use essas guias da seguinte forma:

Guia Linha do tempo: selecionar um evento na guia "Linha do tempo" também destaca o evento correspondente no mapa de calor de gradiente em verde. Os alertas são indicado por um triângulo vermelho e um texto vermelho.
Guia Recurso: quando você seleciona um recurso, ele é destacado em verde na guia "Recurso". e todas as atividades que envolvem esse recurso também são destacadas em verde no Mapa de calor de gradiente. Para mudar para a visualização de recursos, clique no primeiro ou no último recurso acessado na guia "Recursos".

8 Filtragem de procedimentos

Para abrir o menu Filtragem de procedimentos, clique no botão Ícone de filtragem na visualização Usuário e filtre as informações do usuário com base em várias opções de características. Por exemplo, você pode filtrar a localização principal para analisar a localização geográfica das tentativas de login do usuário. Isso pode indicar que um usuário está fazendo login de locais incomuns.

Filtragem processual no local
principal

Filtragem procedural no local principal

Considerações

A visualização do usuário tem as seguintes limitações:

Somente 80 mil eventos podem ser exibidos nessa visualização.
Só é possível filtrar eventos que são exibidos nessa vista da propriedade.
Somente os tipos de evento "Usuário", "E-mail" e "DNS" são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de evento.
Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem somente em registros brutos e pesquisas UDM.