Nutzer prüfen

Mit der Google Security Operations-Ansicht Nutzer können Kunden besser nachvollziehen, wie sich Sicherheitsereignisse auf die Nutzer in einem Unternehmen auswirken. Wenn sie sich auf das Verhalten einzelner Nutzer konzentrieren, können Sicherheitsadministratoren nach Aktivitäten suchen, die auf eine Kontomanipulation oder andere Sicherheitsbedenken hinweisen. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR, Firewall, Web-Proxy, Nutzerkontext, Authentifizierung usw.

Nach einem Nutzer suchen

Geben Sie den Nutzernamen oder die E-Mail-Adresse eines Nutzers in Ihrem Unternehmen in das Suchfeld ein, um die Ansicht Nutzer in Google Security Operations zu öffnen. Wenn der Nutzer in Ihrem Google Security Operations-Konto vorhanden ist, wird er als Ergebnis angezeigt. Klicken Sie auf den Nutzernamen, um zur Ansicht User (Nutzer) zu wechseln.

Aliasing für Nutzeransichten

Die Ansicht Nutzer enthält ein Aliasing-Feature, mit dem Ereignisse, die mit einem einzelnen Nutzer verknüpft sind, nicht dupliziert werden und in Ihrem Google Security Operations-Konto leichter durchsucht werden können. Wenn Sie beispielsweise einen Mitarbeiter namens Dennis mit der Nutzer-ID dennis und der E-Mail-Adresse dennis@altostrat.com haben und in Google Security Operations nach dennis suchen, werden Ereignisse sowohl für dennis als auch für dennis@altostrat.com zurückgegeben.

Funktionen der Nutzeransicht

Die Ansicht Nutzer enthält viele Funktionen und UI-Steuerelemente, mit denen Sie die Nutzerdaten in Ihrem Unternehmen genauer untersuchen können. Einige dieser Funktionen sind nur in der Ansicht Nutzer verfügbar, andere werden mit den anderen Ereignisansichten von Google Security Operations (Domainansicht, IP-Adressansicht usw.) geteilt.

Nutzeransicht mit Zusatzinformationen Funktionen der Google Security Operations-Nutzeransicht

1 Nutzerinformationen

Zeigt Informationen zu dem Nutzer an, der in den IT-Systemen Ihres Unternehmens gespeichert ist (z. B. Active Directory, Workday, Okta usw.).

2 Datumsauswahl

Verwenden Sie die Links- und Rechtspfeile, um die mit dem Nutzer verknüpften Ereignisse über ein Intervall von einer Kalenderwoche (Samstag bis Sonntag) zu untersuchen. Wenn für den angezeigten Zeitraum keine Daten verfügbar sind, werden die Optionen „Erste Erfassung“ und „Zuletzt gesehen“ angezeigt, um die Ansicht schnell auf einen relevanten Zeitraum zu verschieben.

3 x-Achsen-Zeitverschiebung

In der Nutzeransicht wird die Gradient-Heatmap standardmäßig um 12:00 Uhr (UTC) zentriert. Mit dem Steuerelement für die zeitversetzte Nutzung auf der X-Achse können Sie die Heatmap bis zu 12 Stunden vor oder nach 12:00 Uhr zentrieren. So können Sie sich auf untypische Zeiträume für die Nutzenden konzentrieren. Sie können beispielsweise die Anzeige auf 0:00 Uhr UTC (Mitternacht) verschieben, um sich auf die Nutzeraktivitäten in den späten Abend- und frühen Morgenstunden zu konzentrieren, wie in diesen Zahlen gezeigt.

Zeitverschiebung auf der X-Achse auf +12 festlegen Zeitverschiebung auf der X-Achse auf +12 festlegen

4-Gradient-Heatmap

In der Ansicht Nutzer in der Gradienten-Heatmap wird eine aggregierte Ansicht der Nutzeraktivitäten über den von Ihnen untersuchten Zeitraum hinweg angezeigt. Jedes Quadrat gibt eine Stunde des Tages (UTC) für eine protokollierte Nutzeraktivität in dem Zeitraum an. Mit diesem Diagramm können Sie ungewöhnliche oder atypische Nutzeraktivitäten ermitteln.

Wenn Sie auf ein Quadrat klicken, wird das Aktivitätsdatum angezeigt. Wenn Sie im grünen Pop-over darauf klicken, gelangen Sie zur entsprechenden Stunde der Ereignisse auf der Zeitachse.

Die Farbe jedes Quadrats variiert von Schwarz über Grautöne bis zu Weiß:

  • Schwarze Quadrate zeigen keine Nutzeraktivität an.

  • Weiße Quadrate zeigen häufige Nutzeraktivitäten an.

  • Dunkelgraue bis hellgraue Quadrate stehen für ein zunehmendes Aktivitätsniveau. Dunkle Grautöne stehen für weniger Aktivität und helle Grautöne für mehr Aktivität.

Ein Nutzer ist beispielsweise regelmäßig während der normalen Arbeitszeit aktiv und nie spätabends oder an Wochenenden aktiv. Seit Kurzem ist er jedoch jeden Tag um 3:00 Uhr aktiv. Mithilfe der Gradienten-Heatmap können Sie diese Art von atypischer Aktivität schnell finden.

5 Nutzerbenachrichtigungen

Sicherheitswarnungen von Nutzern werden von Google Security Operations erfasst und hier angezeigt. Sie können auf die Links klicken, um die Benachrichtigung weiter zu untersuchen.

7 Spalten

Passen Sie die Spalten auf dem Tab Zeitachse an.

6 Zeitplan und Assets

Die Tabs Zeitachse und Assets sind auch in der Ansicht Nutzer verfügbar. Wie bei anderen Google Security Operations-Ansichten werden auf dem Tab Zeitachse Ereignisse chronologisch und auf dem Tab Assets die Assets aufgelistet, die dem Nutzer alphabetisch oder numerisch zugeordnet sind. Die angezeigten Assets entsprechen den Aktivitäten dieses bestimmten Nutzers in Ihrem Unternehmen und sind durch den angegebenen Zeitraum begrenzt.

Verwenden Sie diese Tabs wie folgt:

  • Tab Zeitachse: Wenn Sie auf dem Tab „Zeitachse“ ein Ereignis auswählen, wird das entsprechende Ereignis auch in der Gradient-Heatmap grün hervorgehoben. Benachrichtigungen sind durch ein rotes Dreieck und roter Text gekennzeichnet.

  • Tab Asset: Wenn Sie ein Asset auswählen, wird es auf dem Tab „Asset“ grün hervorgehoben. Alle Aktivitäten, die dieses Asset betreffen, werden ebenfalls in der Farbverlaufs-Heatmap grün hervorgehoben. Sie können zur Asset-Ansicht wechseln, indem Sie auf dem Tab „Assets“ auf den ersten oder letzten Zugriff klicken.

8 Verfahrensfilterung

Wenn Sie das Menü Prozedurale Filterung öffnen möchten, klicken Sie in der Ansicht Nutzer auf das Symbol für die prozedurale Filterung. Filtern Sie dann die Nutzerinformationen nach verschiedenen Merkmalen. Sie können beispielsweise nach „Hauptstandort“ filtern, um den geografischen Standort der Anmeldeversuche des Nutzers zu ermitteln. Es kann ein Hinweis darauf sein, dass sich ein Nutzer von einem ungewöhnlichen Standort aus anmeldet.

Verfahrensfilterung nach Hauptkontostandort

Prozedurales Filtern nach Hauptstandort

Hinweise

Für die Nutzeransicht gelten folgende Einschränkungen:

  • In dieser Ansicht können nur 80.000 Ereignisse angezeigt werden.
  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht sind nur die Ereignistypen „Nutzer“, „E-Mail“ und „DNS“ ausgefüllt. Die zuerst gesehenen und zuletzt gesehenen Informationen in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Log-Rohdaten- und UDM-Suchen angezeigt.