Se usó la API de Cloud Translation para traducir esta página.

Investigar a un usuario

La vista Usuario de Google Security Operations permite que los clientes comprendan mejor cómo en una empresa se ven afectadas por los eventos de seguridad. Si te centras en el de los usuarios individuales, los administradores de seguridad pueden buscar información Indicar que existe una vulneración de la cuenta o algún otro problema de seguridad. Asegúrate de la transferencia y normalización de datos de los dispositivos de la red, como EDR, firewall, proxy web, contexto del usuario, autenticación, etc.

Buscar a un usuario

Para abrir la vista de Usuario en Google Security Operations, ingresa el nombre de usuario o la dirección de correo electrónico de a un usuario de la empresa en el campo de búsqueda. Si el usuario está presente en tu cuenta de Google Security Operations, ese usuario aparecerá como resultado. Haz clic en el ícono nombre de usuario para cambiar a la vista Usuario.

Asignación de alias en la vista del usuario

Usuario incluye una función de alias de usuario para garantizar que los eventos asociados con un no se duplican y son más fáciles de buscar dentro de Cuenta de Google Security Operations. Por ejemplo, si tienes un empleado llamado Daniel cuyo identificador de usuario es dennis y cuyo correo electrónico es dennis@altostrat.com y buscas dennis en Google Security Operations, eventos para dennis y Se devuelven dennis@altostrat.com.

Funciones de vista del usuario

La vista Usuario incluye muchas funciones y controles de interfaz de usuario que te permiten hacer lo siguiente: examinar con más detenimiento los datos de los usuarios en tu empresa. Algunos de estos Las funciones son exclusivas de la vista de Usuario y algunas se comparten entre ellas. Vistas de eventos de Google Security Operations (vista de dominio, vista de dirección IP, etcétera)

Vista del usuario con textos destacados Funciones de la vista de usuarios de Google Security Operations

1 Información del usuario

Muestra información sobre el usuario almacenada en los sistemas de TI de tu empresa (por ejemplo, Active Directory, Workday, Okta, etcétera).

2 Selección de fecha

Usa las flechas hacia la izquierda y derecha para examinar los eventos asociados con el usuario. en un intervalo de una semana calendario (sábado a domingo). Si no hay datos disponibles en el período que se muestra, se te dará Primera vista y Opciones del tipo Visto por última vez para cambiar rápidamente la vista a un período relevante

Cambio de tiempo de 3 ejes X

De forma predeterminada, la vista Usuario centra el mapa de calor de gradientes a las 12:00 UTC (mediodía). Usando con el control de Pausa en vivo del eje X, puedes centrar el mapa de calor hasta 12 horas antes o después de las 12:00 p.m. Esto te permite enfocarte en períodos atípicos para el usuario. Por ejemplo, puedes cambiar el horario de la pantalla a las 0:00 UTC (medianoche) para enfocarte la actividad de los usuarios a última hora de la tarde y temprano en la mañana, como se muestra en estos cifras.

Establece la Pausa en vivo del eje X en +12 Configura el cambio de tiempo del eje X en +12

4 Mapa de calor de gradientes

El mapa de calor de gradientes de vista de usuario muestra una vista global de la actividad de los usuarios en el período de tiempo que estás investigando. Cada cuadrado indica una hora del día (UTC) para la actividad de los usuarios registrados en el período. Este gráfico te permite para ubicar una actividad del usuario inusual o atípica.

Al hacer clic en un cuadrado, se muestra la fecha de la actividad y, al hacer clic en esa fecha desde el la ventana emergente verde te lleva a esa hora de eventos en la línea de tiempo.

El color de cada cuadrado varía del negro a través de tonos de gris a blanco:

Los cuadrados negros indican que no hubo actividad del usuario.
Los cuadrados blancos indican actividad frecuente del usuario.
Los cuadrados de color gris oscuro a gris claro indican niveles crecientes de actividad con tonos oscuros de gris que representan menos actividad y tonos claros de gris representan más.

Por ejemplo, un usuario es rutinariamente activo durante el horario laboral normal y nunca activo a altas horas de la noche o los fines de semana. Sin embargo, recientemente se convirtió activo todos los días a las 3 a.m. El mapa de calor de gradientes te permite localizar rápidamente este tipo de actividad atípica.

5 alertas al usuario

Google Security Operations captura las alertas de seguridad de los usuarios y se muestran aquí. Tú puedes hacer clic en los vínculos asociados para investigar la alerta en más detalle.

7 Columns

Personaliza las columnas que se muestran en la pestaña Cronograma.

6 Cronograma y recursos

Las pestañas Cronograma y Recursos también están disponibles en la vista Usuario. Al igual que con otras vistas de Google Security Operations, la pestaña Timeline muestra los eventos En orden cronológico, y la pestaña Recursos enumera los recursos asociados con el usuario alfabéticamente o numéricamente. Los recursos que se muestran corresponden del usuario en tu empresa y está limitada por el período especificada.

Usa estas pestañas de la siguiente manera:

Pestaña Cronograma: Cuando seleccionas un evento en la pestaña Rutas, también se destaca. el evento correspondiente en el mapa de calor de gradientes, en verde. Las alertas son se indican con un triángulo rojo y texto rojo.
Pestaña Recurso: cuando seleccionas un recurso, se destaca en verde en la pestaña Activo. y toda la actividad relacionada con ese recurso también aparece resaltada en verde en el Mapa de calor de gradientes. Para ir a la vista de recursos, haz clic en el primer accedió o accedió por última vez en la pestaña Recursos.

8 Filtrado de procedimientos

Para abrir el menú Filtro de procedimientos, haz clic en el botón Ícono de filtrado en la vista Usuario y filtra la información del usuario en función de una variedad de características. Por ejemplo, puedes filtrar por Ubicación principal para examinar la ubicación geográfica de los intentos de acceso del usuario. Puede indicar de que un usuario accede desde ubicaciones inusuales.

Filtrado de procedimientos en la principal
Ubicación

Filtrado de procedimientos en la ubicación de la principal

Consideraciones

La vista del usuario tiene las siguientes limitaciones:

En esta vista, solo se pueden mostrar 80,000 eventos.
Solo puedes filtrar los eventos que se muestran en esta vista.
En esta vista, solo se propagan los tipos de eventos de usuario, correo electrónico y DNS. La primera también se limita la información vista y por última vez que aparece en esta vista. a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en en las búsquedas de UDM y registros sin procesar.