Esta página foi traduzida pela API Cloud Translation.

Investigar um usuário

A visualização Usuário das Operações de segurança do Google permite que os clientes entendam melhor como os usuários de uma empresa são afetados por ocorrências de segurança. Ao se concentrar no comportamento dos usuários individuais, os administradores de segurança podem pesquisar atividades que indiquem um comprometimento de conta ou outras preocupações de segurança. Verifique se você está ingerindo e normalizando dados de dispositivos na rede, como EDR, firewall, proxy da Web, contexto e autenticação do usuário etc.

Pesquisar um usuário

Para abrir a visualização Usuário nas Operações de segurança do Google, digite o nome de usuário ou o endereço de e-mail de um usuário da empresa no campo "Pesquisa". Se o usuário estiver presente na sua conta das Operações de segurança do Google, ele será exibido como resultado. Clique no nome de usuário para alternar para a visualização Usuário.

Atribuição de alias da visualização do usuário

A visualização Usuário inclui um recurso de atribuição de alias para garantir que os eventos associados a um único usuário não sejam duplicados e fiquem mais fáceis de pesquisar na conta das Operações de segurança do Google. Por exemplo, se você tiver um funcionário chamado Dennis que tem o identificador de usuário dennis e o e-mail dennis@altostrat.com e pesquisar dennis nas Operações de segurança do Google, os eventos de dennis e dennis@altostrat.com serão retornados.

Recursos da visualização do usuário

A visualização Usuário inclui muitos recursos e controles de interface do usuário para permitir que você examine mais detalhadamente os dados do usuário na sua empresa. Alguns desses recursos são exclusivos da visualização do usuário e outros são compartilhados com outras visualizações de eventos das Operações de segurança do Google (visualização de domínio, visualização de endereço IP etc.).

Visualização do usuário com frases de destaque Recursos da visualização de usuário das Operações de segurança do Google

1 Informações do usuário

Exibe informações sobre o usuário armazenadas nos sistemas de TI da empresa (por exemplo, Active Directory, Workday, Okta etc.).

2 Seleção de data

Use as setas para a esquerda e para a direita para examinar os eventos associados ao usuário em um intervalo de uma semana (sábado a domingo). Se nenhum dado estiver disponível no período exibido, você terá as opções "Visto pela primeira vez" e "Última visualização" para mudar a visualização rapidamente para um período relevante.

3 deslocamentos no eixo X

Por padrão, a visualização Usuário centraliza o mapa de calor gradiente às 12h UTC (meio-dia). Com o controle "Time Shift" do eixo X, é possível centralizar o mapa de calor até 12 horas antes ou depois das 12h. Isso permite que você se concentre em períodos atípicos para o usuário. Por exemplo, é possível mudar o horário da tela para 0h UTC (meia-noite) para se concentrar na atividade do usuário no fim da noite e no início da manhã, como mostrado nestas figuras.

Definindo a Mudança de tempo do eixo X como +12 Definindo a mudança para +12 no eixo X

4 Mapa de calor do gradiente

O mapa de calor gradiente da visualização do usuário exibe uma visão agregada da atividade do usuário no período que você está investigando. Cada quadrado indica uma hora do dia (UTC) para uma atividade do usuário registrada durante o período. Esse gráfico permite localizar atividades incomuns ou atípicas do usuário.

Clicar em um quadrado mostra a data da atividade. Ao clicar nessa data no pop-up verde, você acessa o horário de eventos na linha do tempo.

A cor de cada quadrado varia de preto a tons de cinza até branco:

Quadrados pretos indicam que não há atividade do usuário.
Quadrados brancos indicam atividades frequentes do usuário.
Os quadrados cinza-escuro a cinza claro indicam níveis crescentes de atividade, com tons escuros de cinza representando menos atividade e tons claros de cinza representando mais.

Por exemplo, um usuário está sempre ativo durante o horário de trabalho normal e nunca está ativo à noite ou nos fins de semana. No entanto, esse usuário ficou ativo todos os dias às 3h da manhã. O mapa de calor de gradiente permite localizar rapidamente esse tipo de atividade atípica.

5 alertas de usuário

Os alertas de segurança do usuário são capturados pelas Operações de segurança do Google e exibidos aqui. Clique nos links associados para investigar melhor o alerta.

7 colunas

Personalize as colunas exibidas na guia Linha do tempo.

6 Cronograma e recursos

As guias Cronograma e Recursos também estão disponíveis na visualização Usuário. Assim como em outras visualizações de Operações de segurança do Google, a guia Cronograma lista os eventos em ordem cronológica e a guia Recursos lista os recursos associados ao usuário em ordem alfabética ou numérica. Os recursos exibidos correspondem à atividade desse usuário específico na sua empresa e são limitados pelo período especificado.

Use essas guias da seguinte maneira:

Guia Linha do tempo: a seleção de um evento na guia "Linha do tempo" também destaca o evento correspondente em verde no mapa de calor gradiente. Os alertas são indicados por um triângulo vermelho e um texto vermelho.
Guia Asset: a seleção de um recurso o destaca em verde na guia "Recursos", e todas as atividades envolvendo esse recurso também são destacadas em verde no Mapa de calor de gradiente. Para alternar para essa visualização, clique no primeiro ou último acessado na guia "Recursos".

8 Filtragem de procedimentos

Para abrir o menu Filtragem de procedimentos, clique no ícone "Filtragem de procedimentos" na visualização Usuário e filtre as informações do usuário com base em várias características. Por exemplo, você pode filtrar por "Local principal" para examinar a localização geográfica das tentativas de login do usuário. Isso pode indicar que um usuário está fazendo login de locais incomuns.

Filtragem processual na localização
principal

Filtragem de procedimentos no local principal

Considerações

A visualização do usuário tem as seguintes limitações:

Somente 80 mil eventos podem ser exibidos nessa visualização.
Só é possível filtrar eventos que são exibidos nessa vista da propriedade.
Somente os tipos de evento "Usuário", "E-mail" e "DNS" são preenchidos nessa visualização. As primeiras e últimas informações preenchidas nessa visualização também estão limitadas a esses tipos de evento.
Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles só aparecem em registros brutos e pesquisas de UDM.