Enquêter sur un utilisateur

Compatible avec:

La vue Utilisateur de Google Security Operations permet aux clients de mieux comprendre l'impact des événements de sécurité sur les utilisateurs d'une entreprise. En se concentrant sur le comportement des utilisateurs individuels, les administrateurs de sécurité peuvent rechercher une activité indiquant une compromission de compte ou d'autres problèmes de sécurité. Assurez-vous d'ingérer et de normaliser les données des appareils de votre réseau, comme l'EDR, le pare-feu, le proxy Web, le contexte utilisateur et l'authentification, etc.

Rechercher un utilisateur

Pour ouvrir la vue Utilisateur dans Google Security Operations, saisissez le nom d'utilisateur ou l'adresse e-mail d'un utilisateur de votre entreprise dans le champ de recherche. Si l'utilisateur est présent dans votre compte Google Security Operations, il s'affiche. Cliquez sur le nom d'utilisateur pour passer à la vue Utilisateur.

Alias de la vue utilisateur

La vue Utilisateur inclut une fonctionnalité d'aliasing utilisateur pour vous assurer que les événements associés à un seul utilisateur ne sont pas dupliqués et sont plus faciles à rechercher dans votre compte Google Security Operations. Par exemple, si un employé nommé Dennis a pour identifiant utilisateur dennis et pour adresse e-mail dennis@altostrat.com, et que vous recherchez dennis dans Google Security Operations, les événements pour dennis et dennis@altostrat.com sont renvoyés.

Fonctionnalités de la vue utilisateur

La vue Utilisateur inclut de nombreuses fonctionnalités et commandes d'interface utilisateur pour vous permettre d'examiner plus en détail les données utilisateur de votre entreprise. Certaines de ces fonctionnalités sont propres à la vue Utilisateur, tandis que d'autres sont partagées avec les autres vues d'événements Google Security Operations (vue du domaine, vue de l'adresse IP, etc.).

Vue utilisateur avec accroches Fonctionnalités de la vue utilisateur de Google Security Operations

1 Informations utilisateur

Affiche les informations sur l'utilisateur stockées dans vos systèmes IT d'entreprise (Active Directory, Workday, Okta, etc.).

2 Sélection des dates

Utilisez les flèches vers la gauche et vers la droite pour examiner les événements associés à l'utilisateur sur une période d'une semaine civile (du samedi au dimanche). Si aucune donnée n'est disponible pour la période affichée, les options "Première fois" et "Dernière fois" vous permettent de modifier rapidement la vue pour afficher une période pertinente.

3 Décalage temporel sur l'axe X

Par défaut, la vue Utilisateur centre la carte thermique de gradient à midi (12h00 UTC). À l'aide du curseur de décalage temporel de l'axe X, vous pouvez centrer la carte thermique jusqu'à 12 heures avant ou après 12h00. Vous pouvez ainsi vous concentrer sur des périodes inhabituelles pour l'utilisateur. Par exemple, vous pouvez décaler l'affichage à 0h00 UTC (minuit) pour vous concentrer sur l'activité des utilisateurs en fin de soirée et au petit matin, comme illustré dans ces images.

Définir le décalage temporel de l'axe X sur +12 Définir le décalage temporel de l'axe X sur +12

4 Carte thermique dégradée

La carte de densité de gradient de la vue Utilisateur affiche une vue globale de l'activité des utilisateurs sur la période que vous étudiez. Chaque carré indique une heure de la journée (UTC) pour une activité d'utilisateur connecté au cours de la période. Ce graphique vous permet d'identifier une activité utilisateur inhabituelle ou atypique.

Si vous cliquez sur un carré, la date de l'activité s'affiche. Si vous cliquez sur cette date dans le pop-up vert, vous accédez à l'heure correspondante dans la chronologie.

La couleur de chaque carré varie du noir aux nuances de gris jusqu'au blanc:

  • Les carrés noirs indiquent qu'aucune activité utilisateur n'a été enregistrée.

  • Les carrés blancs indiquent une activité utilisateur fréquente.

  • Les carrés gris foncé à gris clair indiquent des niveaux d'activité croissants, les nuances de gris foncé représentant moins d'activité et les nuances de gris clair représentant plus d'activité.

Par exemple, un utilisateur est généralement actif pendant les heures de travail normales et ne l'est jamais tard le soir ni le week-end. Cependant, cet utilisateur est récemment devenu actif tous les jours à 3h du matin. La carte de densité en dégradé vous permet de localiser rapidement ce type d'activité atypique.

5 Alertes utilisateur

Les alertes de sécurité des utilisateurs sont collectées par Google Security Operations et affichées ici. Vous pouvez cliquer sur les liens associés pour examiner plus en détail l'alerte.

7 colonnes

Personnalisez les colonnes affichées dans l'onglet Chronologie.

6 Chronologie et composants

Les onglets Chronologie et composants sont également disponibles dans la vue Utilisateur. Comme pour les autres vues Google Security Operations, l'onglet Chronologie liste les événements par ordre chronologique, et l'onglet Éléments liste les éléments associés à l'utilisateur par ordre alphabétique ou numérique. Les composants affichés correspondent à l'activité de cet utilisateur spécifique au sein de votre entreprise et sont limités à la période spécifiée.

Utilisez ces onglets comme suit:

  • Onglet Chronologie: lorsque vous sélectionnez un événement dans l'onglet "Chronologie", l'événement correspondant est également mis en surbrillance en vert dans la carte thermique dégradée. Les alertes sont signalées par un triangle rouge et du texte rouge.

  • Onglet Élément: lorsque vous sélectionnez un élément, il s'affiche en vert dans l'onglet "Élément". Toute activité impliquant cet élément s'affiche également en vert dans la carte thermique à dégradé. Vous pouvez passer à la vue "Composants" en cliquant sur le composant auquel vous avez accédé en premier ou en dernier dans l'onglet "Composants".

8 Filtrage procédural

Vous pouvez ouvrir le menu Filtrage procédural en cliquant sur l'icône Filtrage procédural dans la vue Utilisateur, puis filtrer les informations utilisateur en fonction de diverses caractéristiques. Par exemple, vous pouvez filtrer sur "Principal Location" (Emplacement principal) pour examiner l'emplacement géographique des tentatives de connexion de l'utilisateur. Cela peut indiquer qu'un utilisateur se connecte depuis des lieux inhabituels.

Filtrage procédural sur l'emplacement principal

Filtrage procédural sur l'emplacement principal

Remarques

La vue utilisateur présente les limites suivantes:

  • Seuls 80 000 événements peuvent être affichés dans cette vue.
  • Vous ne pouvez filtrer que les événements affichés dans cette vue.
  • Seuls les types d'événements "Utilisateur", "E-mail" et "DNS" sont renseignés dans cette vue. Les informations sur la première et la dernière fois que l'utilisateur a été vu renseignées dans cette vue sont également limitées à ces types d'événements.
  • Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.