Esta página foi traduzida pela API Cloud Translation.

Investigar um usuário

A visualização Usuário das Operações de segurança do Google permite que os clientes entendam melhor como os usuários na empresa são afetadas por ocorrências de segurança. Ao focar no de usuários individuais, os administradores de segurança podem pesquisar as atividades indicando que uma conta foi comprometida ou outras preocupações de segurança. Confirme se você está ingestão e normalização de dados de dispositivos em sua rede, como EDR, firewall, proxy da Web, contexto e autenticação do usuário etc.

Pesquisar um usuário

Para abrir a visualização Usuário nas Operações de segurança do Google, digite o nome de usuário ou o endereço de e-mail de um usuário da sua empresa no campo de pesquisa. Se o usuário estiver presente sua conta de Operações de Segurança do Google, esse usuário será exibido como resultado. Clique no botão para a visualização Usuário.

Atribuição de alias da visualização do usuário

A visualização Usuário inclui um recurso de atribuição de alias para garantir que os eventos associados a um usuário único não são duplicados e são mais fáceis de pesquisar em seu na conta de Operações de Segurança do Google. Por exemplo, se você tiver um funcionário chamado Dennis cujo identificador de usuário seja dennis, tenha o e-mail dennis@altostrat.com e você pesquisar dennis nas Operações de segurança do Google, eventos para dennis e dennis@altostrat.com são retornadas.

Recursos da visualização do usuário

A visualização Usuário inclui muitos recursos e controles de interface do usuário para permitir que você analisar mais detalhadamente os dados dos usuários na sua empresa. Alguns desses recursos são exclusivos da visualização do usuário e alguns são compartilhados com outros Visualizações de eventos das Operações de segurança do Google (visualização de domínio, visualização de endereço IP etc.).

Visualização do usuário com frases de destaque Recursos de visualização de usuário das Operações de segurança do Google

1 Informações do usuário

Exibe informações sobre o usuário armazenadas nos sistemas de TI da sua empresa como Active Directory, Workday, Okta etc.

2 Seleção de data

Use as setas para a esquerda e direita para analisar os eventos associados ao usuário. em um intervalo de uma semana (sábado a domingo). Se nenhum dado for disponível no período exibido, você recebe uma solicitação Opções de visualização mais recente para mudar a visualização rapidamente para um período relevante.

3 deslocamentos no eixo X

Por padrão, a visualização Usuário centraliza o mapa de calor gradiente às 12h UTC (meio-dia). Usando controle "Time Shift" do eixo X, é possível centralizar o mapa de calor até 12 horas antes ou depois das 12h. Isso permite que você se concentre em períodos atípicos para o usuário. Por exemplo, é possível mudar o horário da tela para 0h UTC (meia-noite) para focar na das atividades do usuário no final da noite e no início da manhã, conforme mostrado nestes figuras

Definindo a Mudança de tempo do eixo X como +12 Definindo a mudança de horário do eixo X para +12

4 Mapa de calor do gradiente

O mapa de calor gradiente da visualização do usuário mostra uma visão agregada da atividade do usuário em período que está sendo investigado. Cada quadrado indica uma hora do dia (UTC) para uma atividade do usuário registrada durante o período. Com esse gráfico, para localizar atividades incomuns ou atípicas do usuário.

Clicar em um quadrado mostra a data da atividade e clicar nessa data do o pop-up verde leva você até aquele horário de eventos na Linha do tempo.

A cor de cada quadrado varia de preto a tons de cinza até branco:

Quadrados pretos indicam que não há atividade do usuário.
Quadrados brancos indicam atividades frequentes do usuário.
Quadrados cinza-escuro a cinza claro indicam níveis crescentes de atividade com tons escuros de cinza representando menos atividade e tons claros de cinza que representam mais.

Por exemplo, um usuário está sempre ativo durante o horário de trabalho normal e nunca ativo de madrugada ou em fins de semana. No entanto, esse usuário se tornou recentemente ativo todos os dias às 3h. O mapa de calor de gradiente permite localizar esse tipo de atividade atípica.

5 alertas de usuário

Os alertas de segurança do usuário são capturados pelas Operações de segurança do Google e exibidos aqui. Você clicar nos links associados para investigar melhor o alerta.

7 colunas

Personalize as colunas exibidas na guia Linha do tempo.

6 Cronograma e recursos

As guias Cronograma e Recursos também estão disponíveis na visualização Usuário. Assim como acontece com outras visualizações das Operações de segurança do Google, a guia Cronograma lista eventos cronológica, e a guia Recursos lista os recursos associados ao usuário em ordem alfabética ou numérica. Os recursos exibidos correspondem a esse a atividade do usuário na sua empresa e é limitada pelo período especificado.

Use essas guias da seguinte maneira:

Guia Linha do tempo: a seleção de um evento na guia "Linha do tempo" também destaca o evento correspondente no mapa de calor de gradiente em verde. Os alertas são é indicado por um triângulo vermelho e um texto vermelho.
Guia Recurso: quando você seleciona um recurso, ele é destacado em verde na guia "Recurso". e todas as atividades que envolvem esse recurso também são destacadas em verde no Mapa de calor de gradiente. Para mudar para a visualização "Recursos", clique no primeiro acessado ou acessado pela última vez na guia "Recursos".

8 Filtragem de procedimentos

Para abrir o menu Filtragem de procedimentos, clique no botão Ícone de filtragem na visualização Usuário e filtre as informações do usuário com base em várias opções de características. Por exemplo, você pode filtrar por local principal para examinar a localização geográfica das tentativas de login do usuário. Isso pode indicar que um usuário fez login de locais incomuns.

Filtragem processual no principal
Local

Filtragem de procedimentos no local principal

Considerações

A visualização do usuário tem as seguintes limitações:

Somente 80 mil eventos podem ser exibidos nessa visualização.
Só é possível filtrar eventos que são exibidos nessa vista da propriedade.
Somente os tipos de evento "Usuário", "E-mail" e "DNS" são preenchidos nessa visualização. A primeira As informações vistas e visualizadas pela última vez preenchidas nessa visualização também são limitadas a esses tipos de evento.
Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem somente em registros brutos e pesquisas UDM.