ユーザーを調査する
Google セキュリティ運用の [ユーザー] ビューを使用すると、企業内のユーザーがセキュリティ イベントによってどのような影響を受けるかを詳しく把握できます。セキュリティ管理者は、個々のユーザーの行動に焦点を当てることで、アカウントの侵害などのセキュリティに関する懸念を示すアクティビティを検索できます。EDR、ファイアウォール、ウェブプロキシ、ユーザー コンテキスト、認証など、ネットワーク上のデバイスからデータを取り込んで正規化していることを確認します。
ユーザーを検索
Google セキュリティ オペレーションで [ユーザー] ビューを開くには、検索フィールドに企業内のユーザーのユーザー名またはメールアドレスを入力します。ユーザーが Google Security Operations アカウント内に存在する場合、結果としてそのユーザーが表示されます。ユーザー名をクリックして [ユーザー] ビューにピボットします。
[User] ビューのエイリアス
[ユーザー] ビューにはユーザー エイリアス機能が用意されているため、1 人のユーザーに関連付けられているイベントが重複することなく、Google Security Operations アカウント内で検索しやすくなります。たとえば、ユーザー識別子が dennis
、メールアドレスが dennis@altostrat.com
の従業員 Dennis がいる場合、Google Security Operations で dennis
を検索すると、dennis
と dennis@altostrat.com
の両方のイベントが返されます。
[User] ビュー機能
[ユーザー] ビューには多くの機能やユーザー インターフェース コントロールがあり、企業内のユーザーデータをより詳細に調べることができます。これらの機能には、ユーザービューに固有なものと、他の Google セキュリティ オペレーション イベントビュー([ドメイン] ビュー、[IP アドレス] ビューなど)と共有されるものがあります。
Google Security Operations の [User] ビュー機能
1 ユーザー情報
企業の IT システム内に保存されているユーザーに関する情報(Active Directory、Workday、Okta 等)が表示されます。
2 日付の選択
左右の矢印を使用して、カレンダー上の 1 週間(土曜日から日曜日)にわたってユーザーに関連付けられたイベントを確認します。表示している期間でデータが使用可能でない場合は、ビューを関連する期間にすばやくシフトする [First Seen] と [Last Seen] のオプションが与えられます。
3 X 軸のタイムシフト
デフォルトでは、[ユーザー] ビューのグラデーション ヒートマップの中央は 12 時 UTC(正午)です。X 軸のタイムシフト コントロールを使用すると、12 時前後の最大 12 時間をヒートマップを中央に配置できます。これにより、ユーザーの非定型的な期間に焦点を当てることができます。 たとえば、以下の図に示されているように、表示を 0:00 UTC(午前 0 時)に変更すると、深夜または早朝のユーザー アクティビティに焦点が当たります。
X 軸のタイムシフトを +12 に設定
4 勾配ヒートマップ
[ユーザー] ビューのグラデーション ヒートマップでは、調査期間全体におけるユーザー アクティビティの集計ビューが表示されます。各四角形は、記録されたユーザー アクティビティの 1 日の時間(UTC)を表します。このグラフを使用すると、ユーザーの通常とは異なるアクティビティや非定型的なアクティビティを見つけることができます。
四角形をクリックするとアクティビティの日付が表示され、緑色のポップオーバーの日付をクリックすると、タイムラインにイベントの時間が表示されます。
各四角形の色は、黒、グレー、白です。
黒い四角形は、ユーザー アクティビティがないことを示しています。
白い四角形は、ユーザー アクティビティが頻繁に行われていることを示します。
濃いグレーから明るいグレーの四角形は、アクティビティのレベルの増加を示します。濃いグレーはアクティビティが少ないことを示し、薄い灰色はアクティビティが多いことを示します。
たとえば、あるユーザーは通常の業務時間中に常にアクティブであり、夜遅くや週末には決してアクティブではありません。しかし、このユーザーは最近毎日午前 3 時にアクティブになりました。勾配ヒートマップを使用すると、この種類の異常なアクティビティをすばやく特定できます。
5 ユーザーに関するアラート
ユーザー セキュリティ通知は Google セキュリティ オペレーションによって取得され、ここに表示されます。関連するリンクをクリックすると、アラートを詳しく調査できます。
7 列
[タイムライン] タブに表示される列をカスタマイズします。
6 タイムラインとアセット
[タイムライン] と [アセット] のタブは [ユーザー] ビュー内でも利用できます。他の Google Security Operations のビューと同様に、[Timeline] タブには、イベントが時系列順に一覧表示され、[Asset] タブには、ユーザーに関連付けられているアセットがアルファベット順または数値 表示されるアセットは、この特定のユーザーの企業内のアクティビティに対応し、指定した期間によって限定されます。
これらのタブを次のように使用します。
[タイムライン] タブ: [タイムライン] タブでイベントを選択すると、対応するイベントが勾配ヒートマップで緑色でハイライト表示されます。アラートは赤色の三角形と赤色のテキストで示されます。
[アセット] タブ: アセットを選択すると、[アセット] タブで緑色でハイライト表示され、そのアセットに関連するすべてのアクティビティがグラデーション ヒートマップで緑色でハイライト表示されます。[アセット] タブで最初にアクセスしたか最後にアクセスしたかをクリックして、[アセット] ビューにピボットできます。
8 手続き型フィルタリング
[手続き型フィルタリング] メニューを開くには、[ユーザー] ビューで [手続き型フィルタリング] アイコンをクリックして、さまざまな特性に基づいてユーザー情報をフィルタリングします。たとえば、プリンシパル ロケーションでフィルタリングして、ユーザーのログイン試行の地理的位置を調べることができます。ユーザーが通常とは異なる場所からログインしていることが示される場合があります。
プリンシパル ロケーションでの手続き型フィルタリング
考慮事項
[User] ビューには次の制限があります。
- このビューには、80,000 件のイベントのみ表示されます。
- フィルタできるのは、このビューに表示されるイベントのみです。
- このビューには、User、Email、DNS のイベントタイプのみが入力されます。このビューに入力される最初の検知と最後の検知の情報も、これらのイベントタイプに限定されます。
- 汎用イベントは、キュレートされたビューには表示されません。未加工ログと UDM 検索にのみ表示されます。