Nutzer prüfen

In der Google Security Operations-Ansicht Nutzer können Kunden besser nachvollziehen, wie sich Sicherheitsereignisse auf Nutzer in einem Unternehmen auswirken. Sicherheitsadministratoren können sich auf das Verhalten einzelner Nutzer konzentrieren und nach Aktivitäten suchen, die auf eine Manipulation des Kontos oder andere Sicherheitsbedenken hinweisen. Achten Sie darauf, Daten von Geräten in Ihrem Netzwerk aufzunehmen und zu normalisieren, z. B. EDR, Firewall, Web-Proxy, Nutzerkontext, Authentifizierung usw.

Nach einem Nutzer suchen

Geben Sie den Nutzernamen oder die E-Mail-Adresse eines Nutzers in Ihrem Unternehmen in das Suchfeld ein, um die Ansicht Nutzer in Google Security Operations zu öffnen. Wenn der Nutzer in Ihrem Google Security Operations-Konto vorhanden ist, wird er angezeigt. Klicken Sie auf den Nutzernamen, um zur Ansicht Nutzer zu wechseln.

Aliasing für Nutzeransicht

Die Ansicht Nutzer enthält eine Alias-Funktion für Nutzer, die dafür sorgt, dass Ereignisse, die mit einem einzelnen Nutzer verknüpft sind, nicht dupliziert werden und leichter in Ihrem Google Security Operations-Konto gesucht werden können. Wenn Sie beispielsweise einen Mitarbeiter namens Dennis mit der Nutzer-ID dennis und der E-Mail-Adresse dennis@altostrat.com haben und in Google Security Operations nach dennis suchen, werden Ereignisse für dennis und dennis@altostrat.com zurückgegeben.

Funktionen der Nutzeransicht

Nutzer enthält viele Funktionen und Steuerelemente auf der Benutzeroberfläche, mit denen Sie die Nutzerdaten in Ihrem Unternehmen genauer untersuchen können. Einige dieser Funktionen sind nur in der Nutzeransicht verfügbar, während andere mit anderen Google Security Operations-Ereignisansichten (Domainansicht, IP-Adressansicht usw.) geteilt werden.

Nutzeransicht mit Zusatzinformationen Google Security Operations-Funktionen für die Nutzeransicht

1 Nutzerinformationen

Zeigt Informationen über den Nutzer an, der in den IT-Systemen Ihres Unternehmens gespeichert ist (z. B. Active Directory, Workday, Okta usw.).

2 Datumsauswahl

Mit dem Links- und Rechtspfeil können Sie die mit dem Nutzer verknüpften Termine in einem Intervall von einer Kalenderwoche (Samstag bis Sonntag) untersuchen. Wenn für den angezeigten Zeitraum keine Daten verfügbar sind, können Sie mit den Optionen "Zuerst gesehen" und "Zuletzt gesehen" die Ansicht schnell in einen relevanten Zeitraum verschieben.

3 X-Achsen-Zeitverschiebung

Standardmäßig wird die Gradient-Heatmap in der Nutzeransicht um 12:00 Uhr (UTC) zentriert. Mit dem Steuerelement „Time Shift“ auf der X-Achse können Sie die Heatmap bis zu 12 Stunden vor oder nach 12:00 Uhr zentrieren. So können Sie sich auf für die Nutzenden untypische Zeiträume konzentrieren. Sie können die Anzeige beispielsweise auf 0:00 Uhr (Mitternacht) verschieben, um sich auf die Nutzeraktivitäten am späten Abend und frühen Morgen zu konzentrieren, wie in diesen Zahlen dargestellt.

Zeitverschiebung auf der X-Achse auf +12 festlegen Zeitverschiebung auf der X-Achse auf +12 festlegen

4 Gradient-Heatmap

In der Nutzeransicht wird eine Übersicht der Nutzeraktivitäten für den von Ihnen untersuchten Zeitraum angezeigt. Jedes Quadrat steht für die Stunden des Tages (UTC) für eine protokollierte Nutzeraktivität in einem bestimmten Zeitraum. Mit diesem Diagramm können Sie ungewöhnliche oder untypische Nutzeraktivitäten ausfindig machen.

Wenn Sie auf ein Quadrat klicken, wird das Datum der Aktivität angezeigt. Wenn Sie es im grünen Popover anklicken, gelangen Sie zur entsprechenden Stunde der Ereignisse in der Zeitachse.

Die Farbe der einzelnen Quadrate variiert von Schwarz über Grautöne bis Weiß:

  • Schwarze Quadrate weisen auf keine Nutzeraktivität hin.

  • Weiße Quadrate kennzeichnen häufige User-Aktivitäten.

  • Dunkelgraue bis hellgraue Quadrate zeigen ein zunehmendes Aktivitätsniveau an. Dunkle Grautöne stehen für weniger Aktivität und helle Grautöne für mehr.

Ein Nutzer ist beispielsweise routinemäßig während der normalen Arbeitszeit und nie spät nachts oder an Wochenenden aktiv. Er ist jedoch seit Kurzem täglich um 3:00 Uhr aktiv. Mit der Verlaufs-Heatmap können Sie diese Art von atypischer Aktivität schnell finden.

5 Nutzerbenachrichtigungen

Sicherheitswarnungen für Nutzer werden von Google Security Operations erfasst und hier angezeigt. Sie können auf die zugehörigen Links klicken, um die Benachrichtigung weiter zu untersuchen.

7 Spalten

Passen Sie die Spalten auf dem Tab Zeitachse an.

6 Zeitachse und Assets

Die Tabs Zeitachse und Assets sind auch in der Ansicht Nutzer verfügbar. Wie in anderen Google Security Operations-Ansichten werden auf dem Tab Timeline (Zeitachse) die Ereignisse chronologisch und auf dem Tab Assets (Assets) die mit dem Nutzer verknüpften Assets in alphabetischer oder numerischer Form aufgelistet. Die angezeigten Assets beziehen sich auf die Aktivität dieses Nutzers in Ihrem Unternehmen und sind durch den angegebenen Zeitraum begrenzt.

Verwenden Sie diese Tabs wie folgt:

  • Tab Zeitachse: Wenn Sie auf dem Tab „Zeitachse“ ein Ereignis auswählen, wird das entsprechende Ereignis auch in der Heatmap des Verlaufs grün hervorgehoben. Benachrichtigungen sind durch ein rotes Dreieck und roter Text gekennzeichnet.

  • Tab Asset: Wenn Sie ein Asset auswählen, wird es auf dem Tab „Asset“ grün hervorgehoben. Alle Aktivitäten, die dieses Asset betreffen, werden ebenfalls in der Heatmap mit Farbverlauf grün hervorgehoben. Du kannst zur Asset-Ansicht wechseln, indem du auf dem Tab „Assets“ auf den ersten oder letzten Zugriff klickst.

8 Verfahrensfilter

Sie können das Menü Prozedurliche Filterung öffnen, indem Sie in der Ansicht Nutzer auf das Symbol für die prozedurale Filterung klicken und die Nutzerinformationen nach einer Vielzahl von Merkmalen filtern. Sie können beispielsweise nach Hauptstandort filtern, um den geografischen Standort der Anmeldeversuche des Nutzers zu ermitteln. Dies kann darauf hindeuten, dass sich ein Nutzer von einem ungewöhnlichen Standort aus anmeldet.

Prozedurliches Filtern nach Hauptkontostandort

Prozedurales Filtern nach Hauptkontostandort

Hinweise

Für die Nutzeransicht gelten folgende Einschränkungen:

  • In dieser Ansicht können nur 80.000 Ereignisse angezeigt werden.
  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht sind nur die Ereignistypen „Nutzer“, „E-Mail“ und „DNS“ enthalten. Die zuerst gesehenen und zuletzt gesehenen Informationen in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in den ausgewählten Ansichten nicht angezeigt. Sie werden nur in Rohlog- und UDM-Suchen angezeigt.