Investiga a un usuario

La vista de los usuarios de Chronicle permite a los clientes comprender mejor cómo los eventos de seguridad afectan a los usuarios de una empresa. Al centrarse en el comportamiento de usuarios individuales, los administradores de seguridad pueden buscar la actividad que indica una vulneración de la cuenta u otras cuestiones de seguridad. Asegúrate de transferir y normalizar los datos de los dispositivos de tu red, como EDR, firewall, proxy web, contexto del usuario y autenticación, entre otros.

Buscar a un usuario

Para abrir la vista de usuario en Chronicle, ingrese el nombre de usuario o la dirección de correo electrónico de un usuario de su empresa en el campo de búsqueda. Si el usuario está presente en tu cuenta de Chronicle, se mostrará como resultado. Haz clic en el nombre de usuario para cambiar a la vista de usuario.

También puede acceder a la vista de usuarios desde el panel de Alertas recientes en la vista de estadísticas de la empresa. Además de los elementos, hay una columna para los usuarios afectados por las alertas.

Vista del usuario Analice la actividad de los usuarios con la vista de usuario

Alias de vista de usuarios

La vista de usuario incluye una función de alias de usuario para garantizar que los eventos asociados con un solo usuario no se dupliquen y sean más fáciles de buscar en tu cuenta de Chronicle. Por ejemplo, si tienes un empleado llamado Dennis cuyo identificador de usuario es dennis y cuyo correo electrónico es dennis@altostrat.com y buscas dennis en Chronicle, los eventos para dennis y dennis@altostrat.com son.

Funciones de vista del usuario

La vista de usuario incluye muchas funciones y controles de interfaz de usuario que le permiten examinar más de cerca los datos del usuario dentro de su empresa. Algunas de estas funciones son exclusivas de la vista de usuario y otras se comparten con las otras vistas de eventos de Chronicle (vista de dominio, vista de dirección IP, etc.).

Vista del usuario con textos destacados Funciones de vista de usuario de Chronicle

1 Información del usuario

Muestra información sobre el usuario almacenado en los sistemas de TI de tu empresa (por ejemplo, Active Directory, Workday, Okta, etcétera).

2 Selección de fecha

Usa las flechas hacia la izquierda y la derecha para examinar los eventos asociados con el usuario en un intervalo de una semana calendario (de sábado a domingo). Si no hay datos disponibles en el período que se muestra actualmente, se te ofrecerán las opciones Primera vista y Visto por última vez para cambiar la vista rápidamente a un período relevante.

3 mapa de calor de gradientes

El mapa de calor de gradiente de vista de usuario muestra una vista integral de la actividad del usuario durante el período que estás investigando. Cada cuadrado indica una hora del día (UTC) para una actividad registrada del usuario en el período. Este gráfico te permite ubicar la actividad anormal o atípica de los usuarios.

Si haces clic en un cuadrado, se muestra la fecha de la actividad y, si haces clic en esa fecha en la ventana emergente verde, se te dirige a esa hora de eventos en la opción Rutas.

El color de cada cuadrado varía de negro a través de tonos de gris a blanco:

  • Los cuadrados negros indican que no hay actividad del usuario.

  • Los cuadrados blancos indican la actividad frecuente del usuario.

  • Los cuadrados de gris oscuro a gris claro indican niveles cada vez más altos de actividad, con tonos oscuros de gris que representan menos actividad y tonos claros de gris que representan más.

Por ejemplo, un usuario suele estar activo durante el horario laboral habitual y nunca activo hasta tarde por la noche o los fines de semana. Sin embargo, este usuario se activó recientemente todos los días a las 3 a.m. El mapa de calor de gradientes te permite ubicar rápidamente este tipo de actividad atípica.

4 cambios de tiempo en el eje X

De forma predeterminada, la vista de usuario centra el mapa de calor de gradientes a las 12:00 UTC (mediodía). Con el control de cambio de tiempo del eje X, puedes centrar el mapa de calor hasta 12 horas antes o después de las 12:00. Esto te permite concentrarte en períodos atípicos para el usuario. Por ejemplo, podrías cambiar la hora a la pantalla 0:00 UTC (medianoche) para enfocarte en la actividad del usuario a altas horas de la tarde y temprano por la mañana, como se muestra en estas figuras.

Establece la diferencia de tiempo del eje X a +12 Configura la diferencia de tiempo del eje X en +12

Se estableció la diferencia de tiempo del eje X en +12. Ajuste del tiempo de eje del X en +12

5 Cronograma y elementos

Las pestañas Cronograma y elementos también están disponibles en la vista de usuario. Al igual que con otras vistas de Chronicle, la pestaña Cronograma enumera los eventos cronológicamente, y la pestaña Elementos muestra los elementos asociados con el usuario por orden alfabético o numérico. Los elementos que se muestran corresponden a la actividad de este usuario específico dentro de tu empresa y están limitados por el período especificado.

Usa estas pestañas de la siguiente manera:

  • Pestaña Cronograma: Si seleccionas un evento en la pestaña Rutas, también se destaca el evento correspondiente en el mapa de calor del gradiente en verde. Las alertas se indican con un triángulo y un texto rojos.

  • Pestaña Elemento: Si seleccionas un elemento, este se destaca en verde en la pestaña Elemento, y todas las actividades que involucran ese elemento también se destacan en verde, en el Mapa de calor del gradiente. Para alternar entre Vista de elementos, haz clic en la primera pestaña a la que accediste o en la última pestaña.

6 Filtrado de procedimientos

Para abrir el menú Filtrado de procedimiento, haz clic en el ícono de Filtro de procedimiento en Vista de usuario y filtra la información del usuario según una variedad de características. Por ejemplo, puedes filtrar la ubicación principal para examinar la ubicación geográfica de los intentos de acceso del usuario. Podría indicar que un usuario accede desde ubicaciones inusuales.

Filtrado de procedimiento en la ubicación principal

Filtrado de procedimiento en la ubicación principal

7 Alertas de usuario

Chronicle captura las alertas de seguridad del usuario, que se muestran aquí. Puedes hacer clic en los vínculos asociados para investigar más la alerta.