Investigar a un usuario

La vista Usuario de Chronicle permite a los clientes comprender mejor cómo los eventos de seguridad afectan a los usuarios de una empresa. Si se enfocan en el comportamiento de los usuarios individuales, los administradores de seguridad pueden buscar actividad que indique la vulneración de una cuenta o algún otro problema de seguridad. Asegúrate de transferir y normalizar datos de los dispositivos de tu red, como EDR, firewall, proxy web, contexto de usuario, autenticación, etcétera.

Buscar a un usuario

Para abrir la vista Usuario en Chronicle, ingresa el nombre de usuario o la dirección de correo electrónico de un usuario de tu empresa en el campo de búsqueda. Si el usuario está presente en tu cuenta de Chronicle, se mostrará como resultado. Haz clic en el nombre de usuario para pasar a la vista Usuario.

Asignación de alias de vistas de usuario

La vista User incluye una función de asignación de alias de usuario para garantizar que los eventos asociados con un solo usuario no se dupliquen y sean más fáciles de buscar en tu cuenta de Chronicle. Por ejemplo, si tienes un empleado llamado Dennis cuyo identificador de usuario es dennis, cuyo correo electrónico es dennis@altostrat.com y buscas dennis en Chronicle, se mostrarán los eventos para dennis y dennis@altostrat.com.

Funciones de vista del usuario

La vista de usuario incluye muchas funciones y controles de la interfaz de usuario para permitirte examinar con más detalle los datos del usuario en tu empresa. Algunas de estas funciones son exclusivas de la vista User y otras se comparten con las otras vistas de eventos de Chronicle (Domain View, IP Address View, etcétera).

Vista del usuario con menciones Funciones de vista del usuario de Chronicle

1 Información del usuario

Muestra información sobre el usuario almacenada en los sistemas de TI de tu empresa (por ejemplo, Active Directory, Workday, Okta, etcétera).

2 Selección de fecha

Usa las flechas hacia la izquierda y derecha para examinar los eventos asociados con el usuario en un intervalo de una semana calendario (de sábado a domingo). Si no hay datos disponibles en el período que se muestra, tendrás las opciones Primer visto y Último visto para cambiar rápidamente la vista a un período relevante.

3 Cambio en el tiempo del eje X

De forma predeterminada, la vista Usuario centra el mapa de calor de gradientes a las 12:00 UTC (mediodía). Con el control de Cambio de tiempo del eje X, puedes centrar el mapa de calor hasta 12 horas antes o después de las 12:00. Esto te permite concentrarte en períodos de tiempo poco comunes para el usuario. Por ejemplo, puedes cambiar el horario de la pantalla a 0:00 UTC (medianoche) para enfocarte en la actividad del usuario a última hora de la noche y temprano en la mañana, como se muestra en estas figuras.

Establecer la Pausa en vivo del eje X en +12 Configuración de Cambio en el tiempo del eje X a +12

Cambio en el eje X establecido en +12 Cambio en el eje X establecido en +12

4 Mapa de calor de gradientes

La vista de usuario del mapa de calor de gradientes muestra una vista agregada de la actividad del usuario durante el período que estás investigando. Cada cuadrado indica una hora del día (UTC) para la actividad de un usuario registrada durante el período. Este gráfico te permite ubicar la actividad del usuario inusual o atípica.

Cuando haces clic en un cuadrado, se muestra la fecha de la actividad y, cuando haces clic en esa fecha en la ventana emergente verde, te llevas a esa hora de eventos en el cronograma.

El color de cada cuadrado varía del negro a los tonos de grises a blanco:

  • Los cuadrados negros indican que no hay actividad del usuario.

  • Los cuadrados blancos indican actividad frecuente del usuario.

  • Los cuadrados de gris oscuro a gris claro indican niveles de actividad crecientes con tonos oscuros de gris que representan menos actividad y tonos de gris claro que representan más.

Por ejemplo, un usuario suele estar activo durante el horario laboral normal y nunca está activo a altas horas de la noche ni los fines de semana. Sin embargo, este usuario se activó recientemente todos los días a las 3 a.m. El mapa de calor de gradientes te permite ubicar rápidamente este tipo de actividad atípica.

5 alertas para los usuarios

Chronicle captura las alertas de seguridad para los usuarios, que se muestran aquí. Puedes hacer clic en los vínculos asociados para investigar la alerta en profundidad.

7 Columns

Personaliza las columnas que se muestran en la pestaña Cronograma.

6 Cronograma y recursos

Las pestañas Cronograma y Recursos también están disponibles en la vista Usuario. Al igual que con otras vistas de Chronicle, en la pestaña Timeline se enumeran los eventos en orden cronológico, mientras que en la pestaña Assets, se enumeran los recursos asociados con el usuario en orden alfabético o numérico. Los recursos que se muestran corresponden a la actividad de este usuario específico dentro de tu empresa y están limitados por el período especificado.

Usa estas pestañas de la siguiente manera:

  • Pestaña Cronograma: Si seleccionas un evento en la pestaña Cronograma, también se destacará el evento correspondiente en el mapa de calor de gradientes en verde. Las alertas se indican con un triángulo rojo y un texto rojo.

  • Pestaña Asset: Cuando seleccionas un recurso, se lo destaca en verde en la pestaña Asset, y toda la actividad relacionada con ese recurso también se destaca en verde en el mapa de calor de gradientes. Para ir a la vista Recursos, haz clic en el primer o el último acceso en la pestaña Recursos.

8 Filtrado de procedimientos

Para abrir el menú Filtrado de procedimientos, haz clic en el ícono de Filtrado de procedimientos en la vista Usuario y filtra la información del usuario según una variedad de características. Por ejemplo, puedes filtrar por ubicación principal para examinar la ubicación geográfica de los intentos de acceso del usuario. Puede indicar que un usuario está accediendo desde ubicaciones inusuales.

Filtrado de procedimientos en la ubicación principal

Filtrado de procedimientos en la ubicación principal

Consideraciones

La vista de usuario tiene las siguientes limitaciones:

  • En esta vista, solo se pueden mostrar 80,000 eventos.
  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • En esta vista, solo se propagan los tipos de eventos de usuario, correo electrónico y DNS. La primera y la última información vista que se propaga en esta vista también se limita a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Aparecen solo en búsquedas de registros sin procesar y UDM.