Investigar a un usuario
La vista de usuario de Chronicle permite a los clientes comprender mejor cómo los eventos de seguridad afectan a los usuarios de una empresa. Al enfocarse en el comportamiento de usuarios individuales, los administradores de seguridad pueden buscar actividades que indiquen el riesgo de una cuenta u otros problemas de seguridad. Asegúrate de transferir y normalizar los datos de los dispositivos de tu red, como EDR, firewall, proxy web, contexto del usuario y autenticación, etcétera.
Buscar a un usuario
Para abrir la vista de usuario en Chronicle, ingresa el nombre de usuario o la dirección de correo electrónico de un usuario de tu empresa en el campo de búsqueda. Si el usuario está presente en tu cuenta de Chronicle, se mostrará como resultado. Haz clic en el nombre de usuario para cambiar a la vista de usuario.
También puede acceder a la vista Usuario desde el panel Alertas recientes en la vista de Estadísticas empresariales. Además de los elementos, hay una columna para los usuarios afectados por las alertas.
Analice la actividad de los usuarios con la Vista de usuario
Alias de vista de usuario
La vista de usuario incluye una función de alias de usuario para garantizar que los eventos asociados con un solo usuario no estén duplicados y que sean más fáciles de buscar dentro de su cuenta de Chronicle. Por ejemplo, si tienes un empleado llamado Dennis cuyo identificador de usuario es dennis y cuyo correo electrónico es dennis@altostrat.com, y buscas dennis en Chronicle, se mostrarán los eventos de dennis y dennis@altostrat.com.
Funciones de vista de usuario
La vista de usuario incluye muchas funciones y controles de interfaz de usuario que le permiten examinar más de cerca los datos de los usuarios en su empresa. Algunas de estas funciones son exclusivas de la vista de usuario y otras se comparten con las otras vistas de eventos de Chronicle (Vista de dominio, vista de dirección IP, etc.).
Funciones de la vista de usuarios de Chronicle
1 Información del usuario
Muestra información sobre el usuario almacenado en los sistemas de TI de la empresa (por ejemplo, Active Directory, Workday, Okta, etc.).
2 Selección de fecha
Usa las flechas hacia la izquierda y hacia la derecha para examinar los eventos asociados con el usuario en un intervalo de una semana calendario (de sábado a domingo). Si no hay datos disponibles en el período que se muestra, se te ofrecen las opciones Visto por última vez y Visto por última vez para cambiar rápidamente a la vista de un período de tiempo relevante.
Pausa en vivo de 3 ejes X
De forma predeterminada, la vista de usuario centra el mapa de calor de degradado a las 12:00 UTC (mediodía). Con el control de pausa en directo de eje X, puedes centrar el mapa de calor hasta 12 horas antes o después de las 12:00. Esto le permite centrarse en períodos atípicos para el usuario. Por ejemplo, puedes cambiar el tiempo de la pantalla a 0:00 UTC (medianoche) para centrarte en la actividad del usuario en las últimas horas de la tarde y temprano en la mañana, como se muestra en estas cifras.
Se estableció la pausa en directo del eje X en +12
Se estableció la pausa en directo del eje X en +12
Mapa de calor de degradado de 4
El mapa de calor de gradiente de vista del usuario muestra una vista agregada de la actividad del usuario durante el período que estás investigando. Cada cuadrado indica una hora del día (UTC) para una actividad de usuario registrada en un período determinado. Este gráfico le permite localizar la actividad anormal o atípica del usuario.
Si haces clic en un cuadrado, se muestra la fecha de la actividad y, si haces clic en esa fecha en la ventana emergente verde, se te dirige a esa hora de eventos en la opción Rutas.
El color de cada cuadrado varía de negro a través de tonos de grises a blancos:
Los cuadrados negros indican que no hay actividad del usuario.
Los cuadrados blancos indican la actividad frecuente del usuario.
Los cuadrados de gris oscuro a gris claro indican que los niveles de actividad son crecientes, ya que los tonos oscuros del gris representan menos actividad y los tonos claros de gris representan más.
Por ejemplo, un usuario suele estar activo durante el horario laboral normal y nunca durante la noche o los fines de semana. Sin embargo, este usuario se ha activado recientemente todos los días a las 3:00 a.m. El mapa de calor de degradado te permite localizar rápidamente este tipo de actividad atípica.
5 alertas de usuario
Chronicle captura las alertas de seguridad del usuario y las muestra aquí. Puede hacer clic en los vínculos asociados para investigar la alerta en más detalle.
Siete columnas
Personalice las columnas que aparecen en la pestaña Cronograma.
6 Cronograma y elementos
Las pestañas Cronograma y elementos también están disponibles en la vista Usuario. Al igual que con otras vistas de Chronicle, la pestaña Timeline muestra los eventos en orden cronológico y la pestaña Assets muestra los recursos asociados con el usuario en orden alfabético o numérico. Los elementos que se muestran corresponden a la actividad de este usuario específico en su empresa y están limitados por el período especificado.
Usa las siguientes pestañas:
Pestaña Rutas: Si seleccionas un evento en la pestaña Rutas, también se destaca el evento correspondiente en el mapa de calor de degradado en verde. Las alertas se indican con un triángulo y texto de color rojo.
Pestaña Elemento: Si seleccionas un elemento, se destaca en verde en la pestaña Elemento y toda la actividad relacionada con él también se destaca en verde en el mapa de calor de degradado. Para cambiar a la vista de elementos, haz clic en el primer elemento al que accediste o en el último acceso en la pestaña Elementos.
8 Filtros de procedimiento
Para abrir el menú Filtro de procedimiento, haz clic en el ícono de Filtro de procedimiento en la Vista de usuario y filtra la información del usuario según una variedad de características. Por ejemplo, puedes filtrar en Ubicación principal para examinar la ubicación geográfica de los intentos de acceso del usuario. Puede indicar que un usuario está accediendo desde ubicaciones inusuales.
Filtrado de procedimientos en la ubicación principal