Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Enquêter sur un utilisateur

La vue Utilisateur Chronicle permet aux clients de mieux comprendre l'impact des événements de sécurité sur les utilisateurs de leur entreprise. En se concentrant sur le comportement des utilisateurs individuels, les administrateurs peuvent rechercher les activités indiquant un piratage de compte ou d'autres problèmes de sécurité. Assurez-vous d'ingérer et de normaliser les données des appareils de votre réseau, telles que EDR, pare-feu, proxy Web, contexte utilisateur, authentification, etc.

Rechercher un utilisateur

Pour ouvrir la vue "Utilisateur" dans Chronicle, saisissez le nom d'utilisateur ou l'adresse e-mail d'un utilisateur de votre entreprise dans le champ de recherche. Si l'utilisateur est présent dans votre compte Chronicle, il s'affiche dans les résultats. Cliquez sur le nom d'utilisateur pour basculer vers la vue "Utilisateur".

Vous pouvez également y accéder depuis le panneau "Alertes récentes" de la vue Enterprise Insights. En plus des éléments, il existe une colonne pour les utilisateurs affectés par les alertes.

Vue utilisateur Analyser l'activité des utilisateurs avec la vue "Utilisateur"

Alias d'affichage de l'utilisateur

La vue utilisateur inclut une fonctionnalité d'alias qui garantit que les événements associés à un utilisateur unique ne sont pas dupliqués et qu'il est plus facile d'effectuer des recherches dans votre compte Chronicle. Par exemple, si vous avez un employé nommé Dennis dont l'identifiant utilisateur est dennis et dont l'adresse e-mail est dennis@altostrat.com, et si vous recherchez dennis dans Chronicle, les événements pour dennis et dennis@altostrat.com s'affichent.

Fonctionnalités d'affichage utilisateur

La vue utilisateur comprend de nombreuses fonctionnalités et commandes d'interface utilisateur qui vous permettent d'examiner plus en détail les données utilisateur au sein de votre entreprise. Certaines de ces fonctionnalités sont propres à la vue "Utilisateur", tandis que d'autres sont partagées avec les autres vues d'événements Chronicle (vue du domaine, adresse IP, etc.).

Vue utilisateur avec accroches Fonctionnalités de la vue utilisateur Chronicle

1 informations sur l'utilisateur

Affiche des informations sur l'utilisateur stocké dans les systèmes informatiques de votre entreprise (par exemple, Active Directory, Workday, Okta, etc.).

2 Sélection de la date

Utilisez les flèches gauche et droite pour examiner les événements associés à l'utilisateur sur un intervalle d'une semaine calendaire (du samedi au dimanche). Si aucune donnée n'est disponible pour la période affichée, les options "Première occurrence" et "Dernière occurrence" vous sont proposées pour déplacer rapidement la vue vers une période appropriée.

Décalage temporel à trois axes

Par défaut, la vue "Utilisateur" est centrée sur la carte de densité du gradient à 12h UTC. Avec la commande de décalage temporel de l'axe X, vous pouvez centrer la carte de densité jusqu'à 12 heures avant ou après 12 h 00. Vous pouvez ainsi vous concentrer sur des périodes atypiques pour l'utilisateur. Par exemple, vous pouvez définir l'affichage sur 0:00 UTC (minuit) pour vous concentrer sur l'activité des utilisateurs en fin de soirée et en début de matinée, comme illustré dans ces figures.

Définition du décalage horaire sur +12 Définition du décalage temporel sur l'axe X sur +12

Décalage horaire de l'axe X défini sur +12 Décalage de l'axe des abscisses défini sur +12

Carte de densité à 4 gradients

La carte de densité du gradient de vue utilisateur affiche une vue cumulée de l'activité des utilisateurs au cours de la période que vous examinez. Chaque carré indique une heure de la journée (UTC) pour une activité d'utilisateur enregistrée au cours de la période. Ce graphique vous permet de localiser les activités anormales ou atypiques de l'utilisateur.

Cliquez sur un carré pour afficher la date de l'activité. Si vous cliquez sur cette date dans le pop-up vert, vous accédez à cette heure d'événements dans la chronologie.

La couleur de chaque carré varie du noir au gris:

  • Les carrés noirs indiquent l'absence d'activité de l'utilisateur.

  • Les carrés blancs indiquent les activités fréquentes des utilisateurs.

  • Les carrés de gris foncé à gris clair indiquent une augmentation de l'activité, les nuances de gris foncé représentant une activité réduite et les nuances de gris clair représentant un niveau d'activité plus élevé.

Par exemple, un utilisateur est régulièrement actif pendant les heures de travail normales et n'est jamais actif tard le soir ni le week-end. Cet utilisateur est toutefois devenu actif tous les jours à 3 heures du matin. La carte de densité du gradient vous permet de trouver rapidement ce type d'activité atypique.

5 alertes utilisateur

Les alertes de sécurité des utilisateurs sont capturées par Chronicle et affichées ici. Vous pouvez cliquer sur les liens associés pour examiner plus en détail l'alerte.

7 colonnes

Personnalisez les colonnes affichées dans l'onglet Chronologie.

6 Chronologie et éléments

Les onglets Chronologie et éléments sont également disponibles dans la vue "Utilisateur". Comme pour les autres vues Chronicle, l'onglet Chronologie liste les événements par ordre chronologique, tandis que l'onglet Éléments liste les éléments associés à l'utilisateur par ordre alphabétique ou numérique. Les assets affichés correspondent à l'activité de cet utilisateur au sein de votre entreprise et sont limités par la période indiquée.

Utilisez ces onglets comme suit:

  • Onglet "Chronologie" : la sélection d'un événement dans l'onglet "Chronologie" met également en surbrillance l'événement correspondant sur la carte de densité du gradient (vert). Les alertes sont indiquées par un triangle rouge et un texte en rouge.

  • Onglet "Asset" (Actif) : lorsque vous sélectionnez un asset, il est mis en surbrillance en vert dans l'onglet "Asset" (Assets). De plus, toutes les activités qui y sont liées sont également mises en surbrillance en vert sur la carte de dégradé dégradé. Vous pouvez passer à la vue "Éléments" en cliquant sur le premier ou le dernier accès dans l'onglet "Éléments".

8 Filtrage procédural

Vous pouvez ouvrir le menu Filtrage procédural en cliquant sur l'icône Filtrage procédural dans "Affichage des utilisateurs" et en filtrant les informations utilisateur selon différentes caractéristiques. Par exemple, vous pouvez filtrer les données en fonction de la position principale pour examiner l'emplacement géographique des tentatives de connexion de l'utilisateur. Cela peut indiquer qu'un utilisateur se connecte depuis des emplacements inhabituels.

Filtrage procédural sur l'emplacement principal

Filtrage procédural sur l'emplacement principal