Examiner un utilisateur

La vue utilisateur Chronicle permet aux clients de mieux comprendre l'impact des événements liés à la sécurité sur les utilisateurs d'une entreprise. En se concentrant sur le comportement des utilisateurs individuels, les administrateurs de sécurité peuvent rechercher des activités indiquant un piratage de compte ou d'autres problèmes de sécurité. Assurez-vous d'ingérer et de normaliser les données des appareils de votre réseau (environnements EDR, de pare-feu, proxy Web, contexte utilisateur, authentification, etc.).

Rechercher un utilisateur

Pour ouvrir la vue "Utilisateur" dans Chronicle, saisissez le nom ou l'adresse e-mail d'un utilisateur de votre entreprise dans le champ de recherche. Si l'utilisateur est présent dans votre compte Chronicle, il apparaît en tant que résultat. Cliquez sur le nom d'utilisateur pour accéder à la vue "Utilisateur".

Vous pouvez également accéder à la vue "Utilisateur" à partir du panneau "Alertes récentes" de la vue "Statistiques d'entreprise". En plus des éléments, il existe une colonne pour les utilisateurs affectés par des alertes.

Vue utilisateur Analyser l'activité des utilisateurs avec la vue "Utilisateur"

Alias d'affichage utilisateur

L'affichage des utilisateurs inclut une fonctionnalité d'alias qui assure la duplication des événements et ne permet pas d'effectuer des recherches plus facilement dans votre compte Chronicle. Par exemple, si l'un de vos collaborateurs s'appelle Dennis, et que son identifiant est dennis, et que son adresse e-mail est dennis@altostrat.com, et que vous recherchez dennis dans Chronicle, les événements dennis et dennis@altostrat.com affichent tous les deux rendu.

Fonctionnalités d'affichage des utilisateurs

L'affichage utilisateur inclut de nombreuses fonctionnalités et commandes d'interface utilisateur vous permettant d'examiner de plus près les données utilisateur au sein de votre entreprise. Certaines de ces fonctionnalités sont uniques à la vue "Utilisateur", et d'autres sont partagées avec les autres vues d'événements Chronicle (vue du domaine, vue des adresses IP, etc.).

Vue utilisateur avec accroches Fonctionnalités de la vue utilisateur Chronicle

1 Informations utilisateur

Affiche des informations sur l'utilisateur stockées dans les systèmes informatiques de votre entreprise (par exemple, Active Directory, Workday, Okta, etc.).

Sélection de deux dates

Utilisez les flèches vers la gauche et vers la droite pour examiner les événements associés à l'utilisateur sur un intervalle d'une semaine calendaire (du samedi au dimanche). Si aucune donnée n'est disponible pour la période actuellement affichée, les options "Vu pour la première fois" et "Dernière connexion" s'affichent pour passer rapidement de la vue à une période pertinente.

Carte de densité du dégradé 3

La carte de densité du graphique en affichage affiche une vue globale de l'activité des utilisateurs au cours de la période concernée. Chaque carré indique une heure de la journée (UTC) correspondant à l'activité enregistrée par l'utilisateur au cours de la période. Ce graphique vous permet de localiser les activités anormales ou atypiques des utilisateurs.

Si vous cliquez sur un carré, la date de l'activité s'affiche. Lorsque vous cliquez sur cette date à partir de la fenêtre pop-up verte, vous accédez à l'heure des événements sélectionnés dans vos trajets.

La couleur de chaque carré varie du noir aux nuances de gris au blanc:

  • Les carrés noirs indiquent l'absence d'activité de l'utilisateur.

  • Les cases blanches indiquent les activités fréquentes des utilisateurs.

  • Les carrés gris foncé à gris clair indiquent un niveau d'activité croissant avec des nuances de gris foncé représentant moins d'activités et des nuances de gris plus représentant un niveau supérieur.

Par exemple, un utilisateur est actif de façon routinière pendant les heures de travail normales et n'est jamais actif tard le soir ou le week-end. Cependant, cet utilisateur est récemment devenu actif tous les jours à 3 h du matin. La carte de densité du gradient vous permet de localiser rapidement ce type d'activité atypique.

Décalage par quatre axes des abscisses

Par défaut, la vue "Utilisateur" centre la carte de densité du gradient à 12h UTC. À l'aide de la commande "Maj" de l'axe X, vous pouvez centrer la carte de densité des mouvements jusqu'à 12 heures avant ou après 12:00. Vous pouvez ainsi vous concentrer sur les périodes atypiques. Par exemple, vous pouvez définir l'heure sur 00 UTC (minuit) de manière à vous concentrer sur l'activité des utilisateurs en fin de journée et en début de matinée, comme illustré sur ces chiffres.

Définir le contrôle du direct de l'axe X sur +12 Définir le décalage temporel de l'axe X sur +12

Décalage temporel de l'axe X défini sur +12 Décalage temporel de l'axe X défini sur +12

5 Chronologie et éléments

Les onglets Timeline et éléments sont également disponibles dans la vue "Utilisateur". Comme pour les autres vues Chronicle, l'onglet Timeline répertorie les événements par ordre chronologique, et l'onglet Assets répertorie les éléments associés à l'utilisateur par ordre alphabétique ou numérique. Les éléments affichés correspondent à l'activité de cet utilisateur dans votre entreprise. Ils sont limités par la période spécifiée.

Utilisez les onglets suivants:

  • Onglet "Timeline" : le fait de sélectionner un événement dans l'onglet "Timeline" met également en surbrillance l'événement correspondant sur la carte de densité du dégradé (en vert). Les alertes sont signalées par un triangle rouge et un texte en rouge.

  • Onglet "Élément" : le fait de sélectionner un élément apparaît en vert dans l'onglet "Élément", et toutes les activités impliquant cet élément sont également mises en évidence en vert dans la carte de densité du dégradé. Pour passer à la vue "Éléments", vous pouvez cliquer sur le premier et le dernier accès à cet onglet.

6 Filtrage procédural

Pour ouvrir le menu Filtrage procédural, cliquez sur l'icône Filtrage procédural dans la vue utilisateur, puis filtrez les informations utilisateur selon différentes caractéristiques. Par exemple, vous pouvez filtrer sur l'emplacement principal pour examiner l'emplacement géographique des tentatives de connexion de l'utilisateur. Cela peut indiquer qu'un utilisateur se connecte depuis un emplacement inhabituel.

Filtrage procédural sur l'emplacement principal

Filtrage procédural sur l'emplacement principal

7 alertes utilisateur

Les alertes de sécurité utilisateur sont capturées par Chronicle et s'affichent ici. Vous pouvez cliquer sur les liens associés pour examiner l'alerte plus en détail.