Menyelidiki pengguna
Dengan tampilan User Chronicle, pelanggan dapat lebih memahami dampak peristiwa keamanan terhadap pengguna dalam perusahaan. Dengan berfokus pada perilaku setiap pengguna, administrator keamanan dapat menelusuri aktivitas yang menunjukkan penyusupan akun atau masalah keamanan lainnya. Pastikan Anda menyerap dan menormalkan data dari perangkat di jaringan Anda, seperti EDR, firewall, proxy web, konteks pengguna, dan autentikasi, dll.
Cari pengguna
Untuk membuka tampilan User di Chronicle, masukkan nama pengguna atau alamat email pengguna dalam perusahaan Anda di kolom Penelusuran. Jika pengguna ada dalam akun Chronicle Anda, pengguna tersebut akan ditampilkan sebagai hasilnya. Klik nama pengguna untuk beralih ke tampilan Pengguna.
Pembuatan alias tampilan pengguna
User menyertakan fitur alias pengguna untuk memastikan peristiwa yang terkait dengan
satu pengguna tidak diduplikasi dan lebih mudah ditelusuri dalam
akun Chronicle. Misalnya, jika Anda memiliki karyawan bernama Dennis
yang ID penggunanya adalah dennis
dan yang emailnya dennis@altostrat.com
dan
Anda menelusuri dennis
di Chronicle, peristiwa untuk dennis
dan
dennis@altostrat.com
akan ditampilkan.
Fitur tampilan pengguna
Tampilan Pengguna mencakup banyak fitur dan kontrol antarmuka pengguna agar Anda dapat memeriksa data pengguna dalam perusahaan secara lebih mendalam. Beberapa fitur ini bersifat unik untuk tampilan User dan beberapa dibagikan dengan tampilan peristiwa Chronicle lainnya (Tampilan Domain, Tampilan Alamat IP, dll.).
Fitur tampilan Pengguna Chronicle
1 Informasi pengguna
Menampilkan informasi tentang pengguna yang disimpan dalam sistem IT perusahaan Anda (misalnya, Active Directory, Workday, Okta, dll.).
2 Pemilihan tanggal
Gunakan panah kiri dan kanan untuk memeriksa peristiwa yang terkait dengan pengguna selama interval satu minggu kalender (Sabtu sampai Minggu). Jika tidak ada data yang tersedia dalam jangka waktu yang ditampilkan, Anda diberi opsi First Seen dan Last Seen untuk menggeser tampilan dengan cepat ke jangka waktu yang relevan.
3 pergeseran waktu sumbu X
Secara default, tampilan Pengguna akan memusatkan Peta Panas Gradien pada pukul 12.00 UTC (tengah hari). Dengan kontrol Pergeseran Waktu Sumbu X, Anda dapat memusatkan Peta Panas hingga 12 jam sebelum atau setelah pukul 12.00. Hal ini memungkinkan Anda berfokus pada jangka waktu yang tidak biasa bagi pengguna. Misalnya, Anda dapat mengubah waktu layar ke pukul 00.00 UTC (tengah malam) untuk berfokus pada aktivitas pengguna di sore hari dan pagi hari seperti ditunjukkan dalam gambar ini.
Menetapkan pergeseran waktu Sumbu X ke +12
4 Heat map gradien
Peta Panas Gradien tampilan Pengguna menampilkan tampilan gabungan aktivitas pengguna selama jangka waktu yang Anda selidiki. Setiap kotak menunjukkan satu jam dalam sehari (UTC) untuk aktivitas pengguna yang dicatat dalam log di seluruh jangka waktu. Diagram ini memungkinkan Anda menemukan aktivitas pengguna yang tidak biasa atau tidak biasa.
Mengklik persegi akan menampilkan tanggal aktivitas dan mengklik tanggal tersebut dari popover hijau akan membawa Anda ke peristiwa jam tersebut di Linimasa.
Warna setiap kotak bervariasi dari hitam melalui nuansa abu-abu hingga putih:
Kotak hitam menunjukkan tidak ada aktivitas pengguna.
Kotak putih menunjukkan aktivitas pengguna yang sering.
Persegi abu-abu tua hingga abu-abu muda menunjukkan peningkatan tingkat aktivitas dengan warna abu-abu gelap yang mewakili lebih sedikit aktivitas dan warna abu-abu muda yang lebih mewakili lebih banyak aktivitas.
Misalnya, pengguna aktif secara rutin selama jam kerja normal dan tidak pernah aktif saat larut malam atau akhir pekan. Namun, pengguna ini baru saja aktif setiap hari pada pukul 03.00. Peta Panas Gradien memungkinkan Anda menemukan jenis aktivitas tidak biasa ini dengan cepat.
5 Notifikasi pengguna
Notifikasi keamanan pengguna disimpan oleh Chronicle dan ditampilkan di sini. Anda dapat mengklik link terkait untuk menyelidiki pemberitahuan lebih lanjut.
7 Kolom
Sesuaikan kolom yang ditampilkan di tab Linimasa.
6 Linimasa dan aset
Tab Linimasa dan Aset juga tersedia dalam tampilan Pengguna. Seperti tampilan Chronicle lainnya, tab Linimasa mencantumkan peristiwa secara kronologis dan tab Assets mencantumkan aset yang terkait dengan pengguna menurut abjad atau numerik. Aset yang ditampilkan sesuai dengan aktivitas pengguna spesifik ini dalam perusahaan Anda, dan dibatasi oleh jangka waktu yang ditentukan.
Gunakan tab ini sebagai berikut:
Tab Linimasa: Memilih peristiwa di tab Linimasa juga akan menandai peristiwa yang sesuai di Peta Panas Gradien dengan warna hijau. Peringatan ditunjukkan dengan segitiga merah dan teks merah.
Tab Aset: Memilih aset akan menandainya dengan warna hijau di tab Aset dan semua aktivitas yang melibatkan aset tersebut juga akan ditandai dengan warna hijau di Peta Panas Gradien. Anda dapat beralih ke tampilan Aset dengan mengklik link yang pertama kali diakses atau terakhir diakses di tab Aset.
8 Penyaringan prosedural
Anda dapat membuka menu Procedural Filtering dengan mengklik ikon Prosedur Filtering di tampilan User dan memfilter informasi pengguna berdasarkan berbagai karakteristik. Misalnya, Anda dapat memfilter Lokasi Utama untuk memeriksa lokasi geografis dari upaya login pengguna. Hal ini mungkin menunjukkan bahwa pengguna login dari lokasi yang tidak biasa.
Pemfilteran prosedural pada lokasi utama
Pertimbangan
Tampilan pengguna memiliki batasan berikut:
- Hanya 80 ribu acara yang dapat ditampilkan dalam tampilan ini.
- Anda hanya dapat memfilter acara yang ditampilkan di tampilan ini.
- Hanya jenis peristiwa Pengguna, Email, dan DNS yang diisi di tampilan ini. Informasi yang pertama kali dan terakhir terlihat yang diisi dalam tampilan ini juga terbatas untuk jenis peristiwa ini.
- Peristiwa umum tidak muncul di tampilan hasil seleksi mana pun. Laporan ini hanya muncul di penelusuran log mentah dan UDM.