Indagine di un utente

La visualizzazione utente di Chronicle consente ai clienti di capire meglio in che modo gli eventi di sicurezza influenzano gli utenti di un'azienda. Concentrandosi sul comportamento dei singoli utenti, gli amministratori della sicurezza possono cercare le attività che indicano una violazione dell'account o altri problemi di sicurezza. Assicurati di importare e normalizzare i dati dai dispositivi nella rete, ad esempio EDR, firewall, proxy web, contesto utente, autenticazione e così via.

Cerca un utente

Per aprire la visualizzazione Utente in Chronicle, inserisci il nome utente o l'indirizzo email di un utente all'interno della tua azienda nel campo Cerca. Se l'utente è presente nel tuo account Chronicle, verrà visualizzato come risultato. Fai clic sul nome utente per passare alla visualizzazione Utente.

Puoi accedere a questa visualizzazione anche dal riquadro Avvisi recenti nella visualizzazione degli insight di Enterprise. In aggiunta agli asset, è presente una colonna per gli utenti interessati dagli avvisi.

Visualizzazione utente Analizzare l'attività utente con la visualizzazione Utente

Alias di visualizzazione utente

La visualizzazione utente include una funzione di alias per garantire che gli eventi associati a un singolo utente non vengano duplicati e siano più facili da cercare nel tuo account Chronicle. Ad esempio, se hai un dipendente di nome Dennis il cui identificatore utente è dennis e il cui indirizzo email è dennis@altostrat.com e cerchi dennis in Chronicle, vengono restituiti eventi sia per dennis che per dennis@altostrat.com.

Funzionalità di visualizzazione utente

La visualizzazione utente include molte funzionalità e controlli dell'interfaccia utente che ti consentono di esaminare in maniera più approfondita i dati utente nella tua azienda. Alcune di queste funzionalità sono specifiche della visualizzazione utente, mentre altre sono condivise con le altre visualizzazioni eventi Chronicle (visualizzazione dominio, visualizzazione indirizzo IP e così via).

Visualizzazione utente con callout Funzionalità di visualizzazione di Chronicle User

1 Informazioni utente

Mostra le informazioni sull'utente memorizzato nei sistemi IT aziendali (ad esempio, Active Directory, Workday, Okta e così via).

2 Selezione della data

Utilizza le Frecce sinistra e destra per esaminare gli eventi associati all'utente in un intervallo di una settimana di calendario (da Sabato a Domenica). Se non sono disponibili dati nel periodo di tempo visualizzato, hai a disposizione opzioni per la prima visualizzazione e l'ultima occorrenza per passare rapidamente alla visualizzazione corrispondente a un periodo di tempo pertinente.

Mappa termica con gradiente

La mappa termica del gradiente di visualizzazione utente mostra un'aggregazione dell'attività utente nel periodo di tempo che stai analizzando. Ogni quadrato indica un'ora del giorno (UTC) per un'attività utente registrata nel periodo di tempo in questione. Questo grafico consente di individuare attività utente atipiche o atipiche.

Se fai clic su un quadrato, viene mostrata la data dell'attività, quindi fai clic su tale data nel popover verde per accedere a quell'ora di eventi nella cronologia.

Il colore di ciascun quadrato varia da nero a tonalità di grigio e bianco:

  • I quadrati neri indicano che non ci sono attività degli utenti.

  • I quadrati bianchi indicano attività frequenti degli utenti.

  • I quadrati di colore grigio scuro e grigio chiaro indicano livelli crescenti di attività con tonalità di grigio scuro che rappresentano meno attività e tonalità di grigio chiare che rappresentano di più.

Ad esempio, un utente è regolarmente attivo durante il normale orario di lavoro e non è mai attivo a tarda notte o nei fine settimana. Tuttavia, questo utente è diventato di recente attivo ogni giorno alle 03:00. La mappa termica con gradiente ti consente di individuare velocemente questo tipo di attività atipica.

Variazione dell'asse X di 4

Per impostazione predefinita, la Visualizzazione utenti centra la mappa termica del gradiente alle 12:00 UTC (mezzogiorno). Utilizzando il controllo del fuso orario dell'asse X, puoi centrare la mappa termica fino a 12 ore prima o dopo le 12:00. In questo modo puoi concentrarti sui periodi atipici per l'utente. Ad esempio, puoi spostare la visualizzazione su 0:00 UTC (mezzanotte) per concentrarti sull'attività degli utenti nella tarda serata e nelle prime ore del mattino come mostrato in queste cifre.

Imposto il fuso orario dell'asse X su +12 Impostazione del passaggio di tempo all'asse X su +12

Variazione temporale dell'asse X impostata su +12 Variazione temporale dell'asse X impostata su +12

5 Cronologia e asset

Le schede Spostamenti e asset sono disponibili anche nella visualizzazione Utente. Come per le altre visualizzazioni di Chronicle, nella scheda Spostamenti sono elencati gli eventi in ordine cronologico, mentre la scheda Asset elenca gli asset associati all'utente in ordine alfabetico o numerico. Gli asset visualizzati corrispondono all'attività di questo utente specifico all'interno della tua azienda e sono limitati dal periodo di tempo specificato.

Utilizza queste schede come segue:

  • Scheda Sequenza temporale: la selezione di un evento nella scheda Sequenza temporale evidenzia anche l'evento corrispondente nella Mappa termica sfumatura in verde. Gli avvisi sono indicati da un triangolo rosso e da un testo rosso.

  • Scheda Asset: se selezioni un asset, questo viene evidenziato in verde nella scheda Asset e tutte le attività che lo riguardano vengono evidenziate in verde nella mappa termica del gradiente. Puoi passare a questa visualizzazione facendo clic sulla prima scheda di asset a cui hai eseguito l'accesso o l'ultimo accesso nella scheda Asset.

6 Filtraggio procedurale

Puoi aprire il menu Filtraggio procedurale facendo clic sull'icona di Filtraggio procedurale in Visualizza utente e filtra le informazioni dell'utente in base a una serie di caratteristiche. Ad esempio, puoi filtrare in base alla posizione principale per esaminare la posizione geografica dei tentativi di accesso dell'utente. Potrebbe indicare che un utente esegue l'accesso da località insolite.

Filtraggio procedurale nella località principale

Filtraggio procedurale nella località dell'entità

7 avvisi utente

Gli avvisi sulla sicurezza degli utenti vengono acquisiti da Chronicle e mostrati qui. Puoi fare clic sui link associati per esaminare ulteriormente l'avviso.