Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Indagine su un utente

La visualizzazione Utente di Chronicle consente ai clienti di comprendere meglio in che modo gli utenti di un'azienda sono interessati da eventi di sicurezza. Concentrandosi sul comportamento dei singoli utenti, gli amministratori della sicurezza possono cercare attività che indichino una compromissione dell'account o altri problemi di sicurezza. Assicurati di importare e normalizzare i dati da dispositivi sulla rete, ad esempio EDR, firewall, proxy web, contesto utente, autenticazione e così via.

Cerca un utente

Per aprire la Vista utente in Chronicle, inserisci nel campo di ricerca il nome utente o l'indirizzo email di un utente della tua azienda. Se l'utente è presente nel tuo account Chronicle, viene visualizzato di conseguenza. Fai clic sul nome utente per passare alla visualizzazione Utente.

Puoi accedere alla visualizzazione Utente anche dal riquadro Avvisi recenti nella visualizzazione Approfondimenti Enterprise. Oltre agli asset, viene visualizzata una colonna per gli utenti interessati dagli avvisi.

Vista utente Analizza l'attività utente con la Vista utente

Alias visualizzazione utente

La visualizzazione Utente include una funzionalità di alias utente per garantire che gli eventi associati a un singolo utente non vengano duplicati e siano più facili da cercare nell'account Chronicle. Ad esempio, se hai un dipendente di nome Dennis il cui identificatore utente è dennis e il cui indirizzo email è dennis@altostrat.com e cerchi dennis in Chronicle, vengono restituiti eventi sia per dennis che per dennis@altostrat.com.

Funzioni di visualizzazione utente

La vista utente include molte funzionalità e controlli dell'interfaccia utente che ti consentono di esaminare più da vicino i dati utente all'interno della tua azienda. Alcune di queste funzionalità sono specifiche per la vista Utente, mentre altre sono condivise con le altre visualizzazioni di eventi Chronicle (Domain View, IP Address View ecc.).

Visualizzazione utente con callout Funzionalità di visualizzazione utente di Chronicle

1 informazioni degli utenti

Visualizza le informazioni sull'utente archiviate nei tuoi sistemi IT aziendali (ad esempio, Active Directory, Workday, Okta ecc.).

2 Selezione data

Utilizza le frecce sinistra e destra per esaminare gli eventi associati all'utente in un intervallo di calendario di una settimana (da sabato a domenica). Se non sono disponibili dati nel periodo di tempo attualmente visualizzato, ti vengono offerte le opzioni Prima visualizzazione e Ultima visualizzazione per passare rapidamente alla visualizzazione a un periodo di tempo pertinente.

Variazione del tempo dell'asse X a 3 assi

Per impostazione predefinita, la vista utente centra la mappa termica sfumatura alle 12:00 UTC (mezzogiorno). Utilizzando il controllo Variazione orari dell'asse X, puoi centrare la mappa termica fino a 12 ore prima o dopo le 12:00. In questo modo puoi concentrarti sui periodi di tempo atipici per l'utente. Ad esempio, potresti spostare l'ora a 0:00 UTC (mezzanotte) per concentrarti sull'attività degli utenti a tarda notte e la mattina presto, come mostrato in queste cifre.

Imposta lo spostamento del tempo sull'asse X su +12 Impostazione della variazione del tempo sull'asse X su +12

TimeShift asse X impostato su +12 Variazione temporale dell'asse X impostata su +12

4 Mappa termica con sfumatura

La mappa termica della sfumatura Visualizzazione utente mostra una visualizzazione aggregata dell'attività utente nel periodo di tempo in esame. Ogni quadrato indica un'ora del giorno (UTC) per un'attività utente registrata nel periodo di tempo stabilito. Questo grafico ti consente di individuare attività utente anomale o atipiche.

Fai clic su un quadrato per visualizzare la data dell'attività, quindi fai clic su quella data nel popover verde per accedere a quell'ora degli eventi in Spostamenti.

Il colore di ogni quadrato varia dal nero alle sfumature di grigio e al bianco:

  • I riquadri neri indicano nessuna attività utente.

  • I riquadri bianchi indicano attività frequente degli utenti.

  • I riquadri da grigio scuro a grigio chiaro indicano livelli crescenti di attività, con tonalità scure di grigio che rappresentano meno attività e sfumature di grigio chiaro che rappresentano di più.

Ad esempio, un utente è regolarmente attivo durante il normale orario di lavoro e mai attivo di notte o nei fine settimana. Tuttavia, questo utente è diventato attivo di recente ogni giorno alle 3 del mattino. La mappa termica sfumatura ti consente di individuare rapidamente questo tipo di attività atipica.

5 avvisi utente

Gli avvisi di sicurezza relativi agli utenti vengono acquisiti da Chronicle e visualizzati qui. Puoi fare clic sui link associati per ulteriori accertamenti.

7 colonne

Personalizza le colonne visualizzate nella scheda Sequenza temporale.

6 Sequenza temporale e asset

Nella scheda Utente sono disponibili anche le schede Sequenza temporale e asset. Come per le altre visualizzazioni Chronicle, la scheda Sequenza temporale elenca gli eventi in ordine cronologico, mentre la scheda Risorse elenca gli asset associati all'utente in ordine alfabetico o numerico. Gli asset visualizzati corrispondono all'attività di questo utente specifico all'interno dell'azienda e sono limitati dal periodo di tempo specificato.

Utilizza queste schede come segue:

  • Scheda Cronologia: selezionando un evento nella scheda Cronologia, viene evidenziato anche l'evento corrispondente nella mappa termica con sfumatura in verde. Gli avvisi sono indicati da un triangolo rosso e da un testo rosso.

  • Scheda Asset: la selezione di un asset lo evidenzia in verde nella scheda Asset e tutte le attività che lo coinvolgono vengono evidenziate in verde anche nella mappa termica con sfumatura. Puoi passare alla visualizzazione Asset facendo clic sul primo accesso o sull'ultimo accesso nella scheda Asset.

8 Filtri procedurali

Puoi aprire il menu Filtro procedurale facendo clic sull'icona Filtro filtro procedurale in Visualizzazione utente e filtra le informazioni dell'utente in base a una serie di caratteristiche. Ad esempio, potresti filtrare in base alla posizione principale per esaminare la posizione geografica dei tentativi di accesso dell'utente. Questo potrebbe indicare che un utente esegue l'accesso da posizioni insolite.

Filtro procedurale per località principale

Filtri procedurali sulla località principale