Indagine su un utente

La visualizzazione Utente di Chronicle consente ai clienti di comprendere meglio in che modo gli eventi di sicurezza subiscono l'impatto degli eventi di sicurezza all'interno di un'azienda. Concentrandosi sul comportamento dei singoli utenti, gli amministratori della sicurezza possono cercare attività che indichino la compromissione di un account o altri problemi di sicurezza. Assicurati di importare e normalizzare i dati dei dispositivi in rete, ad esempio EDR, firewall, proxy web, contesto utente, autenticazione e così via.

Cerca un utente

Per aprire la visualizzazione Utente in Chronicle, inserisci il nome utente o l'indirizzo email di un utente della tua azienda nel campo di ricerca. Se l'utente è presente nel tuo account Chronicle, viene visualizzato di conseguenza. Fai clic sul nome utente da utilizzare per la visualizzazione Utente.

Alias visualizzazione utente

La vista Utente include una funzionalità di aliasing degli utenti per garantire che gli eventi associati a un singolo utente non vengano duplicati e che siano più facili da cercare nel tuo account Chronicle. Ad esempio, se hai un dipendente di nome Dennis, il cui identificatore utente è dennis e l'indirizzo email dennis@altostrat.com e cerchi dennis in Chronicle, vengono restituiti gli eventi sia per dennis che per dennis@altostrat.com.

Funzionalità di visualizzazione utente

La vista Utente include molte funzionalità e controlli dell'interfaccia utente che ti consentono di esaminare più da vicino i dati utente all'interno della tua azienda. Alcune di queste funzionalità sono specifiche per la visualizzazione Utente, mentre altre sono condivise con le altre visualizzazioni eventi Chronicle (Visualizzazione dominio, Visualizzazione indirizzo IP e così via).

Visualizzazione utente con callout Funzionalità di visualizzazione utente di Chronicle

1 Informazioni utente

Visualizza le informazioni sull'utente archiviate all'interno dei sistemi IT della tua azienda (ad esempio Active Directory, Workday, Okta e così via).

2 Selezione della data

Utilizza le frecce destra e sinistra per esaminare gli eventi associati all'utente in un intervallo di una settimana di calendario (da sabato a domenica). Se nel periodo di tempo visualizzato non sono disponibili dati, hai a disposizione le opzioni Primo accesso e Ultimo accesso per spostare rapidamente la visualizzazione su un periodo di tempo pertinente.

Spostamento temporale su 3 assi X

Per impostazione predefinita, la sezione Utente visualizza la mappa termica Gradient al centro della mappa a 12:00 UTC (mezzogiorno). Utilizzando il controllo Time Shift sull'asse X, puoi centrare la mappa termica fino a 12 ore prima o dopo le 12:00. In questo modo puoi concentrarti su periodi di tempo atipici per l'utente. Ad esempio, puoi spostare il display a 0:00 UTC (mezzanotte) per concentrarti sull'attività utente in tarda sera e nelle prime ore del mattino, come mostrato in queste figure.

Impostazione di Spostamento tempo asse X su +12 Impostare lo spostamento orario dell'asse X su +12

Spostamento tempo asse X impostato su +12 Timeshift sull'asse X impostato su +12

Mappa termica gradiente 4

La visualizzazione Utente della mappa termica Gradient mostra una visualizzazione aggregata dell'attività utente nel periodo di tempo che stai esaminando. Ogni quadrato indica un'ora del giorno (UTC) relativa all'attività utente registrata nel periodo di tempo. Questo grafico ti consente di individuare attività utente insolite o atipiche.

Se fai clic su un quadrato viene visualizzata la data dell'attività, mentre se fai clic su quella data dal popover verde vieni indirizzato all'ora degli eventi corrispondenti nellaTimelinea.

Il colore di ogni quadrato varia dal nero alle sfumature del grigio e al bianco:

  • I quadrati neri indicano che non è presente alcuna attività utente'utente.

  • I quadrati bianchi indicano un'attività frequente dell'utente.

  • I quadrati da grigio scuro a grigio chiaro indicano livelli crescenti di attività, con tonalità di grigio scure che rappresentano una minore attività e sfumature di grigio che rappresentano di più.

Ad esempio, un utente è regolarmente attivo durante il normale orario di lavoro e non è mai attivo di notte o nei fine settimana. Tuttavia, di recente questo utente è diventato attivo ogni giorno alle 03:00. La mappa termica Gradient ti consente di individuare rapidamente questo tipo di attività atipica.

5 avvisi per gli utenti

Gli avvisi di sicurezza degli utenti vengono acquisiti da Chronicle e visualizzati qui. Puoi fare clic sui link associati per esaminare ulteriormente l'avviso.

7 colonne

Personalizza le colonne visualizzate nella scheda Sequenza temporale.

6 Timeline e asset

Le schede Sequenza temporale e Asset sono disponibili anche nella visualizzazione Utente. Come per le altre visualizzazioni di Chronicle, la scheda Sequenza temporale elenca gli eventi in ordine cronologico, mentre nella scheda Asset gli asset associati all'utente in ordine alfabetico o numerico. Gli asset visualizzati corrispondono all'attività di questo utente specifico nella tua azienda ed sono limitati dal periodo di tempo specificato.

Utilizza queste schede nel seguente modo:

  • Scheda Sequenza temporale: se selezioni un evento nella scheda Timeline, viene evidenziato in verde anche l'evento corrispondente nella mappa termica gradiente. Gli avvisi sono indicati da un triangolo rosso e dal testo rosso.

  • Scheda Asset: se selezioni un asset, questo viene evidenziato in verde nella scheda Risorsa e tutte le attività che lo riguardano vengono evidenziate in verde nella Mappa termica della sfumatura. Puoi passare alla visualizzazione Asset facendo clic sul primo o sull'ultimo accesso nella scheda Asset.

8 Filtro procedurale

Puoi aprire il menu Filtro procedurale facendo clic sull'icona Filtro procedurale nella visualizzazione Utente e filtrare le informazioni dell'utente in base a una serie di caratteristiche. Ad esempio, puoi filtrare in base a Località principale per esaminare la posizione geografica dei tentativi di accesso dell'utente. Potrebbe indicare che un utente sta eseguendo l'accesso da posizioni insolite.

Filtro procedurale sulla località dell'entità

Filtro procedurale sulla località dell'entità

Considerazioni

La visualizzazione utente presenta le seguenti limitazioni:

  • In questa visualizzazione possono essere visualizzati solo 80.000 eventi.
  • Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
  • In questa visualizzazione vengono compilati solo i tipi di eventi utente, email e DNS. Le informazioni visualizzate per la prima volta e per l'ultima volta inserite in questa visualizzazione sono limitate a questi tipi di eventi.
  • Gli eventi generici non vengono mostrati in nessuna delle viste selezionate. Appaiono solo nelle ricerche di log non elaborati e UDM.