Esta página foi traduzida pela API Cloud Translation.

Investigar um usuário

Compatível com:

Google SecOps SIEM

A visualização Usuário das Operações de Segurança do Google permite que os clientes entendam melhor como os usuários de uma empresa são afetados por eventos de segurança. Ao se concentrar no comportamento de usuários individuais, os administradores de segurança podem procurar atividades que indiquem comprometimento da conta ou outras questões de segurança. Confira se você está transferindo e normalizando dados de dispositivos na sua rede, como EDR, firewall, proxy da Web, contexto do usuário e autenticação etc.

Pesquisar um usuário

Para abrir a visualização Usuário no Google Security Operations, insira o nome de usuário ou o endereço de e-mail de um usuário da sua empresa no campo "Pesquisar". Se o usuário estiver presente na sua conta de operações de segurança do Google, ele será exibido como resultado. Clique no nome de usuário para mudar para a visualização Usuário.

Alias de visualização do usuário

A visualização Usuário inclui um recurso de pseudônimo para garantir que os eventos associados a um único usuário não sejam duplicados e sejam mais fáceis de pesquisar na sua conta de operações de segurança do Google. Por exemplo, se você tiver um funcionário chamado Dennis, com o identificador de usuário dennis e o e-mail dennis@altostrat.com, e pesquisar dennis nas Operações de segurança do Google, os eventos de dennis e dennis@altostrat.com serão retornados.

Recursos da visualização do usuário

A visualização do usuário inclui muitos recursos e controles da interface do usuário para que você possa examinar mais de perto os dados do usuário na sua empresa. Alguns desses recursos são exclusivos da visualização Usuário e outros são compartilhados com as outras visualizações de eventos das Operações de segurança do Google (visualização de domínio, de endereço IP etc.).

Visualização do usuário com destaques Recursos da visualização do usuário do Google Security Operations

1 Informações do usuário

Mostra informações sobre o usuário armazenado nos sistemas de TI da sua empresa (por exemplo, Active Directory, Workday, Okta etc.).

2 Seleção de data

Use as setas para a esquerda e direita para examinar os eventos associados ao usuário em um intervalo de uma semana (sábado a domingo). Se não houver dados disponíveis no período mostrado, você vai receber as opções "Primeira visualização" e "Última visualização" para mudar rapidamente a visualização para um período relevante.

3 mudanças de tempo no eixo X

Por padrão, a visualização Usuário centraliza o mapa de calor de gradiente às 12h (meio-dia) no horário UTC. Usando o controle de deslocamento no eixo X, você pode centralizar o mapa de calor até 12 horas antes ou depois das 12h. Isso permite que você se concentre em períodos atípicos para o usuário. Por exemplo, você pode mudar o horário da tela para 0h00 UTC (meia-noite) para se concentrar na atividade do usuário no final da noite e no início da manhã, conforme mostrado nestas figuras.

Como definir a mudança de tempo do eixo X como +12 Configuração do deslocamento de tempo do eixo X para +12

4 Mapa de calor em gradiente

O mapa de calor Gradiente da visualização Usuário mostra uma visualização agregada da atividade do usuário no período que você está investigando. Cada quadrado indica uma hora do dia (UTC) para uma atividade de usuário registrada no período. Esse gráfico permite localizar atividades incomuns ou atípicas do usuário.

Clicar em um quadrado mostra a data da atividade, e clicar nessa data no popover verde leva você para essa hora de eventos na linha do tempo.

A cor de cada quadrado varia de preto a tons de cinza e branco:

Os quadrados pretos indicam que não há atividade do usuário.
Os quadrados brancos indicam atividade frequente do usuário.
Os quadrados cinza-escuro a cinza-claro indicam níveis crescentes de atividade, com tons escuros de cinza representando menos atividade e tons claros de cinza representando mais.

Por exemplo, um usuário está ativamente ativo durante o horário normal de trabalho e nunca está ativo tarde da noite ou nos finais de semana. No entanto, esse usuário tem se mostrado ativo todos os dias às 3h. O mapa de calor gradiente permite localizar rapidamente esse tipo de atividade atípica.

5 alertas de usuário

Os alertas de segurança do usuário são capturados pelo Google Security Operations e exibidos aqui. Você pode clicar nos links associados para investigar melhor o alerta.

7 colunas

Personalize as colunas exibidas na guia Cronograma.

6 Cronograma e recursos

As guias Linha do tempo e recursos também estão disponíveis na visualização Usuário. Assim como em outras visualizações do Google Security Operations, a guia Linha do tempo lista os eventos em ordem cronológica, e a guia Recursos lista os recursos associados ao usuário em ordem alfabética ou numérica. Os recursos exibidos correspondem à atividade desse usuário específico na sua empresa e são limitados pelo período especificado.

Use essas guias da seguinte maneira:

Guia Linha do tempo: selecionar um evento na guia "Linha do tempo" também destaca o evento correspondente no mapa de calor de gradiente em verde. Os alertas são indicados por um triângulo e texto vermelhos.
Guia Recurso: ao selecionar um recurso, ele é destacado em verde na guia "Recurso", e todas as atividades envolvendo esse recurso também são destacadas em verde no mapa de calor de gradiente. Para mudar para a visualização de recursos, clique no primeiro ou no último recurso acessado na guia "Recursos".

8 Filtragem processual

Para abrir o menu Filtragem procedural, clique no ícone de filtragem procedural na visualização Usuário e filtre as informações do usuário com base em várias características. Por exemplo, você pode filtrar a localização principal para analisar a localização geográfica das tentativas de login do usuário. Isso pode indicar que um usuário está fazendo login de locais incomuns.

Filtragem processual no local
principal

Filtragem procedural no local principal

Considerações

A visualização do usuário tem as seguintes limitações:

Apenas 80 mil eventos podem ser mostrados nessa visualização.
Só é possível filtrar os eventos que aparecem nessa visualização.
Somente os tipos de evento "Usuário", "E-mail" e "DNS" são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de evento.
Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem apenas em registros brutos e pesquisas de UDM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.