调查用户
借助 Google 安全运营 用户视图,客户可以更好地了解企业用户如何受到安全性事件的影响。通过关注个人用户的行为,安全管理员可以搜索表示账号泄露或其他安全问题的活动。确保从您网络(例如 EDR、防火墙、Web 代理、用户上下文和身份验证)的设备中提取和规范化数据。
搜索用户
如需在 Google 安全运营中心内打开用户视图,请在“搜索”字段中输入您企业中用户的用户名或电子邮件地址。如果用户位于 您的 Google Security Operations 账号,系统就会显示该用户。点击用户名以切换到用户视图。
“用户”视图别名
用户视图包含用户别名功能,可确保事件与
这样,同一用户就不会重复出现,而且更易于搜索您的
Google Security Operations 账号。例如,如果您有一个名叫 Dennis 的员工,其用户标识符为 dennis,电子邮件地址为 dennis@altostrat.com,而您在 Google Security Operations 中搜索 dennis,则系统会返回 dennis 和 dennis@altostrat.com 的事件。
“用户”视图功能
用户视图包含许多功能和界面控件,让您能够执行以下操作: 企业内部的用户数据其中一些功能是“用户”视图所独有的,还有一些则与其他 Google 安全运营事件视图(“网域”视图、“IP 地址”视图等)共用。
Google Security Operations 用户视图功能
1 用户信息
显示在企业 IT 系统(例如 Active Directory、Workday、Okta 等)中存储的用户信息。
2 日期选择
使用左右箭头在一个日历周间隔(星期六至星期日)内检查与用户关联的事件。如果 系统会显示“首次看到”和 “上次出现时间”选项,用于将视图快速切换到相关时间段。
3 X 轴时移
默认情况下,用户视图会以世界协调时间 (UTC) 12:00(中午)为中心设置渐变热图。使用 X 轴时移控件,您可以在 12 小时之前将热图居中 或中午 12 点以后。这样一来,您就可以专注于用户的非典型时间段。 例如,您可以将显示时间从世界协调时间 (UTC) 0:00 切换到 0:00(午夜),以便聚焦于 傍晚和清晨时段的用户活动,如以下示例中所示 数字。
将 X 轴时间偏移设置为 +12
4 梯度热图
“用户”视图梯度热图显示了您正在调查的时间段内的用户活动汇总视图。每个方块表示一天中记录的用户活动时间段(一天中的一小时)。此图表可让您查找异常或异常的用户活动。
点击方形可显示活动日期,点击方形即可查看活动日期 绿色弹出式窗口可带您前往时间轴中相应事件的时间。
每个方形的颜色从黑色到灰色再到白色不等:
黑色方块表示没有用户活动。
白色方块表示频繁的用户活动。
深灰色到浅灰色方形表示活动级别增加,深灰色阴影表示活动较少,浅灰色阴影表示更多活动。
例如,用户通常在正常工作时间里处于活跃状态,但在夜间或周末不活跃。不过,此用户最近 每天凌晨 3 点活跃。渐变热图可让您快速找到 这类非典型活动。
5 用户提醒
Google Security Operations 会捕获用户安全提醒,并在此处显示。您 可以单击相关的链接进一步调查该提醒。
7 列
自定义时间轴标签页中显示的列。
6 时间轴和资产
“用户”视图中还会显示时间轴和资产标签页。与 其他 Google Security Operations 视图,Timeline 标签页会列出事件 资产标签页按时间顺序列出与用户关联的资产 按字母顺序或数字排列显示的资源 用户在您企业中的活动(受时间段限制) 。
使用这些标签页,如下所示:
时间轴标签页:在“时间轴”标签页中选择事件也会突出显示 渐变热图中以绿色显示的相应事件。提醒由红色三角形和红色文本表示。
资产标签页:选择某个资产后,“资产”标签页中的绿色部分会突出显示,而涉及该资产的所有活动也会在“梯度热图”上以绿色突出显示。您可以通过点击“资产”标签页中的首次访问或上次访问的时间来切换到“资产”视图。
8 过程过滤
您可以点击用户视图中的“过程过滤”图标,并根据各种特征过滤用户信息,从而打开过程过滤菜单。例如,您可以按主账号位置进行过滤 检查用户登录尝试时所处的地理位置。这可能表明用户正在从异常位置登录。
对主账号位置进行过程过滤
注意事项
用户视图具有以下限制:
- 此视图中只能显示 8 万个事件。
- 您只能过滤此数据视图中显示的事件。
- 此视图中仅填充用户、电子邮件和 DNS 事件类型。此视图中填充的首次看到和上次看到时间信息也仅限于这些事件类型。
- 常规事件不会出现在任何精选视图中。它们仅出现在 原始日志和 UDM 搜索。