调查用户

Chronicle“用户”视图使客户能够更好地了解企业用户如何受到安全性事件的影响。通过关注个人用户的行为,安全管理员可以搜索表示帐号泄露或其他安全问题的活动。确保从您网络(例如 EDR、防火墙、Web 代理、用户上下文和身份验证)的设备中提取和规范化数据。

搜索用户

如需打开 Chronicle 中的“用户”视图,请在“搜索”字段中输入您企业中用户的用户名或电子邮件地址。如果该用户存在于您的 Chronicle 帐号中,则该用户会作为结果显示。点击用户名以切换到“用户”视图。

您还可以通过“企业数据洞察”视图中的“近期提醒”面板访问“用户”视图。除了“资产”之外,还有一个列显示“受提醒影响的用户”。

“用户”视图 使用“用户”视图分析用户活动

“用户”视图别名

用户视图包含用户别名功能,可确保与单个用户关联的事件不会重复,并且可在 Chronicle 帐号中更轻松地搜索。例如,如果您有一个名叫 Dennis 的员工,其用户标识符为 dennis,电子邮件地址为 dennis@altostrat.com,而您在 Chronicle 中搜索 dennis,则系统会返回 dennisdennis@altostrat.com 的事件。

“用户”视图功能

“用户”视图包含许多功能和界面控件,可让您更仔细地检查企业中的用户数据。其中一些功能是“用户”视图所独有的,还有一些则与其他 Chronicle 事件视图(“网域”视图、“IP 地址”视图等)共用。

带有视图的“用户”视图 Chronicle “用户”视图功能

1 用户信息

显示在企业 IT 系统(例如 Active Directory、Workday、Okta 等)中存储的用户信息。

2 日期选择

使用左右箭头在一个日历周间隔(星期六至星期日)内检查与用户关联的事件。如果当前显示的时间段内没有可用的数据,您将获得“首次出现时间”和“上次出现时间”选项,以将视图快速移动到相关时间段。

3 梯度热图

“用户”视图梯度热图显示了您正在调查的时间段内的用户活动汇总视图。每个方块表示一天中记录的用户活动时间段(一天中的一小时)。此图表可让您查找异常或异常的用户活动。

点击方形会显示活动日期,然后在绿色弹出式窗口中点击该日期即可转到时间轴上的相应小时。

每个方形的颜色从黑色到灰色再到白色不等:

  • 黑色方块表示没有用户活动。

  • 白色方块表示频繁的用户活动。

  • 深灰色到浅灰色方形表示活动级别增加,深灰色阴影表示活动较少,浅灰色阴影表示更多活动。

例如,用户通常在正常工作时间里处于活跃状态,但在夜间或周末不活跃。不过,该用户最近每天在凌晨 3 点开始变得很活跃。梯度热图使您能够快速找到此类异常活动。

4 X 轴时移

默认情况下,“用户”视图会将梯度热图中心设置为世界协调时间 (UTC) 中午 12 点。使用 X 轴时间偏移控件,您可以将热图放置在 12:00 之前或之后的 12 小时内。这样,您就可以重点关注用户的异常时间段。例如,您可以将显示的时间转换为世界协调时间 (UTC) 零点 (00:00),以便重点关注晚上和清晨时段的用户活动,如下图所示。

将 X 轴时间偏移设置为 +12 将 X 轴时间偏移设置为 +12

X 轴时间偏移设置为 +12 X 轴时间偏移设置为 +12

5 时间轴和资产

“用户”视图”中还会显示时间轴和资产标签页。与其他 Chronicle 视图一样,时间轴标签页按时间顺序列出事件,资产标签页按字母或数字列出与用户关联的资产。显示的素材资产与该特定用户在您的企业中的活动相对应,并且受指定时间段的限制。

使用这些标签页,如下所示:

  • “时间轴”标签页 - 在“时间轴”标签页中选择事件还会以绿色突出显示渐变热图中的对应事件。提醒由红色三角形和红色文本表示。

  • “资产”标签页 - 选择某个资产后,“资产”标签页中的绿色部分会突出显示,而涉及该资产的所有活动也会在“梯度热图”上以绿色突出显示。您可以通过点击“资产”标签页中的首次访问或上次访问的时间来切换到“资产”视图。

6 过程过滤

您可以点击“用户”视图中的“过程过滤”图标,并根据各种特征过滤用户信息,从而打开过程过滤菜单。例如,您可以基于主帐号位置过滤,以查看用户登录尝试的地理位置。这可能表明用户正在从异常位置登录。

对主帐号位置进行过程过滤

对主帐号位置进行过程过滤

7 用户提醒

Chronicle 会捕获用户安全提醒,并在此处显示。您可以点击关联的链接,以进一步调查相应提醒。