Nutzer prüfen

Unterstützt in:

Mit der Nutzer-Ansicht von Google Security Operations können Kunden besser nachvollziehen, wie sich Sicherheitsereignisse auf Nutzer in einem Unternehmen auswirken. Wenn sich Sicherheitsadministratoren auf das Verhalten einzelner Nutzer konzentrieren, können sie nach Aktivitäten suchen, die auf eine Kontomanipulation oder andere Sicherheitsrisiken hinweisen. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR, Firewall, Webproxy, Nutzerkontext und Authentifizierung.

Nach einem Nutzer suchen

Wenn Sie die Ansicht Nutzer in Google Security Operations öffnen möchten, geben Sie den Nutzernamen oder die E-Mail-Adresse eines Nutzers in Ihrem Unternehmen in das Suchfeld ein. Wenn der Nutzer in Ihrem Google Security Operations-Konto vorhanden ist, wird er in den Ergebnissen angezeigt. Klicken Sie auf den Nutzernamen, um zur Ansicht Nutzer zu wechseln.

Aliasse für Nutzeransichten

Die Ansicht Nutzer enthält eine Alias-Funktion für Nutzer, damit Ereignisse, die mit einem einzelnen Nutzer verknüpft sind, nicht dupliziert werden und sich leichter in Ihrem Google Security Operations-Konto suchen lassen. Wenn Sie beispielsweise einen Mitarbeiter namens Dennis mit der Nutzer-ID dennis und der E-Mail-Adresse dennis@altostrat.com haben und in Google Security Operations nach dennis suchen, werden sowohl Ereignisse für dennis als auch für dennis@altostrat.com zurückgegeben.

Funktionen für die Datenansicht

Die Nutzer-Ansicht enthält viele Funktionen und Steuerelemente für die Benutzeroberfläche, mit denen Sie die Nutzerdaten in Ihrem Unternehmen genauer untersuchen können. Einige dieser Funktionen sind nur in der Ansicht Nutzer verfügbar, andere sind auch in den anderen Ereignisansichten von Google Security Operations zu finden (z. B. Domainansicht und IP-Adressansicht).

Nutzeransicht mit Zusatzinformationen Funktionen der Benutzeransicht von Google Security Operations

1 Nutzerinformationen

Zeigt Informationen zum Nutzer an, die in Ihren IT-Systemen des Unternehmens gespeichert sind (z. B. Active Directory, Workday, Okta).

2. Datumsauswahl

Mit den Pfeiltasten nach links und rechts können Sie sich die Ereignisse ansehen, die dem Nutzer innerhalb einer Kalenderwoche (Samstag bis Sonntag) zugeordnet sind. Wenn für den angezeigten Zeitraum keine Daten verfügbar sind, haben Sie die Optionen „Erste Interaktion“ und „Letzte Interaktion“, um die Ansicht schnell auf einen relevanten Zeitraum umzustellen.

3 Zeitverschiebung der X-Achse

In der Ansicht Nutzer ist die Farbverlaufs-Hitzekarte standardmäßig um 12:00 Uhr (UTC) mittags zentriert. Mit der Zeitverschiebung für die X-Achse können Sie die Wärmekarte bis zu 12 Stunden vor oder nach 12:00 Uhr zentrieren. So können Sie sich auf atypische Zeiträume für den Nutzer konzentrieren. Sie können die Anzeige beispielsweise auf 00:00 Uhr UTC (Mitternacht) verschieben, um sich auf die Nutzeraktivitäten am späten Abend und am frühen Morgen zu konzentrieren, wie in diesen Abbildungen dargestellt.

Zeitverschiebung der X-Achse auf +12 Stunden festlegen Zeitverschiebung der X-Achse auf +12 Stunden festlegen

4 Heatmap mit Farbverlauf

In der Nutzer-Ansicht der Farbverlaufs-Heatmap sehen Sie eine zusammengefasste Ansicht der Nutzeraktivitäten im ausgewählten Zeitraum. Jedes Quadrat steht für eine Stunde des Tages (UTC) für eine aufgezeichnete Nutzeraktivität im angegebenen Zeitraum. In diesem Diagramm können Sie ungewöhnliche oder atypische Nutzeraktivitäten finden.

Wenn Sie auf ein Quadrat klicken, wird das Aktivitätsdatum angezeigt. Wenn Sie auf dieses Datum im grünen Pop-up-Fenster klicken, gelangen Sie zu den Ereignissen dieser Stunde auf der Zeitachse.

Die Farbe der einzelnen Quadrate variiert von Schwarz über Grautöne bis Weiß:

  • Schwarze Quadrate bedeuten, dass keine Nutzeraktivität vorliegt.

  • Weiße Quadrate stehen für häufige Nutzeraktivitäten.

  • Quadrate in dunkelgrau bis hellgrau geben an, wie hoch die Aktivität ist. Dabei stehen dunkle Grautöne für weniger Aktivität und helle Grautöne für mehr Aktivität.

Ein Nutzer ist beispielsweise während der normalen Arbeitszeiten regelmäßig aktiv, aber nie spät in der Nacht oder am Wochenende. In letzter Zeit ist dieser Nutzer jedoch jeden Tag um 3 Uhr morgens aktiv. Mit der Farbverlaufs-Heatmap können Sie diese Art von atypischen Aktivitäten schnell finden.

5 Nutzerwarnungen

Sicherheitswarnungen für Nutzer werden von Google Security Operations erfasst und hier angezeigt. Sie können auf die zugehörigen Links klicken, um die Warnung genauer zu untersuchen.

7 Spalten

Sie können die Spalten anpassen, die auf dem Tab Zeitachse angezeigt werden.

6 Zeitachse und Assets

Die Tabs Zeitachse und Assets sind auch in der Ansicht Nutzer verfügbar. Wie bei anderen Google Security Operations-Ansichten werden auf dem Tab Zeitachse Ereignisse chronologisch und auf dem Tab Assets die mit dem Nutzer verknüpften Assets alphabetisch oder numerisch aufgelistet. Die angezeigten Assets entsprechen den Aktivitäten dieses Nutzers in Ihrem Unternehmen und sind auf den angegebenen Zeitraum beschränkt.

Verwenden Sie diese Tabs so:

  • Tab Zeitachse: Wenn Sie auf dem Tab „Zeitachse“ ein Ereignis auswählen, wird das entsprechende Ereignis in der Farbverlaufs-Hitzekarte grün hervorgehoben. Warnungen sind durch ein rotes Dreieck und roten Text gekennzeichnet.

  • Tab Asset: Wenn Sie ein Asset auswählen, wird es auf dem Tab „Asset“ grün hervorgehoben. Alle Aktivitäten, die sich auf dieses Asset beziehen, werden in der Farbverlaufs-Hitzekarte ebenfalls grün hervorgehoben. Sie können zur Asset-Ansicht wechseln, indem Sie auf dem Tab „Assets“ auf den ersten oder letzten Zugriff klicken.

8 Prozedurales Filtern

Sie können das Menü Prozessorientierte Filterung öffnen, indem Sie in der Ansicht Nutzer auf das Symbol für die prozessorientierte Filterung klicken. Dort können Sie die Nutzerinformationen nach verschiedenen Merkmalen filtern. Sie können beispielsweise nach dem Hauptstandort filtern, um den geografischen Standort der Anmeldeversuche des Nutzers zu untersuchen. Das kann darauf hindeuten, dass sich ein Nutzer von ungewöhnlichen Standorten aus anmeldet.

Prozedurales Filtern nach Hauptstandort

Prozessuale Filterung nach Hauptsitz

Hinweise

Für die Nutzeransicht gelten die folgenden Einschränkungen:

  • In dieser Ansicht können nur 80.000 Ereignisse angezeigt werden.
  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht werden nur Nutzer-, E-Mail- und DNS-Ereignistypen erfasst. Die Informationen zum ersten und letzten Aufruf, die in dieser Ansicht angezeigt werden, sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Rohlogs und UDM-Suchanfragen angezeigt.