Diese Seite wurde von der Cloud Translation API übersetzt.

Nutzer prüfen

Unterstützt in:

Google SecOps SIEM

In der Nutzeransicht von Google Security Operations können Kunden besser nachvollziehen, wie Nutzer in einem Unternehmen von Sicherheitsereignissen betroffen sind. Durch die Konzentration auf das Verhalten einzelner Nutzer können Sicherheitsadministratoren nach Aktivitäten suchen, die auf eine Konto- oder andere Sicherheitsrisiken hinweisen. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk erfassen und normalisieren, z. B. von EDR, Firewall, Webproxy, Nutzerkontext und Authentifizierung.

Nach einem Nutzer suchen

Wenn Sie die Ansicht Nutzer in Google SecOps öffnen möchten, geben Sie den Nutzernamen oder die E-Mail-Adresse eines Nutzers in Ihrem Unternehmen in das Suchfeld ein. Wenn der Nutzer in Ihrem Google SecOps-Konto vorhanden ist, wird er als Ergebnis angezeigt. Klicken Sie auf den Nutzernamen, um zur Ansicht Nutzer zu wechseln.

Aliasing von Nutzerdatenansichten

Die Ansicht Nutzer enthält eine Funktion für Nutzer-Aliasing, mit der dafür gesorgt wird, dass Ereignisse, die mit einem einzelnen Nutzer verknüpft sind, nicht dupliziert werden und sich in Ihrem Google SecOps-Konto leichter suchen lassen. Wenn Sie beispielsweise einen Mitarbeiter namens Dennis haben, dessen Nutzer-ID dennis und dessen E‑Mail-Adresse dennis@altostrat.com lautet, und Sie in Google SecOps nach dennis suchen, werden Ereignisse für dennis und dennis@altostrat.com zurückgegeben.

Funktionen für die Nutzeransicht

Die Ansicht Nutzer enthält viele Funktionen und Benutzeroberflächenelemente, mit denen Sie die Nutzerdaten in Ihrem Unternehmen genauer untersuchen können. Einige dieser Funktionen sind nur in der Nutzeransicht verfügbar, andere werden auch in den anderen Google SecOps-Ereignisansichten (z. B. Domainansicht, IP-Adressenansicht) angezeigt.

Nutzeransicht mit Call-outs Funktionen der Google SecOps-Nutzeransicht

1 Nutzerinformationen

Zeigt Informationen zum Nutzer an, die in den IT-Systemen Ihres Unternehmens gespeichert sind (z. B. Active Directory, Workday, Okta usw.).

2. Datumsauswahl

Mit den Pfeiltasten nach links und rechts können Sie die Ereignisse, die dem Nutzer zugeordnet sind, in einem Intervall von einer Kalenderwoche (Samstag bis Sonntag) ansehen. Wenn im angezeigten Zeitraum keine Daten verfügbar sind, können Sie mit den Optionen „Erste Anzeige“ und „Letzte Anzeige“ die Ansicht schnell in einen relevanten Zeitraum verschieben.

3. Zeitverschiebung der X-Achse

In der Ansicht Nutzer wird die Gradient Heat Map standardmäßig auf 12:00 Uhr UTC (Mittag) zentriert. Mit der Steuerung „X-Achse – Zeitverschiebung“ können Sie die Heatmap bis zu 12 Stunden vor oder nach 12:00 Uhr zentrieren. So können Sie sich auf untypische Zeiträume für den Nutzer konzentrieren. Sie können die Anzeige beispielsweise auf 0:00 UTC (Mitternacht) verschieben, um sich auf die Nutzeraktivität am späten Abend und in den frühen Morgenstunden zu konzentrieren, wie in diesen Abbildungen dargestellt.

X-Achsen-Zeitverschiebung auf +12 setzen

4 Heatmap mit Farbverlauf

Die Gradient Heat Map in der Ansicht Nutzer bietet eine aggregierte Ansicht der Nutzeraktivitäten im untersuchten Zeitraum. Jedes Quadrat steht für eine Stunde des Tages (UTC) für eine protokollierte Nutzeraktivität im Zeitraum. Mit diesem Diagramm können Sie ungewöhnliche oder untypische Nutzeraktivitäten erkennen.

Wenn Sie auf ein Quadrat klicken, wird das Aktivitätsdatum angezeigt. Wenn Sie im grünen Pop-over auf dieses Datum klicken, werden Sie zur entsprechenden Stunde mit Ereignissen auf der Zeitachse weitergeleitet.

Die Farbe der einzelnen Quadrate variiert von Schwarz über Grautöne bis hin zu Weiß:

Schwarze Quadrate weisen darauf hin, dass keine Nutzeraktivität stattgefunden hat.
Weiße Quadrate stehen für häufige Nutzeraktivitäten.
Dunkelgraue bis hellgraue Quadrate weisen auf zunehmende Aktivität hin. Dunkle Grautöne stehen für weniger Aktivität, helle Grautöne für mehr.

Ein Nutzer ist beispielsweise regelmäßig während der normalen Arbeitszeiten aktiv, aber nie spät in der Nacht oder am Wochenende. Dieser Nutzer ist jedoch seit Kurzem jeden Tag um 3:00 Uhr aktiv. Mit der Heatmap mit Farbverlauf können Sie diese Art von ungewöhnlichen Aktivitäten schnell finden.

5 Benachrichtigungen zu Nutzern

Nutzer-Sicherheitswarnungen werden von Google SecOps erfasst und hier angezeigt. Sie können auf die zugehörigen Links klicken, um die Benachrichtigung genauer zu untersuchen.

7 Spalten

Sie können die Spalten anpassen, die auf dem Tab Zeitachse angezeigt werden.

6 Timeline und Assets

Die Tabs Zeitachse und Assets sind auch in der Ansicht Nutzer verfügbar. Wie bei anderen Google SecOps-Ansichten werden auf dem Tab Zeitachse Ereignisse chronologisch und auf dem Tab Assets die mit dem Nutzer verknüpften Assets alphabetisch oder numerisch aufgeführt. Die angezeigten Assets entsprechen den Aktivitäten dieses Nutzers in Ihrem Unternehmen und sind auf den angegebenen Zeitraum beschränkt.

So verwenden Sie die Tabs:

Tab Zeitachse: Wenn Sie ein Ereignis auf dem Tab „Zeitachse“ auswählen, wird das entsprechende Ereignis auch in der Gradient Heat Map grün hervorgehoben. Warnungen werden durch ein rotes Dreieck und roten Text angezeigt.
Tab Asset: Wenn Sie ein Asset auswählen, wird es auf dem Tab „Asset“ grün hervorgehoben. Alle Aktivitäten im Zusammenhang mit diesem Asset werden auch in der Gradient Heat Map grün hervorgehoben. Sie können zur Asset-Ansicht wechseln, indem Sie auf dem Tab „Assets“ auf „Zuerst aufgerufen“ oder „Zuletzt aufgerufen“ klicken.

8 Prozedurales Filtern

Sie können das Menü Procedural Filtering (Prozedurales Filtern) öffnen, indem Sie in der Ansicht User (Nutzer) auf das Symbol „Procedural Filtering“ klicken. Anschließend können Sie die Nutzerinformationen anhand verschiedener Merkmale filtern. Sie können beispielsweise nach „Hauptstandort“ filtern, um den geografischen Standort der Anmeldeversuche des Nutzers zu untersuchen. Das kann darauf hindeuten, dass sich ein Nutzer von ungewöhnlichen Standorten aus anmeldet.

Prozedurales Filtern nach Hauptstandort

Verfahrensbedingte Filterung am Hauptstandort

Hinweise

Für die Nutzeransicht gelten die folgenden Einschränkungen:

In dieser Ansicht können nur 80.000 Ereignisse angezeigt werden.
Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
In dieser Ansicht werden nur die Ereignistypen „Nutzer“, „E-Mail“ und „DNS“ ausgefüllt. Die Informationen zum ersten und letzten Aufruf in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
Allgemeine Ereignisse werden in keiner der kuratierten Ansichten angezeigt. Sie werden nur in Rohlog- und UDM-Suchanfragen angezeigt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten