Investigar a un usuario

Disponible en:

La vista Usuario de Google Security Operations permite a los clientes comprender mejor cómo afectan los eventos de seguridad a los usuarios de una empresa. Al centrarse en el comportamiento de usuarios concretos, los administradores de seguridad pueden buscar actividad que indique que una cuenta se ha visto comprometida o que hay otros problemas de seguridad. Asegúrate de ingerir y normalizar los datos de los dispositivos de tu red, como EDR, cortafuegos, proxy web, contexto de usuario y autenticación, entre otros.

Buscar un usuario

Para abrir la vista Usuario en Google SecOps, introduce el nombre de usuario o la dirección de correo de un usuario de tu empresa en el campo de búsqueda. Si el usuario está en tu cuenta de Google SecOps, se mostrará como resultado. Haz clic en el nombre de usuario para cambiar a la vista Usuario.

Creación de alias de vistas de usuario

La vista Usuario incluye una función de alias de usuario para asegurarse de que los eventos asociados a un único usuario no se dupliquen y sean más fáciles de buscar en su cuenta de Google SecOps. Por ejemplo, si tienes un empleado llamado Dennis cuyo identificador de usuario es dennis y cuyo correo es dennis@altostrat.com, y buscas dennis en Google SecOps, se devuelven eventos de dennis y dennis@altostrat.com.

Funciones de la vista de usuario

La vista Usuario incluye muchas funciones y controles de la interfaz de usuario que te permiten examinar más de cerca los datos de usuario de tu empresa. Algunas de estas funciones son exclusivas de la vista Usuario, mientras que otras se comparten con las demás vistas de eventos de Google SecOps (Dominio, Dirección IP, etc.).

Vista de usuario con llamadas Funciones de la vista de usuario de Google SecOps

1 Información del usuario

Muestra información sobre el usuario almacenada en los sistemas de TI de tu empresa (por ejemplo, Active Directory, Workday, Okta, etc.).

2. Selección de fecha

Usa las flechas hacia la izquierda y hacia la derecha para examinar los eventos asociados al usuario en un intervalo de una semana natural (de sábado a domingo). Si no hay datos disponibles en el periodo mostrado, se le ofrecen las opciones Primera vez y Última vez para cambiar rápidamente a un periodo pertinente.

3 Desplazamiento temporal del eje X

De forma predeterminada, la vista Usuario centra el mapa de calor de gradiente a las 12:00 (UTC). Con el control Desplazamiento temporal del eje X, puedes centrar el mapa de calor hasta 12 horas antes o después de las 12:00. De esta forma, puedes centrarte en los periodos atípicos del usuario. Por ejemplo, puedes cambiar la hora de visualización a las 0:00 UTC (medianoche) para centrarte en la actividad de los usuarios a última hora de la tarde y a primera hora de la mañana, como se muestra en estas figuras.

Ajustar el desplazamiento de tiempo del eje X a +12 Ajustar el desplazamiento de tiempo del eje X a +12

4 Mapa de calor de gradiente

El mapa de calor de gradiente de la vista Usuario muestra una vista agregada de la actividad de los usuarios durante el periodo que estés investigando. Cada cuadrado indica una hora del día (UTC) en la que se ha registrado la actividad de un usuario durante el periodo. Este gráfico te permite localizar actividad de usuario inusual o atípica.

Al hacer clic en un cuadrado, se muestra la fecha de la actividad y, al hacer clic en esa fecha en la ventana emergente verde, se te dirige a esa hora de eventos en la cronología.

El color de cada cuadrado varía de negro a blanco, pasando por distintos tonos de gris:

  • Los cuadrados negros indican que no hay actividad de los usuarios.

  • Los cuadrados blancos indican una actividad de usuario frecuente.

  • Los cuadrados de color gris oscuro a gris claro indican niveles de actividad crecientes. Los tonos de gris oscuro representan menos actividad y los tonos de gris claro representan más actividad.

Por ejemplo, un usuario suele estar activo durante el horario de trabajo normal y nunca lo está a altas horas de la noche ni los fines de semana. Sin embargo, este usuario ha empezado a estar activo todos los días a las 3:00. El mapa de calor de gradiente te permite localizar rápidamente este tipo de actividad atípica.

5 alertas de usuario

Google SecOps registra las alertas de seguridad de los usuarios y las muestra aquí. Puedes hacer clic en los enlaces asociados para investigar más a fondo la alerta.

7 columnas

Personaliza las columnas que se muestran en la pestaña Cronología.

6 Cronología y recursos

Las pestañas Cronología y recursos también están disponibles en la vista Usuario. Al igual que en otras vistas de Google SecOps, la pestaña Cronología muestra los eventos en orden cronológico y la pestaña Recursos muestra los recursos asociados al usuario en orden alfabético o numérico. Los recursos que se muestran corresponden a la actividad de este usuario concreto en tu empresa y están limitados por el periodo especificado.

Usa estas pestañas de la siguiente manera:

  • Pestaña Cronología: si seleccionas un evento en esta pestaña, también se resaltará el evento correspondiente en el mapa de calor de gradiente en verde. Las alertas se indican con un triángulo rojo y texto rojo.

  • Pestaña Recurso: al seleccionar un recurso, se resaltará en verde en la pestaña Recurso y toda la actividad relacionada con ese recurso también se resaltará en verde en el mapa de calor de gradiente. Para cambiar a la vista Recursos, haz clic en el primer acceso o en el último acceso de la pestaña Recursos.

8 Filtrado de procedimientos

Para abrir el menú Filtrado por procedimientos, haz clic en el icono Filtrado por procedimientos en la vista Usuario y filtra la información de los usuarios en función de diversas características. Por ejemplo, puede filtrar por ubicación principal para examinar la ubicación geográfica de los intentos de inicio de sesión del usuario. Puede indicar que un usuario está iniciando sesión desde ubicaciones inusuales.

Filtrado de procedimientos en Principal Location

Filtrado de procedimientos en la ubicación principal

Cuestiones importantes

La vista de usuario tiene las siguientes limitaciones:

  • En esta vista solo se pueden mostrar 80.000 eventos.
  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • En esta vista solo se rellenan los tipos de eventos de usuario, correo electrónico y DNS. La información sobre la primera y la última vez que se ha visto que se muestra en esta vista también se limita a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en los registros sin procesar y en las búsquedas de UDM.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.