Investigar a un usuario

Se admite en los siguientes países:

La vista de usuarios de Operaciones de seguridad de Google permite a los clientes comprender mejor cómo los eventos de seguridad afectan a los usuarios de una empresa. Cuando se enfocan en el comportamiento de usuarios individuales, los administradores de seguridad pueden buscar actividad que indique una vulneración de la cuenta o alguna otra inquietud de seguridad. Asegúrate de transferir y normalizar los datos de los dispositivos de tu red, como EDR, firewall, proxy web, contexto del usuario y autenticación, etcétera.

Buscar a un usuario

Para abrir la vista Usuario en Operaciones de seguridad de Google, ingresa el nombre de usuario o la dirección de correo electrónico de un usuario de tu empresa en el campo de búsqueda. Si el usuario está presente en tu cuenta de Operaciones de seguridad de Google, se mostrará como resultado. Haz clic en el nombre de usuario para cambiar a la vista Usuario.

Alias de la vista del usuario

La vista Usuario incluye una función de alias de usuario para garantizar que los eventos asociados con un solo usuario no se dupliquen y sean más fáciles de buscar en tu cuenta de Operaciones de seguridad de Google. Por ejemplo, si tienes un empleado llamado Dennis cuyo identificador de usuario es dennis y su correo electrónico es dennis@altostrat.com, y buscas dennis en Google Security Operations, se muestran los eventos de dennis y dennis@altostrat.com.

Funciones de la vista de usuario

La vista de usuario incluye muchas funciones y controles de interfaz de usuario para que puedas examinar con mayor detalle los datos de usuario de tu empresa. Algunas de estas funciones son exclusivas de la vista Usuario y otras se comparten con las otras vistas de eventos de Operaciones de seguridad de Google (vista de dominio, vista de dirección IP, etc.).

Vista del usuario con textos destacados Funciones de la vista de usuario de Google Security Operations

1 Información del usuario

Muestra información sobre el usuario almacenada en los sistemas de TI de tu empresa (por ejemplo, Active Directory, Workday, Okta, etcétera).

2 Selección de fecha

Usa las flechas hacia la izquierda y la derecha para examinar los eventos asociados con el usuario durante un intervalo de una semana calendario (de sábado a domingo). Si no hay datos disponibles en el período que se muestra, se te ofrecen las opciones Primera vez que se vio y Última vez que se vio para cambiar rápidamente la vista a un período relevante.

3 cambios de tiempo en el eje X

De forma predeterminada, la vista Usuario centra el mapa de calor de gradientes a las 12:00 p.m. (mediodía) UTC. Con el control de desplazamiento de tiempo del eje X, puedes centrar el mapa de calor hasta 12 horas antes o después de las 12:00. Esto te permite enfocarte en períodos atípicos para el usuario. Por ejemplo, puedes cambiar la hora de la pantalla a las 0:00 UTC (medianoche) para enfocarte en la actividad del usuario a última hora de la tarde y a primera hora de la mañana, como se muestra en estas imágenes.

Cómo establecer el desplazamiento de tiempo del eje X en +12 Cómo establecer el desplazamiento de tiempo del eje X en +12

4 Mapa de calor de gradiente

El mapa de calor de gradientes de la vista Usuario muestra una vista agregada de la actividad del usuario durante el período que estás investigando. Cada cuadrado indica una hora del día (UTC) para la actividad registrada de un usuario durante el período. Este gráfico te permite identificar la actividad inusual o atípica de los usuarios.

Si haces clic en un cuadrado, se muestra la fecha de la actividad y, si haces clic en esa fecha en la ventana emergente verde, se te dirige a esa hora de eventos en la Línea de tiempo.

El color de cada cuadrado varía del negro a los tonos de gris y blanco:

  • Los cuadrados negros indican que no hay actividad del usuario.

  • Los cuadrados blancos indican la actividad frecuente de los usuarios.

  • Los cuadrados de gris oscuro a gris claro indican niveles crecientes de actividad, con tonos oscuros de gris que representan menos actividad y tonos claros de gris que representan más.

Por ejemplo, un usuario suele estar activo durante el horario laboral normal y nunca está activo a altas horas de la noche ni los fines de semana. Sin embargo, recientemente, este usuario se volvió activo todos los días a las 3 a.m. El mapa de calor de gradientes te permite ubicar rápidamente este tipo de actividad atípica.

5 alertas para el usuario

Google Security Operations captura las alertas de seguridad del usuario y las muestra aquí. Puedes hacer clic en los vínculos asociados para investigar la alerta en más detalle.

7 columnas

Personaliza las columnas que se muestran en la pestaña Cronograma.

6 Cronograma y recursos

Las pestañas Rutas y recursos también están disponibles en la vista Usuario. Al igual que con otras vistas de Google Security Operations, la pestaña Cronograma enumera los eventos de forma cronológica y la pestaña Recursos muestra los recursos asociados con el usuario alfabéticamente o numéricamente. Los recursos que se muestran corresponden a la actividad de este usuario específico dentro de tu empresa y se limitan al período especificado.

Usa estas pestañas de la siguiente manera:

  • Pestaña Cronograma: Si seleccionas un evento en la pestaña Cronograma, también se destacará el evento correspondiente en el mapa de calor de gradientes en verde. Las alertas se indican con un triángulo rojo y texto rojo.

  • Pestaña Activo: Si seleccionas un activo, este se destacará en verde en la pestaña activo, y toda la actividad que involucre a ese activo también se destacará en verde en el mapa de calor de gradientes. Para cambiar a la vista de recursos, haz clic en el primer recurso al que accediste o en el último en la pestaña Recursos.

8. Filtrado de procedimiento

Para abrir el menú Filtrado procedimental, haz clic en el ícono de filtrado procedimental en la vista Usuario y filtra la información del usuario según una variedad de características. Por ejemplo, puedes filtrar por Ubicación principal para examinar la ubicación geográfica de los intentos de acceso del usuario. Esto podría indicar que un usuario accede desde ubicaciones inusuales.

Filtrado de procedimiento en la ubicación principal

Filtrado procedimental en la ubicación principal

Consideraciones

La vista de usuario tiene las siguientes limitaciones:

  • Solo se pueden mostrar 80,000 eventos en esta vista.
  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • Solo se propagan los tipos de eventos de usuario, correo electrónico y DNS en esta vista. La información de la primera visualización y la última visualización propagada en esta vista también se limita a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en las búsquedas de registros sin procesar y de la AUA.