Investigar a un usuario

Compatible con:

La vista de usuario de Google Security Operations permite a los clientes comprender mejor cómo los eventos de seguridad afectan a los usuarios dentro de una empresa. Si se enfocan en el comportamiento de los usuarios individuales, los administradores de seguridad pueden buscar actividad que indique una vulneración de la cuenta o cualquier otro problema de seguridad. Asegúrate de transferir y normalizar los datos de los dispositivos de tu red, como EDR, firewall, proxy web, contexto del usuario y autenticación, etc.

Buscar a un usuario

Para abrir la vista Usuario en Google SecOps, ingresa el nombre de usuario o la dirección de correo electrónico de un usuario de tu empresa en el campo de búsqueda. Si el usuario está presente en tu cuenta de Google SecOps, se mostrará como resultado. Haz clic en el nombre de usuario para cambiar a la vista Usuario.

Creación de alias de vistas de usuarios

La vista Usuario incluye una función de alias de usuario para garantizar que los eventos asociados con un solo usuario no se dupliquen y sean más fáciles de buscar en tu cuenta de Google SecOps. Por ejemplo, si tienes un empleado llamado Dennis cuyo identificador de usuario es dennis y cuyo correo electrónico es dennis@altostrat.com, y buscas dennis en Google SecOps, se mostrarán los eventos de dennis y dennis@altostrat.com.

Funciones de la vista del usuario

La vista de usuario incluye muchas funciones y controles de la interfaz de usuario que te permiten examinar más de cerca los datos del usuario dentro de tu empresa. Algunas de estas funciones son exclusivas de la vista de Usuario y otras se comparten con las demás vistas de eventos de Google SecOps (vista de dominio, vista de dirección IP, etcétera).

Vista del usuario con explicaciones Funciones de la vista del usuario de Google SecOps

1. Información del usuario

Muestra información sobre el usuario almacenada en los sistemas de TI de tu empresa (por ejemplo, Active Directory, Workday, Okta, etcétera).

2. Selección de fecha

Usa las flechas hacia la izquierda y la derecha para examinar los eventos asociados con el usuario durante un intervalo de una semana calendario (de sábado a domingo). Si no hay datos disponibles en el período que se muestra, se te ofrecen las opciones First Seen y Last Seen para cambiar rápidamente la vista a un período pertinente.

3. Cambio de tiempo en el eje X

De forma predeterminada, la vista Usuario centra el mapa de calor de gradiente a las 12:00 h (mediodía) UTC. Con el control de desplazamiento temporal del eje X, puedes centrar el mapa de calor hasta 12 horas antes o después de las 12:00 h. Esto te permite concentrarte en los períodos atípicos para el usuario. Por ejemplo, podrías cambiar el horario de visualización a las 0:00 UTC (medianoche) para enfocarte en la actividad del usuario durante las últimas horas de la noche y las primeras de la mañana, como se muestra en estas figuras.

Cómo establecer el desplazamiento temporal del eje X en +12 Cómo establecer el desplazamiento del eje X en +12

4. Mapa de calor de gradiente

El mapa de calor de gradiente de la vista Usuario muestra una vista agregada de la actividad del usuario durante el período que investigas. Cada cuadrado indica una hora del día (UTC) para la actividad de un usuario que accedió durante el período. Este gráfico te permite ubicar la actividad del usuario inusual o atípica.

Si haces clic en un cuadrado, se muestra la fecha de actividad. Si haces clic en esa fecha en la ventana emergente verde, se te redirecciona a esa hora de eventos en Rutas.

El color de cada cuadrado varía de negro a blanco, pasando por diferentes tonos de gris:

  • Los cuadrados negros indican que no hay actividad del usuario.

  • Los cuadrados blancos indican la actividad frecuente del usuario.

  • Los cuadrados de gris oscuro a gris claro indican niveles crecientes de actividad, en los que los tonos oscuros de gris representan menos actividad y los tonos claros de gris representan más.

Por ejemplo, un usuario suele estar activo durante el horario laboral normal y nunca está activo tarde por la noche ni los fines de semana. Sin embargo, este usuario se ha mantenido activo todos los días a las 3 a.m. recientemente. El mapa de calor de gradiente te permite ubicar rápidamente este tipo de actividad atípica.

5 alertas de usuario

Google SecOps captura las alertas de seguridad del usuario y las muestra aquí. Puedes hacer clic en los vínculos asociados para investigar más a fondo la alerta.

7 columnas

Personaliza las columnas que se muestran en la pestaña Cronograma.

6. Cronograma y recursos

Las pestañas Línea de tiempo y recursos también están disponibles en la vista Usuario. Al igual que con otras vistas de SecOps de Google, la pestaña Cronograma enumera los eventos en orden cronológico, y la pestaña Activos enumera los activos asociados con el usuario en orden alfabético o numérico. Los recursos que se muestran corresponden a la actividad de este usuario específico dentro de tu empresa y están limitados por el período especificado.

Usa estas pestañas de la siguiente manera:

  • Pestaña Timeline: Si seleccionas un evento en la pestaña Timeline, también se destacará el evento correspondiente en el mapa de calor de gradiente en verde. Las alertas se indican con un triángulo y texto de color rojo.

  • Pestaña Activo: Si seleccionas un activo, se destacará en verde en la pestaña Activo, y toda la actividad relacionada con ese activo también se destacará en verde en el mapa de calor de gradiente. Para cambiar a la vista de recursos, haz clic en el primer recurso al que accediste o en el último al que accediste en la pestaña Recursos.

8. Filtrado de procedimiento

Para abrir el menú Procedural Filtering, haz clic en el ícono de Procedural Filtering en la vista User y filtra la información del usuario según una variedad de características. Por ejemplo, puedes aplicar un filtro en Ubicación principal para examinar la ubicación geográfica de los intentos de acceso del usuario. Podría indicar que un usuario está accediendo desde ubicaciones inusuales.

Filtrado de procedimiento en la ubicación principal

Filtrado según el procedimiento en la ubicación principal

Consideraciones

La vista del usuario tiene las siguientes limitaciones:

  • En esta vista, solo se pueden mostrar 80,000 eventos.
  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • En esta vista, solo se completan los tipos de eventos de usuario, correo electrónico y DNS. La información de la primera y la última vez que se vio que se completa en esta vista también se limita a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en las búsquedas de UDM y en los registros sin procesar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.