Cette page a été traduite par l'API Cloud Translation.

Enquêter sur un utilisateur

Compatible avec :

Google SecOps SIEM

La vue Utilisateur de Google Security Operations permet aux clients de mieux comprendre l'impact des événements de sécurité sur les utilisateurs d'une entreprise. En se concentrant sur le comportement des utilisateurs individuels, les administrateurs de sécurité peuvent rechercher des activités indiquant une compromission de compte ou d'autres problèmes de sécurité. Assurez-vous d'ingérer et de normaliser les données provenant des appareils de votre réseau, tels que les données EDR, de pare-feu, de proxy Web, de contexte utilisateur et d'authentification, etc.

Rechercher un utilisateur

Pour ouvrir la vue Utilisateur dans Google SecOps, saisissez le nom d'utilisateur ou l'adresse e-mail d'un utilisateur de votre entreprise dans le champ de recherche. Si l'utilisateur est présent dans votre compte Google SecOps, il s'affiche dans les résultats. Cliquez sur le nom d'utilisateur pour accéder à la vue Utilisateur.

Alias de la vue utilisateur

La vue Utilisateur inclut une fonctionnalité d'alias utilisateur pour s'assurer que les événements associés à un même utilisateur ne sont pas dupliqués et sont plus faciles à rechercher dans votre compte Google SecOps. Par exemple, si vous avez un employé nommé Dennis dont l'identifiant utilisateur est dennis et l'adresse e-mail dennis@altostrat.com, et que vous recherchez dennis dans Google SecOps, les événements pour dennis et dennis@altostrat.com sont renvoyés.

Fonctionnalités de la vue utilisateur

La vue Utilisateur inclut de nombreuses fonctionnalités et commandes d'interface utilisateur qui vous permettent d'examiner plus en détail les données utilisateur de votre entreprise. Certaines de ces fonctionnalités sont propres à la vue Utilisateur, tandis que d'autres sont partagées avec les autres vues d'événements Google SecOps (vue Domaine, vue Adresse IP, etc.).

Vue utilisateur avec encadrés Fonctionnalités de la vue utilisateur Google SecOps

1 Informations utilisateur

Affiche des informations sur l'utilisateur stockées dans les systèmes informatiques de votre entreprise (par exemple, Active Directory, Workday, Okta, etc.).

2. Sélectionner une date

Utilisez les flèches vers la gauche et vers la droite pour examiner les événements associés à l'utilisateur sur une période d'une semaine civile (du samedi au dimanche). Si aucune donnée n'est disponible pour la période affichée, vous pouvez utiliser les options "Première vue" et "Dernière vue" pour passer rapidement à une période pertinente.

3 Décalage temporel de l'axe X

Par défaut, la vue Utilisateur centre la carte de densité du dégradé à 12h00 UTC (midi). À l'aide du contrôle de décalage temporel de l'axe X, vous pouvez centrer la carte thermique jusqu'à 12 heures avant ou après midi. Cela vous permet de vous concentrer sur les périodes atypiques pour l'utilisateur. Par exemple, vous pouvez décaler l'affichage sur 0h00 UTC (minuit) pour vous concentrer sur l'activité des utilisateurs en fin de soirée et tôt le matin, comme illustré dans ces figures.

Définir le décalage temporel de l'axe X sur "+12" Définition du décalage temporel de l'axe X sur +12

4 Carte de densité avec dégradé

La vue Utilisateur de la carte de densité à dégradé affiche une vue agrégée de l'activité des utilisateurs au cours de la période que vous examinez. Chaque carré indique une heure de la journée (UTC) pour une activité utilisateur enregistrée au cours de la période. Ce graphique vous permet de repérer les activités utilisateur inhabituelles ou atypiques.

Si vous cliquez sur un carré, la date de l'activité s'affiche. Si vous cliquez sur cette date dans le pop-up vert, vous êtes redirigé vers l'heure correspondante dans la section "Vos trajets".

La couleur de chaque carré varie du noir au blanc, en passant par différentes nuances de gris :

Les carrés noirs indiquent l'absence d'activité de l'utilisateur.
Les carrés blancs indiquent une activité fréquente des utilisateurs.
Les carrés gris foncé à gris clair indiquent des niveaux d'activité croissants, les nuances de gris foncé représentant moins d'activité et les nuances de gris clair représentant plus d'activité.

Par exemple, un utilisateur est régulièrement actif pendant les heures de travail normales et jamais actif tard le soir ou le week-end. Cependant, cet utilisateur est récemment devenu actif tous les jours à 3h du matin. La carte de densité à dégradé vous permet de localiser rapidement ce type d'activité atypique.

5 alertes utilisateur

Les alertes de sécurité des utilisateurs sont enregistrées par les opérations de sécurité Google et affichées ici. Vous pouvez cliquer sur les liens associés pour examiner plus en détail l'alerte.

7 Columns

Personnalisez les colonnes affichées dans l'onglet Chronologie.

6 Chronologie et composants

Les onglets Timeline et Assets sont également disponibles dans la vue User. Comme pour les autres vues Google SecOps, l'onglet Chronologie liste les événements par ordre chronologique, et l'onglet Composants liste les composants associés à l'utilisateur par ordre alphabétique ou numérique. Les composants affichés correspondent à l'activité de cet utilisateur spécifique dans votre entreprise et sont limités par la période spécifiée.

Utilisez ces onglets comme suit :

Onglet Chronologie : si vous sélectionnez un événement dans l'onglet "Chronologie", l'événement correspondant est également mis en évidence en vert dans la carte thermique à dégradé. Les alertes sont signalées par un triangle et du texte rouges.
Onglet Composant : lorsque vous sélectionnez un composant, il est mis en surbrillance en vert dans l'onglet "Composant". Toute activité impliquant ce composant est également mise en surbrillance en vert dans la carte thermique à dégradé. Vous pouvez passer à la vue "Composant" en cliquant sur le premier ou le dernier élément consulté dans l'onglet "Composants".

8 Filtrage procédural

Vous pouvez ouvrir le menu Filtrage procédural en cliquant sur l'icône Filtrage procédural dans la vue Utilisateur et filtrer les informations utilisateur en fonction de diverses caractéristiques. Par exemple, vous pouvez filtrer les données sur l'emplacement principal pour examiner la position géographique des tentatives de connexion de l'utilisateur. Cela peut indiquer qu'un utilisateur se connecte depuis des lieux inhabituels.

Filtrage procédural sur l'emplacement principal

Filtrage procédural sur le lieu principal

Remarques

La vue Utilisateur présente les limites suivantes :

Seuls 80 000 événements peuvent être affichés dans cette vue.
Vous ne pouvez filtrer que les événements affichés dans cette vue.
Seuls les types d'événements "Utilisateur", "Adresse e-mail" et "DNS" sont renseignés dans cette vue. Les informations "Première vue" et "Dernière vue" renseignées dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les journaux bruts et les recherches UDM.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.