Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un utente

Supportato in:

Google SecOps SIEM

La visualizzazione Utente di Google Security Operations consente ai clienti di comprendere meglio in che modo gli utenti di un'azienda sono interessati dagli eventi di sicurezza. Concentrandosi sul comportamento dei singoli utenti, gli amministratori della sicurezza possono cercare attività che indicano una compromissione dell'account o altri problemi di sicurezza. Assicurati di eseguire l'importazione e la normalizzazione dei dati dei dispositivi sulla tua rete, ad esempio EDR, firewall, proxy web, contesto utente e autenticazione e così via.

Cerca un utente

Per aprire la visualizzazione Utente in Google Security Operations, inserisci il nome utente o l'indirizzo email di un utente della tua azienda nel campo di ricerca. Se l'utente è presente nel tuo account Google Security Operations, viene visualizzato come risultato. Fai clic sul nome utente per passare alla visualizzazione Utente.

Alias della visualizzazione utente

La visualizzazione Utente include una funzionalità di aliasing utente per garantire che gli eventi associati a un singolo utente non vengano duplicati e siano più facili da cercare all'interno del tuo account Google Security Operations. Ad esempio, se hai un dipendente di nome Dennis il cui identificatore utente è dennis e il cui indirizzo email è dennis@altostrat.com e cerchi dennis in Google Security Operations, vengono restituiti gli eventi sia per dennis sia per dennis@altostrat.com.

Funzionalità della visualizzazione utente

La visualizzazione Utente include molte funzionalità e controlli dell'interfaccia utente per consentirti di esaminare più da vicino i dati utente all'interno della tua azienda. Alcune di queste funzionalità sono uniche per la visualizzazione Utente, mentre altre sono condivise con le altre visualizzazioni degli eventi di Google Security Operations (visualizzazione del dominio, visualizzazione dell'indirizzo IP e così via).

Visualizzazione utente con callout Funzionalità della visualizzazione utente di Google Security Operations

1 Informazioni utente

Mostra le informazioni sull'utente archiviate nei sistemi IT aziendali (ad esempio Active Directory, Workday, Okta e così via).

2 Selezione della data

Utilizza i tasti Freccia sinistra e Freccia destra per esaminare gli eventi associati all'utente in un intervallo di una settimana di calendario (da sabato a domenica). Se non sono disponibili dati nel periodo di tempo visualizzato, vengono visualizzate le opzioni Prima apparizione e Ultima apparizione per spostare rapidamente la visualizzazione in un periodo di tempo pertinente.

3 Spostamento nel tempo sull'asse X

Per impostazione predefinita, la visualizzazione Utente centra la mappa di calore con gradiente alle ore 12:00 UTC (mezzogiorno). Utilizzando il controllo Spostamento nel tempo sull'asse X, puoi centrare la mappa di calore fino a 12 ore prima o dopo le 00:00. In questo modo puoi concentrarti su periodi di tempo atipici per l'utente. Ad esempio, puoi modificare l'ora di visualizzazione su 00:00 UTC (mezzanotte) per concentrarti sull'attività utente nelle ore notturne e nelle prime ore del mattino, come mostrato in queste immagini.

Impostazione dell'intervallo di tempo dell'asse X su +12 Impostazione dello sfasamento orario dell'asse X su +12

4 Mappa termica con gradiente

La visualizzazione Utente della mappa termica con gradiente mostra una visualizzazione aggregata dell'attività utente nel periodo di tempo in esame. Ogni quadrato indica un'ora del giorno (UTC) per un'attività utente registrata nel periodo di tempo. Questo grafico ti consente di individuare attività utente insolite o atipiche.

Se fai clic su un quadrato, viene visualizzata la data dell'attività e se fai clic sulla data nel popup verde, viene visualizzata l'ora degli eventi nella Timeline.

Il colore di ogni quadrato varia dal nero alle sfumature di grigio fino al bianco:

I quadrati neri indicano che non c'è attività utente.
I quadrati bianchi indicano un'attività utente frequente.
I quadrati da grigio scuro a grigio chiaro indicano livelli crescenti di attività, con le tonalità di grigio scuro che rappresentano meno attività e quelle chiare più attività.

Ad esempio, un utente è regolarmente attivo durante l'orario di lavoro normale e mai tardi la sera o nei fine settimana. Tuttavia, di recente questo utente è diventato attivo ogni giorno alle 3:00. La mappa di calore con gradiente ti consente di individuare rapidamente questo tipo di attività atipica.

5 avvisi utente

Gli avvisi sulla sicurezza degli utenti vengono acquisiti da Google Security Operations e visualizzati qui. Puoi fare clic sui link associati per esaminare ulteriormente l'avviso.

7 colonne

Personalizza le colonne visualizzate nella scheda Cronologia.

6 Timeline e asset

Le schede Spostamenti e Asset sono disponibili anche nella visualizzazione Utente. Come per altre visualizzazioni di Google Security Operations, la scheda Cronologia elenca gli eventi in ordine cronologico e la scheda Asset elenca gli asset associati all'utente in ordine alfabetico o numerico. Le risorse visualizzate corrispondono all'attività di questo utente specifico all'interno della tua azienda e sono limitate dal periodo di tempo specificato.

Utilizza queste schede come segue:

Scheda Sequenza temporale: la selezione di un evento nella scheda Timeline evidenzia anche in verde l'evento corrispondente nella mappa di calore con gradiente. Gli avvisi sono indicati da un triangolo rosso e da testo rosso.
Scheda Asset: la selezione di un asset lo evidenzia in verde nella scheda Asset e anche tutte le attività che lo coinvolgono sono evidenziate in verde nella mappa di calore con gradiente. Puoi passare alla visualizzazione Asset facendo clic sull'asset a cui hai eseguito l'accesso per primo o per ultimo nella scheda Asset.

8 Filtraggio procedurale

Puoi aprire il menu Filtro procedurale facendo clic sull'icona Filtro procedurale nella visualizzazione Utente e filtrare le informazioni utente in base a una serie di caratteristiche. Ad esempio, puoi filtrare in base alla località principale per esaminare la posizione geografica dei tentativi di accesso dell'utente. Potrebbe indicare che un utente sta accedendo da località insolite.

Filtro procedurale per località
principale

Filtro procedurale in base alla località principale

Considerazioni

La visualizzazione utente presenta le seguenti limitazioni:

In questa visualizzazione possono essere visualizzati solo 80.000 eventi.
Puoi filtrare solo gli eventi visualizzati in questa visualizzazione.
In questa visualizzazione vengono compilati solo i tipi di eventi Utente, Email e DNS. Anche le informazioni su prima apparizione e ultima apparizione inserite in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nelle ricerche dei log non elaborati e UDM.