Indagine su un utente

Supportato in:

La visualizzazione Utente di Google Security Operations consente ai clienti di comprendere meglio l'impatto degli eventi di sicurezza sugli utenti all'interno di un'azienda. Concentrandosi sul comportamento dei singoli utenti, gli amministratori della sicurezza possono cercare attività che indicano una compromissione dell'account o altri problemi di sicurezza. Assicurati di importare e normalizzare i dati dai dispositivi sulla tua rete, ad esempio EDR, firewall, proxy web, contesto utente e autenticazione e così via.

Cerca un utente

Per aprire la visualizzazione Utente in Google SecOps, inserisci il nome utente o l'indirizzo email di un utente della tua azienda nel campo di ricerca. Se l'utente è presente nel tuo account Google SecOps, viene visualizzato come risultato. Fai clic sul nome utente per passare alla visualizzazione Utente.

Alias della visualizzazione utente

La visualizzazione Utente include una funzionalità di alias utente per garantire che gli eventi associati a un singolo utente non vengano duplicati e siano più facili da cercare all'interno del tuo account Google SecOps. Ad esempio, se hai un dipendente di nome Dennis il cui identificatore utente è dennis e la cui email è dennis@altostrat.com e cerchi dennis in Google SecOps, vengono restituiti eventi sia per dennis sia per dennis@altostrat.com.

Funzionalità della visualizzazione utente

La visualizzazione Utente include molte funzionalità e controlli dell'interfaccia utente per consentirti di esaminare più da vicino i dati utente all'interno della tua azienda. Alcune di queste funzionalità sono esclusive della visualizzazione Utente, mentre altre sono condivise con le altre visualizzazioni degli eventi di Google SecOps (visualizzazione Dominio, visualizzazione Indirizzo IP e così via).

Visualizzazione utente con callout Funzionalità della visualizzazione utente di Google SecOps

1 Informazioni utente

Mostra le informazioni sull'utente archiviate nei sistemi IT aziendali (ad esempio Active Directory, Workday, Okta e così via).

2 Selezione della data

Utilizza le frecce sinistra e destra per esaminare gli eventi associati all'utente in un intervallo di una settimana di calendario (da sabato a domenica). Se non sono disponibili dati nel periodo di tempo visualizzato, vengono visualizzate le opzioni Prima visualizzazione e Ultima visualizzazione per passare rapidamente a un periodo di tempo pertinente.

3 Spostamento temporale dell'asse X

Per impostazione predefinita, la visualizzazione Utente centra la mappa termica sfumata alle ore 12:00 UTC (mezzogiorno). Utilizzando il controllo Spostamento temporale asse X, puoi centrare la mappa termica fino a 12 ore prima o dopo le 12:00. In questo modo puoi concentrarti sui periodi di tempo atipici per l'utente. Ad esempio, puoi spostare la visualizzazione a mezzanotte UTC per concentrarti sull'attività utente nelle ore serali e mattutine, come mostrato in queste figure.

Impostazione dello spostamento temporale dell'asse X su +12 Impostazione dello spostamento temporale dell'asse X a +12

4 Mappa termica con gradiente

La mappa termica con sfumature della visualizzazione Utente mostra una visualizzazione aggregata dell'attività utente nel periodo di tempo che stai analizzando. Ogni quadrato indica un'ora del giorno (UTC) per l&#39attività utentee registrato nel periodo di tempo. Questo grafico ti consente di individuare attività utente insolite o atipiche.

Se fai clic su un quadrato, viene visualizzata la data dell'attività e se fai clic su questa data nel popup verde, viene visualizzata l'ora degli eventi nellaTimelinea.

Il colore di ogni quadrato varia dal nero al bianco, passando per le tonalità di grigio:

  • I quadrati neri indicano l'assenza di attività utente'utente.

  • I quadrati bianchi indicano un'attività frequente dell'utente.

  • I quadrati dal grigio scuro al grigio chiaro indicano livelli di attività crescenti, con le tonalità scure di grigio che rappresentano meno attività e le tonalità chiare di grigio che rappresentano di più.

Ad esempio, un utente è attivo regolarmente durante il normale orario di lavoro e mai tardi la sera o nei fine settimana. Tuttavia, di recente questo utente è diventato attivo ogni giorno alle 3:00. La mappa termica con gradiente ti consente di individuare rapidamente questo tipo di attività atipica.

5 Avvisi utente

Gli avvisi di sicurezza per gli utenti vengono acquisiti da Google SecOps e visualizzati qui. Puoi fare clic sui link associati per esaminare ulteriormente l'avviso.

7 colonne

Personalizza le colonne visualizzate nella scheda Cronologia.

6 Timeline e asset

Le schede Cronologia e asset sono disponibili anche nella visualizzazione Utente. Come per altre visualizzazioni di Google SecOps, la scheda Sequenza temporale elenca gli eventi in ordine cronologico e la scheda Asset elenca gli asset associati all'utente in ordine alfabetico o numerico. Gli asset visualizzati corrispondono all'attività di questo utente specifico all'interno della tua azienda e sono limitati al periodo di tempo specificato.

Utilizza queste schede nel seguente modo:

  • Scheda Cronologia: se selezioni un evento nella scheda Timeline, viene evidenziato anche l'evento corrispondente nella mappa termica a gradiente in verde. Gli avvisi sono indicati da un triangolo rosso e da un testo rosso.

  • Scheda Asset: se selezioni un asset, questo viene evidenziato in verde nella scheda Asset e anche tutta l'attività che lo riguarda viene evidenziata in verde nella mappa termica sfumata. Puoi passare alla visualizzazione Asset facendo clic su Primo accesso o Ultimo accesso nella scheda Asset.

8 Filtraggio procedurale

Puoi aprire il menu Filtro procedurale facendo clic sull'icona Filtro procedurale nella visualizzazione Utente e filtrare le informazioni utente in base a una serie di caratteristiche. Ad esempio, puoi filtrare in base a Località principale per esaminare la posizione geografica dei tentativi di accesso dell'utente. Potrebbe indicare che un utente sta accedendo da posizioni insolite.

Filtraggio procedurale nella sede principale

Filtraggio procedurale in base alla sede principale

Considerazioni

La visualizzazione utente presenta le seguenti limitazioni:

  • In questa visualizzazione possono essere visualizzati solo 80.000 eventi.
  • Puoi filtrare solo gli eventi visualizzati in questa visualizzazione.
  • In questa visualizzazione vengono compilati solo i tipi di eventi Utente, Email e DNS. Le informazioni relative alla prima e all'ultima visualizzazione inserite in questa visualizzazione sono limitate a questi tipi di eventi.
  • Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni curate. Vengono visualizzati solo nei log grezzi e nelle ricerche UDM.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.