Investigue um utilizador

Compatível com:

A vista Utilizador do Google Security Operations permite aos clientes compreender melhor como os utilizadores de uma empresa são afetados por eventos de segurança. Ao focarem-se no comportamento dos utilizadores individuais, os administradores de segurança podem pesquisar atividade que indique uma conta comprometida ou outras preocupações de segurança. Certifique-se de que está a carregar e normalizar dados de dispositivos na sua rede, como EDR, firewall, proxy Web, contexto do utilizador e autenticação, etc.

Pesquisar um utilizador

Para abrir a vista Utilizador no Google SecOps, introduza o nome de utilizador ou o endereço de email de um utilizador na sua empresa no campo de pesquisa. Se o utilizador estiver presente na sua conta do Google SecOps, esse utilizador é apresentado como resultado. Clique no nome de utilizador para aceder à vista Utilizador.

Criação de alias da vista do utilizador

A vista Utilizador inclui uma funcionalidade de atribuição de alias de utilizador para garantir que os eventos associados a um único utilizador não são duplicados e são mais fáceis de pesquisar na sua conta do Google SecOps. Por exemplo, se tiver um funcionário chamado Dennis cujo identificador de utilizador seja dennis e cujo email seja dennis@altostrat.com e pesquisar dennis no Google SecOps, são devolvidos eventos para dennis e dennis@altostrat.com.

Funcionalidades da vista O que o utilizador vê

A vista de utilizador inclui muitas funcionalidades e controlos da interface do utilizador que lhe permitem analisar mais detalhadamente os dados do utilizador na sua empresa. Algumas destas funcionalidades são exclusivas da vista Utilizador e outras são partilhadas com as outras vistas de eventos do Google SecOps (vista de domínio, vista de endereço IP, etc.).

Visualização do utilizador com textos destacados Funcionalidades da vista do utilizador do Google SecOps

1 Informações do utilizador

Apresenta informações sobre o utilizador armazenadas nos seus sistemas de TI empresariais (por exemplo, Active Directory, Workday, Okta, etc.).

2 Seleção da data

Use as setas para a esquerda e para a direita para examinar os eventos associados ao utilizador durante um intervalo de uma semana do calendário (de sábado a domingo). Se não estiverem disponíveis dados no período apresentado, são-lhe dadas as opções Visto pela primeira vez e Visto pela última vez para mudar rapidamente a vista para um período relevante.

3 turnos de tempo do eixo X

Por predefinição, a vista Utilizador centra o mapa de calor gradiente às 12:00 UTC (meio-dia). Com o controlo de deslocamento de tempo do eixo X, pode centrar o mapa de calor até 12 horas antes ou depois das 12:00. Isto permite-lhe focar-se em períodos atípicos para o utilizador. Por exemplo, pode alterar a hora de apresentação para as 00:00 UTC (meia-noite) para se concentrar na atividade dos utilizadores ao final da tarde e ao início da manhã, conforme mostrado nestas figuras.

Definir a mudança de tempo do eixo X para +12 A definir a mudança de tempo do eixo X para +12

4 Mapa térmico de gradiente

A vista Utilizador do mapa de calor de gradiente apresenta uma vista agregada da atividade do utilizador ao longo do período que está a investigar. Cada quadrado indica uma hora do dia (UTC) para a atividade de um utilizador com sessão iniciada ao longo do período. Este gráfico permite-lhe localizar atividade do utilizador invulgar ou atípica.

Se clicar num quadrado, é apresentada a data da atividade. Se clicar nessa data no pop-over verde, acede a essa hora de eventos na Linha cronológica.

A cor de cada quadrado varia do preto a tons de cinzento e branco:

  • Os quadrados pretos indicam que não existe atividade do utilizador.

  • Os quadrados brancos indicam atividade frequente do utilizador.

  • Os quadrados cinzentos escuros a cinzentos claros indicam níveis de atividade crescentes, com as tonalidades escuras de cinzento a representar menos atividade e as tonalidades claras de cinzento a representar mais.

Por exemplo, um utilizador está rotineiramente ativo durante o horário de trabalho normal e nunca está ativo tarde da noite ou aos fins de semana. No entanto, este utilizador tornou-se recentemente ativo todos os dias às 03:00. O mapa de calor de gradiente permite-lhe localizar rapidamente este tipo de atividade atípica.

5 alertas de utilizador

Os alertas de segurança do utilizador são capturados pelo Google SecOps e apresentados aqui. Pode clicar nos links associados para investigar mais detalhadamente o alerta.

7 colunas

Personalize as colunas apresentadas no separador Linha cronológica.

6 Linha cronológica e recursos

Os separadores Linha cronológica e recursos também estão disponíveis na vista Utilizador. Tal como acontece com outras vistas do Google SecOps, o separador Linha cronológica apresenta os eventos por ordem cronológica e o separador Recursos apresenta os recursos associados ao utilizador por ordem alfabética ou numérica. Os recursos apresentados correspondem à atividade deste utilizador específico na sua empresa e estão limitados ao período especificado.

Use estes separadores da seguinte forma:

  • Separador Linha cronológica: se selecionar um evento no separador Linha cronológica, também realça o evento correspondente no mapa de calor de gradiente a verde. Os alertas são indicados por um triângulo vermelho e texto vermelho.

  • Separador Recurso: a seleção de um recurso realça-o a verde no separador Recurso e toda a atividade que envolve esse recurso também é realçada a verde no mapa de calor de gradiente. Pode mudar para a vista de recursos clicando no primeiro recurso acedido ou no último recurso acedido no separador Recursos.

8 Filtragem processual

Pode abrir o menu Filtragem processual clicando no ícone Filtragem processual na vista Utilizador e filtrar as informações do utilizador com base numa variedade de características. Por exemplo, pode filtrar por Localização principal para examinar a localização geográfica das tentativas de início de sessão do utilizador. Pode indicar que um utilizador está a iniciar sessão a partir de localizações invulgares.

Procedural Filtering on Principal Location

Filtragem processual na localização principal

Considerações

A vista do utilizador tem as seguintes limitações:

  • Nesta vista, só é possível apresentar 80 mil eventos.
  • Só pode filtrar eventos apresentados nesta vista.
  • Apenas os tipos de eventos de utilizador, email e DNS são preenchidos nesta vista. As informações de primeira visualização e última visualização preenchidas nesta vista também estão limitadas a estes tipos de eventos.
  • Os eventos genéricos não aparecem em nenhuma das vistas organizadas. Aparecem apenas no registo não processado e nas pesquisas de UDM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.