Investigar um usuário

Compatível com:

A visualização Usuário do Google Security Operations permite que os clientes entendam melhor como os usuários de uma empresa são afetados por eventos de segurança. Ao se concentrar no comportamento de usuários individuais, os administradores de segurança podem pesquisar atividades que indicam uma invasão de conta ou outros problemas de segurança. Verifique se você está ingerindo e normalizando dados de dispositivos na sua rede, como EDR, firewall, proxy da Web, contexto do usuário, autenticação etc.

Pesquisar um usuário

Para abrir a visualização Usuário no Google SecOps, insira o nome de usuário ou o endereço de e-mail de um usuário da sua empresa no campo de pesquisa. Se o usuário estiver na sua conta do Google SecOps, ele vai aparecer como resultado. Clique no nome de usuário para acessar a visualização Usuário.

Alias de visualização do usuário

A visualização Usuário inclui um recurso de alias de usuário para garantir que os eventos associados a um único usuário não sejam duplicados e sejam mais fáceis de pesquisar na sua conta do Google SecOps. Por exemplo, se você tiver um funcionário chamado Dennis cujo identificador de usuário seja dennis e o e-mail seja dennis@altostrat.com e você pesquisar dennis no Google SecOps, os eventos de dennis e dennis@altostrat.com serão retornados.

Recursos da visualização do usuário

A visualização Usuário inclui muitos recursos e controles de interface do usuário para que você possa analisar mais de perto os dados do usuário na sua empresa. Alguns desses recursos são exclusivos da visualização Usuário, e outros são compartilhados com as outras visualizações de eventos do Google SecOps (visualização de domínio, de endereço IP etc.).

Visualização do usuário com frases de destaque Recursos da visualização do usuário do Google SecOps

1 Informações do usuário

Mostra informações sobre o usuário armazenadas nos sistemas de TI da empresa (por exemplo, Active Directory, Workday, Okta etc.).

2 Seleção de data

Use as setas para a esquerda e para a direita para examinar os eventos associados ao usuário em um intervalo de uma semana (de sábado a domingo). Se não houver dados disponíveis no período mostrado, você vai receber as opções "Primeira vez visto" e "Última vez visto" para mudar rapidamente a visualização para um período relevante.

3 mudança de tempo no eixo X

Por padrão, a visualização Usuário centraliza o mapa de calor gradiente às 12:00 UTC (meio-dia). Usando o controle de mudança de horário do eixo X, é possível centralizar o mapa de calor até 12 horas antes ou depois das 12h. Assim, você pode se concentrar em períodos atípicos para o usuário. Por exemplo, você pode mudar o horário de exibição para 0h UTC (meia-noite) e se concentrar na atividade do usuário no final da noite e no início da manhã, conforme mostrado nestas figuras.

Definir a mudança de tempo do eixo X como +12 Definir a mudança de tempo do eixo X como +12

4 Mapa de calor gradiente

O mapa de calor gradiente da visualização Usuário mostra uma visão agregada da atividade do usuário no período que você está investigando. Cada quadrado indica uma hora do dia (UTC) para uma atividade de usuário conectado durante o período. Com esse gráfico, é possível localizar atividades de usuários incomuns ou atípicas.

Ao clicar em um quadrado, a data da atividade é mostrada. Ao clicar nessa data no popover verde, você acessa a hora dos eventos na linha do tempo.

A cor de cada quadrado varia de preto a branco, passando por tons de cinza:

  • Os quadrados pretos indicam que não houve atividade do usuário.

  • Os quadrados brancos indicam atividade frequente do usuário.

  • Os quadrados cinza-escuro a cinza-claro indicam níveis crescentes de atividade, com tons escuros representando menos atividade e tons claros representando mais.

Por exemplo, um usuário está sempre ativo durante o horário de trabalho normal e nunca fica ativo tarde da noite ou nos fins de semana. No entanto, esse usuário passou a ficar ativo todos os dias às 3h. Com o mapa de calor gradiente, é possível localizar rapidamente esse tipo de atividade atípica.

5 alertas de usuário

Os alertas de segurança do usuário são capturados pelo Google SecOps e exibidos aqui. Clique nos links associados para investigar melhor o alerta.

7 colunas

Personalize as colunas mostradas na guia Cronograma.

6. Cronograma e recursos

As guias Linha do tempo e recursos também estão disponíveis na visualização Usuário. Assim como em outras visualizações do Google SecOps, a guia Linha do tempo lista os eventos em ordem cronológica, e a guia Recursos lista os recursos associados ao usuário em ordem alfabética ou numérica. Os recursos mostrados correspondem à atividade desse usuário específico na sua empresa e são limitados pelo período especificado.

Use as guias da seguinte maneira:

  • Guia Linha do tempo: selecionar um evento nessa guia também destaca o evento correspondente no mapa de calor gradiente em verde. Os alertas são indicados por um triângulo e um texto em vermelho.

  • Guia Recurso: ao selecionar um recurso, ele é destacado em verde na guia "Recurso", e toda a atividade relacionada a ele também é destacada em verde no mapa de calor gradiente. Para mudar para a visualização de recursos, clique em "Primeiro acesso" ou "Último acesso" na guia "Recursos".

8 Filtragem processual

Para abrir o menu Filtragem procedural, clique no ícone de filtragem procedural na visualização Usuário e filtre as informações do usuário com base em várias características. Por exemplo, você pode filtrar por "Local principal" para examinar a localização geográfica das tentativas de login do usuário. Isso pode indicar que um usuário está fazendo login em locais incomuns.

Filtragem processual no local principal

Filtragem processual no local principal

Considerações

A visualização do usuário tem as seguintes limitações:

  • Apenas 80 mil eventos podem ser mostrados nessa visualização.
  • Só é possível filtrar eventos que aparecem nessa visualização.
  • Somente os tipos de evento "Usuário", "E-mail" e "DNS" são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de eventos.
  • Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Elas aparecem apenas no registro bruto e nas pesquisas de UDM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.