调查用户

Google Security Operations 用户视图使客户能够更好地了解企业用户如何受到安全性事件的影响。通过关注个人用户的行为，安全管理员可以搜索表示账号泄露或其他安全问题的活动。确保从您网络（例如 EDR、防火墙、Web 代理、用户上下文和身份验证）的设备中提取和规范化数据。

搜索用户

如需在 Google SecOps 中打开用户视图，请在“搜索”字段中输入企业内用户的用户名或电子邮件地址。如果该用户存在于您的 Google SecOps 账号中，则该用户会作为结果显示。点击用户名以切换到用户视图。

“用户”视图别名

用户视图包含用户别名功能，可确保与单个用户关联的事件不会重复，并且可在 Google SecOps 账号中更轻松地搜索。例如，如果您有一个名叫 Dennis 的员工，其用户标识符为 dennis，电子邮件地址为 dennis@altostrat.com，而您在 Google SecOps 中搜索 dennis，则系统会返回 dennis 和 dennis@altostrat.com 的事件。

“用户”视图功能

用户视图包含许多功能和界面控件，可让您更仔细地检查企业中的用户数据。其中一些功能是用户视图所独有的，还有一些则与其他 Google SecOps 事件视图（“网域”视图、“IP 地址”视图等）共用。

Google SecOps 用户视图功能

1 用户信息

显示在企业 IT 系统（例如 Active Directory、Workday、Okta 等）中存储的用户信息。

2 日期选择

使用左右箭头在一个日历周间隔（星期六至星期日）内检查与用户关联的事件。如果显示的时间段内没有可用的数据，您将获得“首次出现时间”和“上次出现时间”选项，以将视图快速移动到相关时间段。

3 X 轴时移

默认情况下，“用户”视图会将梯度热图中心设置为世界协调时间 (UTC) 中午 12 点。使用 X 轴时间偏移控件，您可以将热图放置在 12:00 之前或之后的 12 小时内。这样，您就可以重点关注用户的异常时间段。例如，您可以将显示的时间转换为世界协调时间 (UTC) 零点 (00:00)，以便重点关注晚上和清晨时段的用户活动，如下图所示。

将 X 轴时间偏移设置为 +12

4 梯度热点图

用户视图梯度热图显示了您正在调查的时间段内的用户活动汇总视图。每个方块表示一天中记录的用户活动时间段（一天中的一小时）。此图表可让您查找异常或异常的用户活动。

点击方形会显示活动日期，然后在绿色弹出式窗口中点击该日期即可转到时间轴上的相应小时。

每个方形的颜色从黑色到灰色再到白色不等：

• 黑色方块表示没有用户活动。

• 白色方块表示频繁的用户活动。

• 深灰色到浅灰色方形表示活动级别增加，深灰色阴影表示活动较少，浅灰色阴影表示更多活动。

例如，用户通常在正常工作时间里处于活跃状态，但在夜间或周末不活跃。不过，该用户最近每天在凌晨 3 点开始变得很活跃。梯度热图可让您快速找到此类异常活动。

5 用户提醒

Google SecOps 会捕获用户安全提醒，并在此处显示。您可以点击关联的链接，以进一步调查相应提醒。

7 列

自定义时间轴标签页中显示的列。

6 时间轴和素材资源

用户视图中还会显示时间轴和资产标签页。与其他 Google SecOps 视图一样，时间轴标签页按时间顺序列出事件，资产标签页按字母或数字列出与用户关联的资产。显示的素材资源与该特定用户在您企业中的活动相对应，并且受指定时间段的限制。

使用这些标签页，如下所示：

• 时间轴标签页：在“时间轴”标签页中选择事件还会以绿色突出显示渐变热图中的对应事件。提醒由红色三角形和红色文本表示。

• 资产标签页：选择某个资产后，“资产”标签页中的绿色部分会突出显示，而涉及该资产的所有活动也会在“梯度热图”上以绿色突出显示。您可以通过点击“资产”标签页中的首次访问或上次访问的时间来切换到“资产”视图。

8 过程过滤

您可以点击用户视图中的“过程过滤”图标，并根据各种特征过滤用户信息，从而打开过程过滤菜单。例如，您可以基于主账号位置过滤，以查看用户登录尝试的地理位置。这可能表明用户正在从异常位置登录。

对主账号位置进行过程过滤

注意事项

用户视图具有以下限制：

• 此视图中最多只能显示 8 万个事件。
• 您只能过滤此视图中显示的事件。
• 此视图中仅填充了“用户”“电子邮件”和“DNS”事件类型。此视图中填充的首次看到和上次看到信息也仅限于这些事件类型。
• 通用事件不会显示在任何精选视图中。它们仅会出现在原始日志和 UDM 搜索中。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。