本頁面由 Cloud Translation API 翻譯而成。

調查使用者

支援的國家/地區：

Google SecOps SIEM

Google Security Operations 的「使用者」檢視畫面可協助客戶進一步瞭解企業內的使用者如何受到安全性事件影響。安全管理員可以著重於個別使用者的行為，搜尋顯示帳戶遭盜用或其他安全疑慮的活動。請務必從網路上的裝置擷取及正規化資料，例如 EDR、防火牆、Web 代理、使用者環境和驗證等。

搜尋使用者

如要在 Google SecOps 中開啟「使用者」檢視畫面，請在「搜尋」欄位中輸入企業內使用者的使用者名稱或電子郵件地址。如果使用者位於您的 Google SecOps 帳戶中，系統就會顯示該使用者。按一下使用者名稱，即可切換至「使用者」檢視畫面。

使用者檢視別名

「使用者」檢視畫面提供使用者別名功能，可確保與單一使用者相關聯的事件不會重複，且更容易在 Google SecOps 帳戶中搜尋。舉例來說，假設您有名為 Dennis 的員工，使用者 ID 為 dennis，電子郵件地址為 dennis@altostrat.com。如果您在 Google SecOps 中搜尋 dennis，系統會傳回 dennis 和 dennis@altostrat.com 的事件。

使用者檢視畫面功能

使用者檢視畫面提供許多功能和使用者介面控制選項，方便您更仔細地檢查企業內的使用者資料。其中部分功能是「使用者」檢視畫面專屬，部分則與其他 Google SecOps 事件檢視畫面 (網域檢視畫面、IP 位址檢視畫面等) 共用。

使用者畫面 (附註解) Google SecOps 使用者檢視畫面功能

1 使用者資訊

顯示儲存在企業 IT 系統中的使用者資訊 (例如 Active Directory、Workday、Okta 等)。

2 選擇日期

使用向左/向右箭頭，以一週為間隔 (週六到週日)，查看與使用者相關的事件。如果顯示的時間範圍內沒有資料，系統會提供「首次出現」和「上次出現」選項，方便您快速將檢視畫面移至相關時間範圍。

3 X 軸時間位移

根據預設，「使用者」檢視畫面會將漸層熱度地圖的中心設為世界標準時間 (UTC) 中午 12 點。使用 X 軸時間位移控制項，您可以將熱度圖置中，時間最多可提前或延後 12 小時。以便專注於使用者非典型的時間範圍。舉例來說，您可以將顯示時間調到世界標準時間 0:00 (午夜)，專注於深夜和清晨的使用者活動，如以下圖所示。

將 X 軸時間位移設為 +12 將 X 軸時間位移設定為 +12

4 漸層熱視圖

「使用者」檢視畫面中的漸層熱視圖會顯示您調查時間範圍內的使用者活動匯總資料。每個方格代表所選時間範圍內，記錄使用者活動的某個小時 (UTC)。這張圖表可協助您找出異常或非典型的使用者活動。

按一下方塊會顯示活動日期，按一下綠色彈出式視窗中的日期，即可前往時間軸中該小時的活動。

每個方塊的顏色從黑色到灰色陰影到白色不等：

黑色方塊表示沒有使用者活動。
白色方塊表示使用者活動頻繁。
深灰色到淺灰色的方塊表示活動量增加，深灰色代表活動量較少，淺灰色代表活動量較多。

舉例來說，使用者通常會在正常工作時間保持活躍，但從未在深夜或週末活躍。不過，這位使用者最近每天凌晨 3 點都會開始活動。您可以使用漸層熱度圖快速找出這類異常活動。

5 使用者快訊

Google SecOps 會擷取使用者安全快訊，並顯示在此處。您可以點選相關聯的連結，進一步調查快訊。

7 個資料欄

自訂「時間軸」分頁中顯示的資料欄。

6 時間軸和素材資源

「時間軸和資產」分頁也會顯示在「使用者」檢視畫面中。與其他 Google SecOps 檢視畫面一樣，「時間軸」分頁會依時間順序列出事件，「資產」分頁則會依字母或數字順序，列出與使用者相關聯的資產。顯示的資產對應於該特定使用者在企業內的活動，且受指定時間範圍限制。

請按照下列說明使用這些分頁：

「時間軸」分頁：在「時間軸」分頁中選取事件時，漸層熱度圖中也會以綠色醒目顯示對應的事件。警示會以紅色三角形和紅色文字表示。
「資產」分頁：選取資產後，系統會在「資產」分頁中以綠色醒目標示該資產，並在「漸層熱度圖」中以綠色醒目標示涉及該資產的所有活動。如要切換至「資產」檢視畫面，請按一下「資產」分頁中第一個或最後存取的資產。

8 程序篩選

按一下「使用者」檢視畫面中的「程序篩選」圖示，即可開啟「程序篩選」選單，並根據各種特徵篩選使用者資訊。舉例來說，您可以依主要位置篩選，查看使用者嘗試登入時的地理位置。這可能表示使用者從不尋常的位置登入。

主要位置的程序篩選

主要地點的程序篩選

注意事項

使用者檢視畫面有下列限制：

這個檢視畫面最多只能顯示 8 萬個事件。
您只能篩選這個檢視畫面中顯示的事件。
這個檢視畫面只會填入「使用者」、「電子郵件」和「DNS」事件類型。這個檢視畫面中填入的首次和上次出現資訊，也僅限於這些事件類型。
一般事件不會顯示在任何精選檢視畫面中。這類項目只會顯示在原始記錄和 UDM 搜尋中。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。