事件工作台中的用户分析

最后更新于:

事件工作台中的用户分析数据整合了Log360套件的UEBA功能。获取用户行为分析及风险评分趋势需购买UEBA服务。

  1. 请参阅事件工作台概述页面了解该功能,并查看访问页面了解如何从EventLog Analyzer的不同仪表板调用事件工作台。
  2. 获取用户分析数据时,可点击以下任一唯一标识用户的字段:
    • 用户名
    • 目标用户
    • VPN用户名
    • 用户主体名称
    • 目标用户
    • 源用户
    • 主题用户名

事件工作台的用户分析部分将提供以下数据:

用户风险分析

查看用户的风险评分趋势、峰值风险评分及基于卡片系统的峰值风险评分,以识别潜在的内部威胁和数据外泄活动。点击日历图标设置所需时间段。

User analytics in Incident Workbench
  • 以下是用户风险分析部分可能显示的提示信息及其原因:

    • 案例1:未购买UEBA
      User analytics in Incident Workbench
    • 案例2:模型正在训练,基线创建中
      User analytics in Incident Workbench
    • 情况3:该用户无异常行为
      User analytics in Incident Workbench

用户活动概览

注:事件工作台中的用户活动概览模块无需集成UEBA。

用户活动概览包含以下组件:

用户账户管理 追踪与用户账户相关的创建、修改和删除操作。
设备严重性事件 汇总用户访问设备的相关设备严重性事件
活动会话概览 显示不同设备上的活动会话列表及其持续时间
软件安装与更新 列出用户在选定期间安装、卸载及更新的软件清单
前五大文件完整性监控事件 追踪与文件创建、删除、修改及访问相关的事件。
进程追踪 追踪进程创建与终止活动
User analytics in Incident Workbench

用户详情

注意:事件工作台中的用户详细信息部分无需UEBA集成。

该部分获取活动目录对象的详细信息,例如:

  • 用户详情
  • 联系详情
  • 终端服务器详情
  • 账户详情与
  • 对象详情
User analytics in Incident Workbench
注意:在EventLog Analyzer中浏览不同页面时,请最小化该标签页以访问事件工作台。只要不关闭工作台,即使注销并重新登录EventLog Analyzer,分析结果仍会保留。您也可将其保存至现有事件或创建新事件。