La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Analyse - toute l’activité

Contributeurs

La page toutes les activités vous aide à comprendre les actions effectuées sur les entités de l’environnement de sécurité de la charge de travail.

Examen de toutes les données d’activité

Cliquez sur Forensics > activité Forensics et cliquez sur l’onglet toutes les activités pour accéder à la page toutes les activités. Cette page présente les activités de votre environnement et présente les informations suivantes :

  • Graphique indiquant Historique des activités (accessible par minute/par 5 minutes/10 minutes en fonction de la plage horaire globale sélectionnée)

    Vous pouvez zoomer sur le graphique en faisant glisser un rectangle dans le graphique. La page entière sera chargée pour afficher la plage de temps agrandie. Lorsque vous effectuez un zoom avant, un bouton s’affiche pour permettre à l’utilisateur d’effectuer un zoom arrière.

  • Un graphique de types d’activités. Pour obtenir les données de l’historique d’activité par type d’activité, cliquez sur le lien du libellé de l’axe X correspondant.

  • Un graphique d’activité sur types d’entité. Pour obtenir les données de l’historique d’activité par type d’entité, cliquez sur le lien du libellé de l’axe X correspondant.

  • Une liste des données All Activity

Le tableau *toutes les activités* indique les informations suivantes. Notez que toutes ces colonnes ne sont pas affichées par défaut. Vous pouvez sélectionner les colonnes à afficher en cliquant sur l’icône « vitesse » icône de vitesse.

  • Le temps où une entité a été consultée, y compris l’année, le mois, le jour et l’heure du dernier accès.

  • Le utilisateur qui a accédé à l’entité avec un lien vers le "Informations utilisateur".

  • L’activité * réalisée par l’utilisateur. Les types pris en charge sont les suivants :

    • Changer la propriété du groupe - la propriété du groupe est de fichier ou de dossier est modifiée. Pour plus de détails sur la propriété du groupe, reportez-vous à la section "ce lien."

    • Changer propriétaire - la propriété du fichier ou du dossier est remplacée par un autre utilisateur.

    • Modifier l’autorisation - l’autorisation de fichier ou de dossier est modifiée.

    • Créer - Créer un fichier ou un dossier.

    • Supprimer - Supprimer le fichier ou le dossier. Si un dossier est supprimé, delete events sont obtenus pour tous les fichiers de ce dossier et de ces sous-dossiers.

    • Lire - le fichier est lu.

    • Read Metadata - uniquement sur l’activation de l’option de surveillance de dossier. Sera généré lors de l’ouverture d’un dossier sous Windows ou de l’exécution de "ls" dans un dossier sous Linux.

    • Renommer - Renommer le fichier ou le dossier.

    • Ecrire - les données sont écrites dans un fichier.

    • Write Metadata - les métadonnées de fichier sont écrites, par exemple, les autorisations modifiées.

    • Autre changement - tout autre événement qui n’est pas décrit ci-dessus. Tous les événements non mappés sont mappés au type d’activité “autre changement”. Applicable aux fichiers et dossiers.

  • Le chemin vers l’entité avec un lien vers le "Données de détail d’entité"

  • Le Type d’entité, y compris l’extension d’entité (c.-à-d. fichier) (.doc, .docx, .tmp, etc.)

  • Le périphérique où résident les entités

  • Le Protocole utilisé pour récupérer des événements.

  • Le chemin d’origine utilisé pour renommer les événements lorsque le fichier d’origine a été renommé. Par défaut, cette colonne n’est pas visible dans le tableau. Utilisez le sélecteur de colonne pour ajouter cette colonne à la table.

  • Le Volume où résident les entités. Par défaut, cette colonne n’est pas visible dans le tableau. Utilisez le sélecteur de colonne pour ajouter cette colonne à la table.

Filtrage des données d’historique d’activité Forensic

Vous pouvez utiliser deux méthodes pour filtrer les données.

  1. Placez le pointeur de la souris sur le champ du tableau et cliquez sur l’icône de filtre qui s’affiche. La valeur est ajoutée aux filtres appropriés dans la liste Filter by supérieure.

  2. Filtrez les données en entrant dans le champ Filter by :

    Sélectionnez le filtre approprié dans le widget filtre par en haut en cliquant sur le bouton [+] :

    Filer entité, largeur=500

    Entrez le texte de recherche

    Appuyez sur entrée ou cliquez en dehors de la zone de filtre pour appliquer le filtre.

Vous pouvez filtrer les données d’activité Forensic en utilisant les champs suivants :

  • Le type activité.

  • Source IP à partir de laquelle l’entité a été accédée. Vous devez fournir une adresse IP source valide en guillemets doubles, par exemple “10.1.1.1.” Les adresses IP incomplètes telles que “10.1.1.”, “10.1..*”, etc. Ne fonctionneront pas.

  • Protocole pour extraire des activités spécifiques au protocole.

  • Nom d’utilisateur de l’utilisateur effectuant l’activité. Vous devez fournir le nom d’utilisateur exact pour filtrer. La recherche avec un nom d’utilisateur partiel ou un nom d’utilisateur partiel préfixé ou suffixé par '*' ne fonctionnera pas.

  • Réduction du bruit pour filtrer les fichiers créés par l’utilisateur au cours des 2 dernières heures. Il est également utilisé pour filtrer les fichiers temporaires (par exemple, les fichiers .tmp) auxquels l’utilisateur a accès.

Les champs suivants sont soumis à des règles de filtrage spéciales :

  • Type d’entité, utilisant l’extension d’entité (fichier)

  • Chemin de l’entité

  • Utilisateur exécutant l’activité

  • Périphérique (SVM) où résident les entités

  • Volume où résident les entités

  • Le chemin d’origine utilisé pour renommer les événements lorsque le fichier d’origine a été renommé.

Les champs précédents sont soumis aux éléments suivants lors du filtrage :

  • La valeur exacte doit se trouver dans les guillemets : exemple : « searchtext »

  • Les chaînes de caractères génériques ne doivent pas contenir de guillemets : par exemple : searchtext, *searchtext*, filtrera les chaînes contenant ‘contour d’oreille’.

  • Chaîne avec un préfixe, par exemple : searchtext* , recherchera toutes les chaînes commençant par ‘contour d’oreille’.

Tri des données d’historique d’activité Forensic

Vous pouvez trier les données de l’historique d’activité par Time, User, Source IP, Activity, Path et Entity Type. Par défaut, la table est triée par ordre décroissant time, ce qui signifie que les dernières données seront affichées en premier. Le tri est désactivé pour les champs Device et Protocol.

Exportation de toute l’activité

Vous pouvez exporter l’historique des activités dans un fichier .CSV en cliquant sur le bouton Export au-dessus de la table Historique des activités. Notez que seuls les 10,000 principaux enregistrements sont exportés.

Sélection de colonne pour toutes les activités

Le tableau all Activity affiche les colonnes sélectionnées par défaut. Pour ajouter, supprimer ou modifier les colonnes, cliquez sur l’icône engrenage située à droite du tableau et sélectionnez-la dans la liste des colonnes disponibles.

Sélecteur d’activité, largeur=30 %

Conservation de l’historique des activités

L’historique des activités est conservé pendant 13 mois pour les environnements de sécurité active de la charge de travail.

Applicabilité des filtres dans la page Forensics

Filtre

Ce qu’il fait

Exemple

Quels filtres s’appliquent ?

Non applicable pour quels filtres

Résultat

* (Astérisque)

permet de rechercher tout

Auto*03172022

Utilisateur, CHEMIN, Type d’entité, Type de périphérique, Volume, Chemin d’origine

Renvoie toutes les ressources commençant par "Auto" et se terminant par "03172022"

? (point d’interrogation)

permet de rechercher un nombre spécifique de caractères

AutoSabotageUser1_03172022 ?

Utilisateur, Type d’entité, périphérique, volume

Renvoie AutoSabotageUser1_03172022A, AutoSabotageUser1_03172022AB, AutoSabotageUser1_031720225, etc

OU

vous permet de spécifier plusieurs entités

AutoSalotageUser1_03172022 OU AutoRansomUser4_03162022

Utilisateur, domaine, Nom d’utilisateur, CHEMIN, Type d’entité, Périphérique, chemin d’origine

Renvoie AutoSalotageUser1_03172022 OU AutoRansomUser4_03162022

PAS

permet d’exclure du texte des résultats de la recherche

PAS AutoRansomUser4_03162022

Utilisateur, domaine, Nom d’utilisateur, CHEMIN, Type d’entité, CHEMIN d’origine, Volume

Périphérique

Renvoie tout ce qui ne commence pas par "AutoRansomUser4_03162022"

Aucune

Recherche les valeurs NULL dans tous les champs

Aucune

Domaine

renvoie les résultats où le champ cible est vide

Chemin d’accès / chemin d’origine recherche

Les résultats de la recherche avec et sans / seront différents

/AutoDir1/AutoFile

Fonctionne

AutoDir1/AutoFile

Ne fonctionne pas

/AutoDir1/AutoFile (Dir1)

Dir1 la sous-chaîne partielle ne fonctionne pas

"/AutoDir1/AutoFile03242022"

La recherche exacte fonctionne

Auto*03242022

Ne fonctionne pas

AutoSabotageUser1_03172022 ?

Ne fonctionne pas

/AutoDir1/AutoFile03242022 OU /AutoDir1/AutoFile03242022

Fonctionne

NON /AutoDir1/AutoFile03242022

Fonctionne

NON /AutoDir1

Fonctionne

NON /AutoFile03242022

Ne fonctionne pas

*

Affiche toutes les entrées

Dépannage

Problème

Essayez

Dans la table “toutes les activités”, sous la colonne ‘utilisateur’, le nom d’utilisateur est indiqué comme suit : “ldap:HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” ou “ldap:Default:80038003”

Raisons possibles : 1. Aucun collectionneur de répertoires d’utilisateurs n’a encore été configuré. Pour en ajouter un, accédez à Admin > Data Collectors > collecteurs de répertoires d’utilisateurs et cliquez sur +collecteur de répertoires d’utilisateurs. Choisissez Active Directory ou LDAP Directory Server. 2. Un collecteur d’annuaire d’utilisateurs a été configuré, mais il s’est arrêté ou est à l’état d’erreur. Accédez à Admin > Data Collectors > User Directory Collectors et vérifiez l’état. Reportez-vous à la "Dépannage de l’utilisateur Directory Collector" section de la documentation pour des conseils de dépannage. Après la configuration correcte, le nom sera automatiquement résolu dans les 24 heures. Si elle n’est toujours pas résolue, vérifiez si vous avez ajouté le collecteur de données utilisateur approprié. Assurez-vous que l’utilisateur fait bien partie du serveur Active Directory/LDAP d’annuaire ajouté.

Certains événements NFS n’apparaissent pas dans l’interface utilisateur.

Vérifier ce qui suit : 1. Un collecteur d’annuaire utilisateur pour serveur AD avec un jeu d’attributs POSIX doit être exécuté avec l’attribut unixid activé à partir de l’interface utilisateur. 2. Tout utilisateur effectuant un accès NFS doit s’afficher lorsqu’il recherche dans la page utilisateur à partir de l’interface utilisateur 3. Les événements bruts (événements pour lesquels l’utilisateur n’est pas encore découvert) ne sont pas pris en charge par NFS 4. L’accès anonyme à l’exportation NFS ne sera pas surveillé. 5. S’assurer que la version NFS est utilisée dans un niveau inférieur à NFS4.1.