Analyse - toute l'activité
- Examen de toutes les données d'activité
- Filtrage des données d'historique d'activité Forensic
- Exemples de filtres d'analyse des événements :
- Tri des données d'historique d'activité Forensic
- Guide de l'utilisateur pour les exportations asynchrones
- Sélection de colonne pour toutes les activités
- Conservation de l'historique des activités
- Applicabilité des filtres dans la page Forensics
- Recherche de chemin
- Modifications de l'activité des utilisateurs du SVM root local
- Dépannage
La page toutes les activités vous aide à comprendre les actions effectuées sur les entités de l'environnement de sécurité de la charge de travail.
Examen de toutes les données d'activité
Cliquez sur Forensics > activité Forensics et cliquez sur l'onglet toutes les activités pour accéder à la page toutes les activités. Cette page présente les activités de votre locataire, en mettant en évidence les informations suivantes :
-
Un graphique montrant Historique des activités (basé sur la plage de temps globale sélectionnée)
Vous pouvez zoomer sur le graphique en faisant glisser un rectangle dans le graphique. La page entière sera chargée pour afficher la plage de temps agrandie. Lorsque vous effectuez un zoom avant, un bouton s'affiche pour permettre à l'utilisateur d'effectuer un zoom arrière.
-
Une liste des données All Activity.
-
Une liste déroulante regrouper par permet de regrouper l'activité par utilisateur, chemin, type d'entité, etc
-
Un bouton de chemin d'accès commun sera disponible au-dessus du tableau en un clic, et nous pouvons obtenir un panneau coulissant avec les détails du chemin d'accès de l'entité.
Le tableau *toutes les activités* indique les informations suivantes. Notez que toutes ces colonnes ne sont pas affichées par défaut. Vous pouvez sélectionner les colonnes à afficher en cliquant sur l'icône « engrenage ».
-
Le temps où une entité a été consultée, y compris l'année, le mois, le jour et l'heure du dernier accès.
-
Utilisateur qui a accédé à l'entité avec un lien vers le "Informations utilisateur" sous forme de panneau coulissant.
-
L'activité * réalisée par l'utilisateur. Les types pris en charge sont les suivants :
-
Changer la propriété du groupe - la propriété du groupe est de fichier ou de dossier est modifiée. Pour plus d'informations sur la propriété du groupe, reportez-vous à la section "ce lien."
-
Changer propriétaire - la propriété du fichier ou du dossier est remplacée par un autre utilisateur.
-
Modifier l'autorisation - l'autorisation de fichier ou de dossier est modifiée.
-
Créer - Créer un fichier ou un dossier.
-
Supprimer - Supprimer le fichier ou le dossier. Si un dossier est supprimé, delete events sont obtenus pour tous les fichiers de ce dossier et de ces sous-dossiers.
-
Lire - le fichier est lu.
-
Read Metadata - uniquement sur l'activation de l'option de surveillance de dossier. Sera généré lors de l'ouverture d'un dossier sous Windows ou de l'exécution de "ls" dans un dossier sous Linux.
-
Renommer - Renommer le fichier ou le dossier.
-
Ecrire - les données sont écrites dans un fichier.
-
Write Metadata - les métadonnées de fichier sont écrites, par exemple, les autorisations modifiées.
-
Autre changement - tout autre événement qui n'est pas décrit ci-dessus. Tous les événements non mappés sont mappés au type d'activité “autre changement”. Applicable aux fichiers et dossiers.
-
-
Le chemin est chemin_entité. Il doit s'agir du chemin exact de l'entité (par exemple, "/home/userX/nested1/nested2/abc.txt_") OU DE la partie répertoire du chemin d'accès pour la recherche récursive (par exemple, "/home/userX/nested1/nested2/"). REMARQUE : les schémas de chemin Regex (par exemple, userX) NE sont PAS autorisés ici. Il est également possible de spécifier des filtres de niveau dossier de chemin d'accès individuels, comme indiqué ci-dessous, pour le filtrage de chemin d'accès.
-
Le dossier 1er niveau (racine) est le répertoire racine du chemin d'accès de l'entité en minuscules.
-
Le dossier 2e niveau est le répertoire de deuxième niveau du chemin d'entité en minuscules.
-
Le dossier 3e niveau est le répertoire de troisième niveau du chemin d'entité en minuscules.
-
Le dossier 4e niveau est le répertoire de quatrième niveau du chemin d'entité en minuscules.
-
Le Type d'entité, y compris l'extension d'entité (c.-à-d. fichier) (.doc, .docx, .tmp, etc.).
-
Périphérique où résident les entités.
-
Le Protocole utilisé pour récupérer des événements.
-
Le chemin d'origine utilisé pour renommer les événements lorsque le fichier d'origine a été renommé. Par défaut, cette colonne n'est pas visible dans le tableau. Utilisez le sélecteur de colonne pour ajouter cette colonne à la table.
-
Le Volume où résident les entités. Par défaut, cette colonne n'est pas visible dans le tableau. Utilisez le sélecteur de colonne pour ajouter cette colonne à la table.
La sélection d'une ligne de tableau ouvre un panneau coulissant avec le profil utilisateur dans un onglet et la présentation de l'activité et de l'entité dans un autre onglet.
La méthode Group by par défaut est Activity Forensics. Si vous sélectionnez une méthode regrouper par différente—par exemple, Type d'entité—la table regrouper par de l'entité s'affiche. Si aucune sélection n'est effectuée, regrouper par tout s'affiche.
-
Le nombre d'activités s'affiche sous forme de lien hypertexte. Si vous sélectionnez cette option, le regroupement sélectionné sera ajouté sous forme de filtre. Le tableau d'activité sera mis à jour en fonction de ce filtre.
-
Notez que si vous modifiez le filtre, modifiez la plage horaire ou actualisez l'écran, vous ne pourrez pas revenir aux résultats filtrés sans avoir à nouveau défini le filtre.
Filtrage des données d'historique d'activité Forensic
Vous pouvez utiliser deux méthodes pour filtrer les données.
-
Le filtre peut être ajouté à partir du panneau coulissant. La valeur est ajoutée aux filtres appropriés dans la liste Filter by supérieure.
-
Filtrez les données en entrant dans le champ Filter by :
Sélectionnez le filtre approprié dans le widget filtre par en haut en cliquant sur le bouton [+] :
Entrez le texte de recherche
Appuyez sur entrée ou cliquez en dehors de la zone de filtre pour appliquer le filtre.
Vous pouvez filtrer les données d'activité Forensic en utilisant les champs suivants :
-
Le type activité.
-
Source IP à partir de laquelle l'entité a été accédée. Vous devez fournir une adresse IP source valide en guillemets doubles, par exemple “10.1.1.1.” Les adresses IP incomplètes telles que “10.1.1.”, “10.1..*”, etc. Ne fonctionneront pas.
-
Protocole pour extraire des activités spécifiques au protocole.
-
Nom d'utilisateur de l'utilisateur effectuant l'activité. Vous devez fournir le nom d'utilisateur exact pour filtrer. La recherche avec un nom d'utilisateur partiel ou un nom d'utilisateur partiel préfixé ou suffixé par '*' ne fonctionnera pas.
-
Réduction du bruit pour filtrer les fichiers créés par l'utilisateur au cours des 2 dernières heures. Il est également utilisé pour filtrer les fichiers temporaires (par exemple, les fichiers .tmp) auxquels l'utilisateur a accès.
-
Domaine de l'utilisateur exécutant l'activité. Vous devez fournir le domaine exact à filtrer. La recherche d'un domaine partiel, ou d'un domaine partiel préfixé ou suffixé avec le caractère générique ('*'), ne fonctionnera pas. None peut être spécifié pour rechercher un domaine manquant.
Les champs suivants sont soumis à des règles de filtrage spéciales :
-
Type d'entité, avec l'extension entité (fichier) - il est préférable de spécifier le type d'entité exact entre guillemets. Par exemple “txt”.
-
Chemin de l'entité - il doit s'agir du chemin exact de l'entité (par exemple, "/home/userX/nested1/nested2/abc.txt") OU DE la partie répertoire du chemin pour la recherche récursive (par exemple, "/home/userX/nested1/nested2/"). REMARQUE : les schémas de chemin Regex (par exemple, userX) NE sont PAS autorisés ici. Pour des résultats plus rapides, il est recommandé d'utiliser des filtres de chemin d'accès au répertoire (chaîne de chemin se terminant par /) jusqu'à 4 répertoires en profondeur. Par exemple, "/home/userX/nested1/nested2/". Voir le tableau ci-dessous pour plus de détails.
-
Dossier de 1er niveau (racine) - répertoire racine de l'entité chemin d'accès en tant que filtres. Par exemple, si le chemin de l'entité est /home/userX/nested1/nested2/, Home OU Home peut être utilisé.
-
Dossier de 2ème niveau - répertoire de 2ème niveau de l'entité filtres de chemin. Par exemple, si le chemin de l'entité est /home/userX/nested1/nested2/, alors userX OU "userX" peut être utilisé.
-
Dossier de 3ème niveau – répertoire de 3ème niveau de l'entité filtres de chemin.
-
Par exemple, si le chemin de l'entité est /home/userX/nested1/nested2/, alors nested1 OU “nested1” peut être utilisé.
-
Dossier de 4e niveau - répertoire répertoire de 4e niveau de l'entité filtres de chemin. Par exemple, si le chemin de l'entité est /home/userX/nested1/nested2/, alors nested2 OU “nested2” peut être utilisé.
-
Utilisateur exécutant l'activité - il est préférable de spécifier l'utilisateur exact entre guillemets. Par exemple, « Administrateur ».
-
Périphérique (SVM) où résident les entités
-
Volume où résident les entités
-
Le chemin d'origine utilisé pour renommer les événements lorsque le fichier d'origine a été renommé.
Les champs précédents sont soumis aux éléments suivants lors du filtrage :
-
La valeur exacte doit se trouver dans les guillemets : exemple : « searchtext »
-
Les chaînes de caractères génériques ne doivent pas contenir de guillemets : par exemple : searchtext, *searchtext*, filtrera les chaînes contenant ‘contour d’oreille’.
-
Chaîne avec un préfixe, par exemple : searchtext* , recherchera toutes les chaînes commençant par ‘contour d’oreille’.
Exemples de filtres d'analyse des événements :
Expression de filtre appliquée par l'utilisateur | Résultat attendu | Évaluation des performances | Commentaire |
---|---|---|---|
Chemin = "/home/userX/nested1/nested2/" |
Recherche récursive de tous les fichiers et dossiers sous le répertoire donné |
Rapides |
Les recherches de répertoire jusqu'à 4 répertoires seront rapides. |
Chemin = "/home/userX/nested1/" |
Recherche récursive de tous les fichiers et dossiers sous le répertoire donné |
Rapides |
Les recherches de répertoire jusqu'à 4 répertoires seront rapides. |
Path = «/home/userX/nested1/test » |
Correspondance exacte où la valeur du chemin correspond à /home/userX/nested1/test |
Plus lent |
La recherche exacte sera plus lente que les recherches dans l'annuaire. |
Chemin = "/home/userX/nested1/nested2/nested3/" |
Recherche récursive de tous les fichiers et dossiers sous le répertoire donné |
Plus lent |
La recherche dans plus de 4 répertoires est plus lente. |
Tout autre filtre sans chemin d'accès. Il est recommandé de placer les filtres utilisateur et Type d'entité entre guillemets, par exemple, utilisateur=« Administrateur » Type d'entité=« txt » |
Rapides |
REMARQUE :
-
Le nombre d'activités affiché à côté de l'icône toutes les activités est arrondi à 30 minutes lorsque la plage de temps sélectionnée s'étend sur plus de 3 jours. Par exemple, une plage de temps de 1er sept 10:15 à 7 sept 10:15 affichera le nombre d'activités du 1er sept 10:00 au 7 sept 10:30.
-
De même, les mesures de comptage affichées dans le graphique Historique des activités sont arrondies à 30 minutes lorsque la plage horaire sélectionnée s'étend sur plus de 3 jours.
Tri des données d'historique d'activité Forensic
Vous pouvez trier les données de l'historique des activités par heure, utilisateur, IP source, activité,, Type d'entité, dossier de 1er niveau (racine), dossier de 2e niveau, dossier de 3e niveau et dossier de 4e niveau. Par défaut, la table est triée par ordre décroissant time, ce qui signifie que les dernières données seront affichées en premier. Le tri est désactivé pour les champs Device et Protocol.
Guide de l'utilisateur pour les exportations asynchrones
Présentation
La fonction d'exportation asynchrone de Storage Workload Security est conçue pour gérer les exportations de données volumineuses.
Guide étape par étape : exportation de données avec des exportations asynchrones
-
Lancer l'exportation : sélectionnez la durée et les filtres souhaités pour l'exportation et cliquez sur le bouton Exporter.
-
Attendre la fin de l'exportation: Le temps de traitement peut aller de quelques minutes à quelques heures. Vous devrez peut-être actualiser la page d'analyse plusieurs fois. Une fois le travail d'exportation terminé, le bouton « Télécharger le dernier fichier CSV d'exportation » est activé.
-
Télécharger: Cliquez sur le bouton "Télécharger le dernier fichier d'exportation créé" pour obtenir les données exportées au format .zip. Ces données seront disponibles au téléchargement jusqu'à ce que l'utilisateur lance une autre exportation asynchrone ou que 3 jours se soient écoulés, selon la première éventualité. Le bouton reste activé jusqu'à ce qu'une autre exportation asynchrone soit lancée.
-
Limitations :
-
Le nombre de téléchargements asynchrones est actuellement limité à 1 par utilisateur et à 3 par locataire.
-
Les données exportées sont limitées à un maximum de 1 million d'enregistrements.
-
Un exemple de script permettant d'extraire des données d'analyse via l'API est présent sur /opt/NetApp/cloudsecure/agent/export-script/ sur l'agent. Consultez le fichier readme à cet emplacement pour plus de détails sur le script.
Sélection de colonne pour toutes les activités
Le tableau all Activity affiche les colonnes sélectionnées par défaut. Pour ajouter, supprimer ou modifier les colonnes, cliquez sur l'icône engrenage située à droite du tableau et sélectionnez-la dans la liste des colonnes disponibles.
Conservation de l'historique des activités
L'historique des activités est conservé pendant 13 mois pour les environnements de sécurité active de la charge de travail.
Applicabilité des filtres dans la page Forensics
Filtre | Ce qu'il fait | Exemple | Applicable à ces filtres | Ne s'applique pas à ces filtres | Résultat |
---|---|---|---|---|---|
* (Astérisque) |
permet de rechercher tout |
Auto*03172022 si le texte de recherche contient un tiret ou un trait de soulignement, donner une expression entre parenthèses, par exemple (svm*) pour la recherche de svm-123 |
Utilisateur, Type d'entité, périphérique, Volume, chemin d'origine, dossier 1stLevel, dossier 2ndLevel, dossier 3rdLevel, dossier 4thLevel |
Renvoie toutes les ressources commençant par « Auto » et se terminant par « 03172022 » |
|
? (point d'interrogation) |
permet de rechercher un nombre spécifique de caractères |
AutoSabotageUser1_03172022 ? |
Utilisateur, Type d'entité, périphérique, Volume, dossier 1stLevel, dossier 2ndLevel, dossier 3rdLevel, dossier 4thLevel |
Renvoie AutoSabotageUser1_03172022A, AutoSabotageUser1_03172022B, AutoSabotageUser1_031720225, etc |
|
OU |
vous permet de spécifier plusieurs entités |
AutoSalotageUser1_03172022 OU AutoRansomUser4_03162022 |
Utilisateur, domaine, Type d'entité, chemin d'origine |
Renvoie AutoSalotageUser1_03172022 OU AutoRansomUser4_03162022 |
|
PAS |
permet d'exclure du texte des résultats de la recherche |
NOT AutoRansomUser4_03162022 |
Utilisateur,domaine, Type d'entité, chemin d'origine, dossier 1stLevel, dossier 2ndLevel, dossier 3rdLevel, dossier 4thLevel |
Périphérique |
Renvoie tout ce qui ne commence pas par "AutoRansomUser4_03162022" |
Aucune |
Recherche les valeurs NULL dans tous les champs |
Aucune |
Domaine |
renvoie les résultats où le champ cible est vide |
Recherche de chemin
Les résultats de la recherche avec et sans / seront différents
"/AutoDir1/AutoFile03242022" |
Seule la recherche exacte fonctionne ; renvoie toutes les activités avec le chemin exact /AutoDir1/AutoFile03242022 (cas non sensible) |
« /AutoDir1/ » |
Fonctionne ; renvoie toutes les activités avec un répertoire de premier niveau correspondant à AutoDir1 (cas non sensible) |
"/AutoDir1/AutoFile03242022/" |
Fonctionne ; renvoie toutes les activités avec un répertoire de premier niveau correspondant à AutoDir1 et un répertoire de 2e niveau correspondant à AutoFile03242022 (cas non sensible) |
/AutoDir1/AutoFile03242022 OU /AutoDir1/AutoFile03242022 |
Ne fonctionne pas |
NON /AutoDir1/AutoFile03242022 |
Ne fonctionne pas |
NON /AutoDir1 |
Ne fonctionne pas |
NON /AutoFile03242022 |
Ne fonctionne pas |
* |
Ne fonctionne pas |
Modifications de l'activité des utilisateurs du SVM root local
Lorsqu'un utilisateur du SVM racine local réalise une activité, l'adresse IP du client sur lequel le partage NFS est monté est à présent prise en compte dans le nom d'utilisateur, qui sera affiché sous la forme root@<ip-address-of-the-client> sur les pages d'activité d'analyse et d'activité des utilisateurs.
Par exemple :
-
Si SVM-1 est surveillé par Workload Security et que l'utilisateur root de ce SVM monte le partage sur un client avec l'adresse IP 10.197.12.40, le nom d'utilisateur indiqué sur la page d'activité d'analyse sera root@10.197.12.40.
-
Si le même SVM-1 est monté sur un autre client avec l'adresse IP 10.197.12.41, le nom d'utilisateur affiché sur la page d'activité d'analyse sera root@10.197.12.41.
*• Ceci est fait pour séparer l'activité de l'utilisateur root NFS par adresse IP. Auparavant, toute l'activité était considérée comme effectuée uniquement par root user, sans distinction IP.
Dépannage
Problème |
Essayez |
Dans la table “toutes les activités”, sous la colonne ‘utilisateur’, le nom d’utilisateur est indiqué comme suit : “ldap:HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” ou “ldap:Default:80038003” |
Raisons possibles : 1. Aucun collectionneur de répertoires d'utilisateurs n'a encore été configuré. Pour en ajouter un, accédez à Workload Security > Collectors > User Directory Collectors et cliquez sur +User Directory Collector. Choisissez Active Directory ou LDAP Directory Server. 2. Un collecteur d'annuaire d'utilisateurs a été configuré, mais il s'est arrêté ou est en état d'erreur. Accédez à collecteurs > collecteurs d'annuaire d'utilisateurs et vérifiez l'état. Reportez-vous à la "Dépannage de l'utilisateur Directory Collector" section de la documentation pour obtenir des conseils de dépannage. Après la configuration correcte, le nom sera automatiquement résolu dans les 24 heures. Si elle n'est toujours pas résolue, vérifiez si vous avez ajouté le collecteur de données utilisateur approprié. Assurez-vous que l'utilisateur fait bien partie du serveur Active Directory/LDAP d'annuaire ajouté. |
Certains événements NFS n'apparaissent pas dans l'interface utilisateur. |
Vérifier ce qui suit : 1. Un collecteur d'annuaire utilisateur pour serveur AD avec un jeu d'attributs POSIX doit être exécuté avec l'attribut unixid activé à partir de l'interface utilisateur. 2. Tout utilisateur ayant accès au NFS doit être visible lors d'une recherche dans la page utilisateur de l'interface utilisateur 3. Les événements bruts (événements pour lesquels l'utilisateur n'est pas encore découvert) ne sont pas pris en charge par NFS 4. L'accès anonyme à l'exportation NFS ne sera pas surveillé. 5. Assurez-vous que la version NFS utilisée est inférieure à NFS4.1. |
Après avoir saisi des lettres contenant un caractère générique comme l'astérisque (*) dans les filtres des pages Forensics All Activity ou Entities, les pages se chargent très lentement. |
Un astérisque (*) dans la chaîne de recherche recherche recherche tout. Cependant, les chaînes de caractères génériques comme *<searchTerm> ou *<searchTerm>* entraînent une requête lente. Pour obtenir de meilleures performances, utilisez plutôt des chaînes de préfixe, au format <searchTerm>* (en d'autres termes, ajoutez l'astérisque (*) après un terme de recherche). Exemple : utilisez la chaîne testvolume*, plutôt que *testvolume ou *test*volume. Utilisez une recherche de répertoire pour voir toutes les activités sous un dossier donné de manière récursive (recherche hiérarchique). Par exemple, “/path1/path2/path3/” répertorie toutes les activités récursivement sous /path1/path2/path3. Vous pouvez également utiliser l'option « Ajouter au filtre » sous l'onglet toutes les activités. |
J'ai rencontré une erreur « Echec de la demande avec le code d'état 500/503 » lors de l'utilisation d'un filtre de chemin. |
Essayez d'utiliser une plage de dates plus petite pour filtrer les enregistrements. |
L'interface utilisateur d'analyse effectue un chargement lent des données lors de l'utilisation du filtre PATH. |
Pour obtenir des résultats plus rapides, il est recommandé d'utiliser des filtres de chemin d'accès au répertoire (chaîne se terminant par /) jusqu'à 4 répertoires profonds. Par exemple, si le chemin d'accès au répertoire est /AAA/BBB/CCC/DDD/, essayez de rechercher “/AAA/BBB/CCC/DDD/” pour charger les données plus rapidement. |