Skip to main content
Data Infrastructure Insights
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Événements de sécurité de la charge de travail d'audit

Contributeurs netapp-alavoie
PDF

Identifiez les modifications, qu'elles soient prévues (pour le suivi) ou inattendues (pour le dépannage). Consultez l'historique des événements du système Workload Security et des activités des utilisateurs.

Affichage des événements audités

Pour consulter la page d'audit, cliquez sur Admin > Audit dans le menu. La page d'audit s'affiche alors, présentant les détails suivants pour chaque entrée d'audit :

  • Heure - Date et heure de l'événement ou de l'activité

  • Utilisateur - L'utilisateur qui a initié l'activité

  • Rôle - Le rôle de l'utilisateur dans Workload Security (invité, utilisateur, administrateur)

  • IP - L'adresse IP associée à l'événement

  • Action - Type d'activité, par exemple Connexion, Création, Mise à jour

  • Catégorie - La catégorie d'activité.

  • Détails - Détails de l'activité

  • Type d'application - Type d'application auditée : Observability OU Workload Security. À utiliser pour filtrer uniquement les audits de Workload Security.

Les événements de sécurité des charges de travail audités comprennent, sans toutefois s'y limiter, les suivants :

  • Modifications des politiques de sécurité des charges de travail.

  • Création de nouveaux collecteurs de sources de données (DSC).

  • Modification des DSC.

  • Création d'agents.

  • Tâches de gestion des utilisateurs.

  • Tâches liées aux jetons API.

Affichage des entrées d'audit

Il existe plusieurs façons différentes d’afficher les entrées d’audit :

  • Vous pouvez afficher les entrées d'audit en choisissant une période particulière (1 heure, 24 heures, 3 jours, etc.).

  • Vous pouvez modifier l'ordre de tri des entrées en ordre croissant (flèche vers le haut) ou décroissant (flèche vers le bas) en cliquant sur la flèche dans l'en-tête de colonne. Par défaut, le tableau affiche les entrées par ordre chronologique décroissant.

  • Vous pouvez utiliser les champs de filtre pour afficher uniquement les entrées que vous souhaitez dans le tableau. Cliquez sur le bouton [+] pour ajouter des filtres supplémentaires.

En savoir plus sur le filtrage

Vous pouvez utiliser l’un des éléments suivants pour affiner votre filtre :

Filtre

Ce qu'il fait

Exemple

Résultat

* (Astérisque)

vous permet de rechercher tout ce que vous voulez

vol*rhel

renvoie toutes les ressources commençant par « vol » et se terminant par « rhel »

? (point d'interrogation)

vous permet de rechercher un nombre spécifique de caractères

BOS-PRD??-S12

renvoie BOS-PRD12-S12, BOS-PRD23-S12, et ainsi de suite

OU

vous permet de spécifier plusieurs entités

FAS2240 OU CX600 OU FAS3270

renvoie l'un des FAS2440, CX600 ou FAS3270

PAS

vous permet d'exclure du texte des résultats de recherche

NON EMC*

renvoie tout ce qui ne commence pas par « EMC »

Aucune

recherche vide/NULL/Aucun dans n'importe quel champ sélectionné

Aucune

renvoie les résultats lorsque le champ cible n'est pas vide

Pas *

comme pour None ci-dessus, mais vous pouvez également utiliser ce formulaire pour rechercher des valeurs NULL dans des champs de texte uniquement

Pas *

renvoie les résultats lorsque le champ cible n'est pas vide.

""

recherche une correspondance exacte

"NetApp*"

renvoie les résultats contenant la chaîne littérale exacte NetApp*

Si vous placez une chaîne de filtre entre guillemets doubles, Insight traite tout ce qui se trouve entre le premier et le dernier guillemet comme une correspondance exacte. Tous les caractères spéciaux ou opérateurs à l’intérieur des guillemets seront traités comme des littéraux. Par exemple, le filtrage par « * » renverra des résultats qui sont un astérisque littéral ; l'astérisque ne sera pas traité comme un caractère générique dans ce cas. Les opérateurs OR et NOT seront également traités comme des chaînes littérales lorsqu'ils sont placés entre guillemets.

Événements et actions audités

Les événements et actions audités par Workload Security peuvent être classés dans les grandes catégories suivantes :

  • Compte utilisateur : connexion, déconnexion, changement de rôle, etc.

  • Agent : créer, supprimer, mettre à niveau, épingler, désépingler, etc.

    Exemples : L’agent Agent-Boston-1 a été supprimé. Mise à niveau de l’agent vers la version 1.760.0 lancée par une opération groupée.

  • Collecteur de répertoires de données/utilisateurs : ajouter, supprimer, modifier, mettre à niveau, reporter/reprendre, changer d’agent, redémarrer, etc.

    Exemples : Collecteur de données Collector-Boston1 supprimé, type ONTAP SVM Agent : Agent-Boston-1, Cluster IP 10.193.88.36, SVM demoGroupShares2 Collector ONTAP SVM mise à niveau vers la version 1.417.0 initiée par une opération groupée

  • Politiques de réponse automatisée : ajouter, mettre à jour, supprimer, activer, désactiver, etc.

    Exemple : La politique d'attaque automatisée Policy-Boston1 a été mise à jour. Propriétés Devices mises à jour, ancienne valeur : [Device(name=svm_boston1, dataSourceId=39fb3b9c-9dd4-4961-bc27-23eb0b6f9ab7)], nouvelle valeur : [Device(name=demoGroupShares2, dataSourceId=5b9f5b74-4533-4852-909d-8886582a4359)]_

  • Blocage/déblocage des utilisateurs : blocage et déblocage automatisés ou manuels des utilisateurs.

    Exemple : Blocage initié pour l’utilisateur Safwan Langley dans le cadre d’une réponse automatisée pour une durée de 2 heures

  • Clé API : ajouter, supprimer, etc.

    Exemple : Le jeton d’accès à l’API Workload Security JPick-SWS a été créé

  • Notification : changement d'adresse e-mail, etc.

    Exemple : Destinataire ci-alerts-notifications-dl créé

Exportation des événements d'audit

Vous pouvez exporter les résultats de votre affichage Audit vers un fichier .CSV, ce qui vous permettra d'analyser les données ou de les importer dans une autre application. Étapes 1. Sur la page Audit, définissez la période souhaitée et tous les filtres que vous souhaitez. Workload Security exportera uniquement les entrées Audit correspondant aux filtres et à la période que vous avez définis. 2. Cliquez sur le bouton Export en haut à droite du tableau. Les événements Audit affichés seront exportés vers un fichier .CSV, jusqu'à un maximum de 10 000 lignes.

Conservation des données d'audit

La durée de conservation des données d'audit par Workload Security dépend de votre abonnement :

  • Environnements d'essai : les données d'audit sont conservées pendant 30 jours

  • Environnements abonnés : les données d'audit sont conservées pendant 1 an plus 1 jour

Les entrées d'audit plus anciennes que la durée de conservation sont automatiquement purgées. Aucune interaction de l'utilisateur n'est nécessaire.