Forensics - tutte le attività
Suggerisci modifiche
PDF
- Esame di tutti i dati delle attività
- Filtraggio dei dati Forensic Activity History
- Esempi di filtro analisi attività:
- Ordinamento dei dati Forensic Activity History
- Guida dell'utente per le esportazioni asincrone
- Selezione colonna per tutte le attività
- Conservazione della cronologia delle attività
- Applicabilità dei filtri nella pagina Forensics
- Ricerca percorso / percorso originale
- Modifiche all'attività utente della SVM principale locale
- Risoluzione dei problemi
La pagina All Activity (tutte le attività) consente di comprendere le azioni eseguite sulle entità nell'ambiente workload Security.
Esame di tutti i dati delle attività
Fare clic su Forensics > Activity Forensics (analisi > analisi delle attività) e fare clic sulla scheda All Activity (tutte le attività) per accedere alla pagina All Activity (tutte le attività). In questa pagina viene fornita una panoramica delle attività sul tenant, evidenziando le seguenti informazioni:
-
Un grafico che mostra Cronologia attività (in base all'intervallo temporale globale selezionato)
È possibile ingrandire il grafico trascinando un rettangolo nel grafico. L'intera pagina viene caricata per visualizzare l'intervallo di tempo di zoom. Quando si esegue lo zoom avanti, viene visualizzato un pulsante che consente all'utente di eseguire lo zoom indietro.
-
Un elenco dei dati tutte le attività.
-
Un elenco a discesa raggruppa per fornisce l'opzione di raggruppare l'attività per utenti, percorso, tipo di entità, ecc.
-
Un pulsante di percorso comune sarà disponibile sopra la tabella con un clic del quale è possibile estrarre il pannello con i dettagli del percorso dell'entità.
La tabella *tutte le attività* mostra le seguenti informazioni. Nota: Non tutte queste colonne vengono visualizzate per impostazione predefinita. È possibile selezionare le colonne da visualizzare facendo clic sull'icona "marcia".
-
L'ora * in cui è stato effettuato l'accesso a un'entità, inclusi l'anno, il mese, il giorno e l'ora dell'ultimo accesso.
-
Il utente che ha effettuato l'accesso all'entità con un collegamento al "Informazioni sull'utente"come pannello scorrevole.
-
L'attività * eseguita dall'utente. I tipi supportati sono:
-
Cambia proprietà del gruppo - la proprietà del gruppo è del file o della cartella è stata modificata. Per ulteriori informazioni sulla proprietà del gruppo, vedere "questo link."
-
Cambia proprietario - la proprietà del file o della cartella viene modificata in un altro utente.
-
Cambia permesso - l'autorizzazione per file o cartelle viene modificata.
-
Crea - Crea file o cartella.
-
Delete - Elimina file o cartella. Se una cartella viene eliminata, si ottengono gli eventi delete per tutti i file in quella cartella e sottocartelle.
-
Read - il file viene letto.
-
Read Metadata - solo se si attiva l'opzione di monitoraggio delle cartelle. Verrà generato all'apertura di una cartella su Windows o all'esecuzione di "ls" all'interno di una cartella in Linux.
-
Rinomina - Rinomina il file o la cartella.
-
Write - i dati vengono scritti in un file.
-
Write Metadata - i metadati del file vengono scritti, ad esempio, i permessi modificati.
-
Altra modifica - qualsiasi altro evento non descritto in precedenza. Tutti gli eventi non mappati vengono mappati al tipo di attività "Altro cambiamento". Applicabile a file e cartelle.
-
-
Il percorso Path è il percorso entity.
-
La cartella 1st Level (Root) è la directory principale del percorso dell'entità in minuscolo.
-
La cartella 2nd Level è la directory di secondo livello del percorso dell'entità in minuscolo.
-
La cartella 3rd Level è la directory di terzo livello del percorso dell'entità in minuscolo.
-
La cartella 4th Level è la directory di quarto livello del percorso dell'entità in minuscolo.
-
L'estensione Entity Type, inclusa l'entità (ad esempio file) (.doc, .docx, .tmp, ecc.).
-
Il dispositivo in cui risiedono le entità.
-
Il protocollo utilizzato per recuperare gli eventi.
-
Il percorso originale utilizzato per rinominare gli eventi quando il file originale è stato rinominato. Questa colonna non è visibile nella tabella per impostazione predefinita. Utilizzare il selettore di colonna per aggiungere questa colonna alla tabella.
-
Il Volume in cui risiedono le entità. Questa colonna non è visibile nella tabella per impostazione predefinita. Utilizzare il selettore di colonna per aggiungere questa colonna alla tabella.
Selezionando una riga di tabella si apre un pannello a scorrimento con il profilo utente in una scheda e la panoramica dell'attività e dell'entità in un'altra scheda.
Il metodo Group by predefinito è Activity forensics. Se si seleziona un metodo Raggruppa per diverso, ad esempio tipo di entità, verrà visualizzata la tabella entità Raggruppa per. Se non viene effettuata alcuna selezione, viene visualizzato Group by All (Raggruppa per_ tutto).
-
Il conteggio delle attività viene visualizzato come collegamento ipertestuale; selezionando questa opzione si aggiunge il raggruppamento selezionato come filtro. La tabella delle attività verrà aggiornata in base a quel filtro.
-
Se si modifica il filtro, si modifica l'intervallo di tempo o si aggiorna lo schermo, non sarà possibile tornare ai risultati filtrati senza dover impostare nuovamente il filtro.
Filtraggio dei dati Forensic Activity History
Per filtrare i dati è possibile utilizzare due metodi.
-
Il filtro può essere aggiunto dal pannello scorrevole. Il valore viene aggiunto ai filtri appropriati nell'elenco Filter by principale.
-
Filtrare i dati digitando il campo Filtra per:
Selezionare il filtro appropriato dal widget ‘Filtra per’ in alto facendo clic sul pulsante [+]:
Inserire il testo di ricerca
Premere Invio o fare clic all'esterno della casella del filtro per applicare il filtro.
È possibile filtrare i dati delle attività forensi in base ai seguenti campi:
-
Il tipo Activity.
-
IP di origine da cui è stato effettuato l'accesso all'entità. È necessario fornire un indirizzo IP di origine valido tra virgolette doppie, ad esempio "10.1.1.1". Gli IP incompleti come "10.1.1.", "10.1..*", ecc. non funzionano.
-
Protocollo per recuperare le attività specifiche del protocollo.
-
Nome utente dell'utente che esegue l'attività. Specificare il nome utente esatto da filtrare. La ricerca con il nome utente parziale o con il prefisso ‘*’ non funziona.
-
Riduzione del rumore per filtrare i file creati nelle ultime 2 ore dall'utente. Viene inoltre utilizzato per filtrare i file temporanei (ad esempio, i file .tmp) a cui l'utente accede.
-
Dominio dell'utente che esegue l'attività. È necessario fornire il dominio esatto da filtrare. La ricerca di un dominio parziale o di un dominio parziale prefisso o suffisso con carattere jolly ('*') non funzionerà. Nessuno può essere specificato per cercare il dominio mancante.
I seguenti campi sono soggetti a speciali regole di filtraggio:
-
Tipo di entità, utilizzando l'estensione dell'entità (file) - è preferibile specificare il tipo di entità esatto all'interno delle virgolette. Ad esempio "txt".
-
Percorso dell'entità - filtri percorso directory (stringa di percorso che termina con /) fino a 4 directory profonde sono consigliate per risultati più veloci. Ad esempio, "/home/userX/nested1/nested2/". Fare riferimento alla tabella riportata di seguito per ulteriori dettagli.
-
Cartella livello 1st (radice) - directory principale di percorso entità come filtri. Ad esempio, se il percorso dell'entità è /home/userX/nested1/nested2/, allora è possibile usare home O "home".
-
Cartella a 2nd livelli - directory a 2nd livelli di filtri percorso entità. Per esempio, se il percorso dell'entità è /home/userX/nested1/nested2/, allora userX O "userX" possono essere usati.
-
Cartella a 3rd livelli: Directory a 3rd livelli di filtri percorso entità.
-
Ad esempio, se il percorso dell'entità è /home/userX/nested1/nested2/, allora si può usare nested1 O “nested1”.
-
Cartella a 4th livelli - Directory a 4th livelli directory dei filtri percorso entità. Ad esempio, se il percorso dell'entità è /home/userX/nested1/nested2/, allora si può usare nested2 O “nested2”.
-
Utente esecuzione dell'attività - è preferibile specificare l'utente esatto tra virgolette. Ad esempio, "Amministratore".
-
Dispositivo (SVM) in cui risiedono le entità
-
Volume dove risiedono le entità
-
Il percorso originale utilizzato per rinominare gli eventi quando il file originale è stato rinominato.
I campi precedenti sono soggetti a quanto segue durante il filtraggio:
-
Il valore esatto deve essere compreso tra virgolette: Esempio: "Searchtext"
-
Le stringhe con caratteri jolly non devono contenere virgolette: Esempio: Searchtext, ‘s*searchtext*, filtrerà le stringhe contenenti il carattere 'earchtext'.
-
Stringa con un prefisso, ad esempio: Searchtext* , cerca le stringhe che iniziano con ‘searchtext’.
Esempi di filtro analisi attività:
| Espressione filtro applicato dall'utente | Risultato previsto | Valutazione delle prestazioni | Commento |
|---|---|---|---|
Percorso = "/home/userX/nested1/nested2/" |
Ricerca ricorsiva di tutti i file e le cartelle in una determinata directory |
Veloce |
Le ricerche nelle directory sono rapide fino a 4 directory. |
Percorso = "/home/userX/nested1/" |
Ricerca ricorsiva di tutti i file e le cartelle in una determinata directory |
Veloce |
Le ricerche nelle directory sono rapide fino a 4 directory. |
Percorso = "/home/userX/nested1/test" |
Ricerca ricorsiva di tutti i file e le cartelle in un determinato percorso regex(test* potrebbe significare file O directory O entrambi) |
Più lento |
La ricerca regex di directory+file sarà più lenta rispetto alle ricerche di directory. |
Percorso = "/home/userX/nested1/nested2/nested3/" |
Ricerca ricorsiva di tutti i file e le cartelle in una determinata directory |
Più lento |
Più di 4 ricerche di directory sono più lente da ricercare. |
Qualsiasi altro filtro non basato su percorso. Si consiglia di inserire tra virgolette i filtri User e Entity Type, ad esempio User="Administrator" Entity Type="txt" |
Veloce |
NOTA:
-
Il conteggio delle attività visualizzato accanto all'icona tutte le attività viene arrotondato a 30 minuti quando l'intervallo di tempo selezionato si estende per più di 3 giorni. Ad esempio, un intervallo di tempo compreso tra settembre 1st 10:15 e settembre 7th 10:15 mostra i conteggi delle attività tra settembre 1st 10:00 e settembre 7th 10:30.
-
Analogamente, le metriche di conteggio visualizzate nel grafico Cronologia attività vengono arrotondate a 30 minuti quando l'intervallo di tempo selezionato si estende per più di 3 giorni.
Ordinamento dei dati Forensic Activity History
È possibile ordinare i dati della cronologia delle attività in base a ora, utente, IP di origine, attività,, tipo di entità, cartella a 1st livelli (principale), cartella a 2nd livelli, cartella a 3rd livelli e cartella a 4th livelli. Per impostazione predefinita, la tabella viene ordinata in base a un ordine time decrescente, il che significa che i dati più recenti verranno visualizzati per primi. L'ordinamento è disattivato per i campi Device e Protocol.
Guida dell'utente per le esportazioni asincrone
Panoramica
La funzionalità di esportazione asincrona di Storage workload Security è progettata per gestire grandi esportazioni di dati.
Guida dettagliata: Esportazione dei dati con esportazioni asincrone
-
Initiate Export (inizia esportazione): Selezionare la durata desiderata e i filtri per l'esportazione, quindi fare clic sul pulsante Export (Esporta).
-
Attendere il completamento dell'esportazione: Il tempo di elaborazione può variare da alcuni minuti a poche ore. Potrebbe essere necessario aggiornare la pagina forense alcune volte. Una volta completato il processo di esportazione, viene attivato il pulsante "Scarica ultimo file CSV di esportazione".
-
Download: Fare clic sul pulsante "Scarica ultimo file di esportazione creato" per ottenere i dati esportati in formato .zip. Questi dati saranno disponibili per il download fino a quando l'utente non inizia un'altra esportazione asincrona o fino a quando non sono trascorsi 3 giorni, a seconda di quale delle due condizioni si verifica per prima. Il pulsante rimane abilitato fino a quando non viene avviata un'altra esportazione asincrona.
-
Limitazioni:
-
Il numero di download asincroni è attualmente limitato a 1 per utente e 3 per tenant.
-
I dati esportati sono limitati a un massimo di 1 milioni di record.
-
Un esempio di script per estrarre dati forensi tramite API è presente all'indirizzo /opt/NetApp/cloudSecure/Agent/export-script/ dell'agente. Per ulteriori informazioni sullo script, vedere il file Leggimi in questa posizione.
Selezione colonna per tutte le attività
La tabella All activity mostra le colonne Select per impostazione predefinita. Per aggiungere, rimuovere o modificare le colonne, fare clic sull'icona a forma di ingranaggio a destra della tabella e selezionare dall'elenco delle colonne disponibili.
Conservazione della cronologia delle attività
La cronologia delle attività viene mantenuta per 13 mesi per gli ambienti di sicurezza dei workload attivi.
Applicabilità dei filtri nella pagina Forensics
| Filtro | Che cosa fa | Esempio | Applicabile per questi filtri | Non applicabile per questi filtri | Risultato |
|---|---|---|---|---|---|
* (Asterisco) |
consente di cercare tutto |
Auto*03172022 se il testo di ricerca contiene un trattino o un trattino basso, date l'espressione tra parentesi. Es. (svm*) per la ricerca in svm-123 |
Utente, tipo di entità, dispositivo, volume, percorso originale, cartella 1stLevel, cartella 2ndLevel, cartella 3rdLevel, cartella 4thLevel |
Restituisce tutte le risorse che iniziano con "Auto" e terminano con "03172022" |
|
? (punto interrogativo) |
consente di cercare un numero specifico di caratteri |
AutoSabotageUser1_03172022? |
Utente, tipo di entità, periferica, Volume, cartella 1stLevel, cartella 2ndLevel, cartella 3rdLevel, cartella 4thLevel |
Restituisce AutoSabotageUser1_03172022A, AutoSabotageUser1_03172022B, AutoSabotageUser1_031720225 e così via |
|
OPPURE |
consente di specificare più entità |
AutoSabotageUser1_03172022 O AutoRansomUser4_03162022 |
Utente, dominio, tipo di entità, percorso originale |
Restituisce uno qualsiasi di AutoSabotageUser1_03172022 O AutoRansomUser4_03162022 |
|
NO |
consente di escludere il testo dai risultati della ricerca |
NON AutoRansomUser4_03162022 |
Utente, dominio, tipo di entità, percorso originale, cartella 1stLevel, cartella 2ndLevel, cartella 3rdLevel, cartella 4thLevel |
Dispositivo |
Restituisce tutto ciò che non inizia con "AutoRansomUser4_03162022" |
Nessuno |
Ricerca i valori NULL in tutti i campi |
Nessuno |
Dominio |
restituisce risultati in cui il campo di destinazione è vuoto |
Ricerca percorso / percorso originale
I risultati della ricerca con e senza / saranno diversi
"/AutoDir1/AutoFile03242022" |
Funziona solo la ricerca esatta; restituisce tutte le attività con percorso esatto come /AutoDir1/AutoFile03242022 (caso non sensibile) |
"/AutoDir1/ " |
Funziona; restituisce tutte le attività con directory a 1st livelli corrispondenti a AutoDir1 (caso non sensibile) |
"/AutoDir1/AutoFile03242022/" |
Funziona; restituisce tutte le attività con directory a 1st livelli corrispondenti a directory a AutoDir1 e 2nd livelli corrispondenti a AutoFile03242022 (caso non sensibile) |
/AutoDir1/AutoFile03242022 O /AutoDir1/AutoFile03242022 |
Non funziona |
NON /AutoDir1/AutoFile03242022 |
Non funziona |
NON /AutoDir1 |
Non funziona |
NON /AutoFile03242022 |
Non funziona |
* |
Non funziona |
Modifiche all'attività utente della SVM principale locale
Se un utente della SVM root locale sta eseguendo un'attività, l'IP del client su cui è montata la condivisione NFS viene ora considerato nel nome utente, che verrà mostrato come root@<ip-address-of-the-client> sia nelle pagine di attività forense che in quelle di attività utente.
Ad esempio:
-
Se SVM-1 viene monitorato tramite la sicurezza del carico di lavoro e l'utente root di tale SVM monta la condivisione su un client con indirizzo IP 10.197.12.40, il nome utente mostrato nella pagina dell'attività forense sarà root@10.197.12.40.
-
Se la stessa SVM-1 è montata in un altro client con indirizzo IP 10.197.12.41, il nome utente mostrato nella pagina dell'attività forense sarà root@10.197.12.41.
*• questo è fatto per separare l'attività dell'utente root NFS dall'indirizzo IP. In precedenza, tutta l'attività veniva considerata eseguita solo da root utente, senza distinzione IP.
Risoluzione dei problemi
Problema |
Provare |
Nella tabella "tutte le attività", sotto la colonna ‘utente’, il nome utente viene visualizzato come: "ldap:HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” o "ldap:default:80038003" |
I motivi possibili potrebbero essere: 1. Nessun User Directory Collector ancora configurato. Per aggiungerne uno, andare a sicurezza workload > Collector > User Directory Collector e fare clic su +User Directory Collector. Scegliere Active Directory o LDAP Directory Server. 2. È stato configurato un servizio di raccolta directory utente, tuttavia è stato arrestato o si trova in stato di errore. Andare a Collector > User Directory Collectors e controllare lo stato. Per suggerimenti sulla risoluzione dei problemi, consultare "Risoluzione dei problemi di User Directory Collector"la sezione della documentazione. Una volta eseguita la configurazione corretta, il nome verrà risolto automaticamente entro 24 ore. Se il problema persiste, verificare di aver aggiunto il Data Collector utente corretto. Assicurarsi che l'utente faccia effettivamente parte del server Active Directory/LDAP Directory aggiunto. |
Alcuni eventi NFS non vengono visualizzati nell'interfaccia utente. |
Controllare quanto segue: 1. È necessario eseguire un User Directory Collector per server ad con attributi POSIX impostati con l'attributo unixid attivato dall'interfaccia utente. 2. Qualsiasi utente che effettua l'accesso NFS deve essere visualizzato quando effettua una ricerca nella pagina utente dall'interfaccia utente 3. Gli eventi raw (eventi per i quali l'utente non è ancora stato scoperto) non sono supportati per NFS 4. L'accesso anonimo all'esportazione NFS non verrà monitorato. 5. Assicurati che la versione di NFS sia utilizzata in meno di NFS4,1. |
Dopo aver digitato alcune lettere contenenti un carattere jolly come l'asterisco (*) nei filtri delle pagine Forensics All Activity o Entities, le pagine vengono caricate molto lentamente. |
Un asterisco () nella stringa di ricerca cerca tutto. Tuttavia, le stringhe di caratteri jolly iniziali come <searchTerm> o *<searchTerm>* comporteranno una query lenta. Per ottenere prestazioni migliori, utilizzare le stringhe di prefisso nel formato <searchTerm>* (in altre parole, aggiungere l'asterisco (*) dopo un termine di ricerca). Esempio: Utilizzare la stringa testvolume*, invece di *testvolume o *test*volume. Usate una ricerca di directory per vedere ricorsivamente tutte le attività al di sotto di una data cartella (ricerca gerarchica). Per esempio, “/path1/path2/PATH3/” elencherà ricorsivamente tutte le attività al di sotto di /path1/path2/PATH3. In alternativa, utilizzare l'opzione "Aggiungi al filtro" nella scheda tutte le attività." |
Si verifica un errore di richiesta non riuscita con codice di stato 500/503 quando si utilizza un filtro percorso. |
Provare a utilizzare un intervallo di date più piccolo per filtrare i record. |
L'interfaccia utente forense sta caricando i dati lentamente quando si utilizza il filtro path. |
Filtri percorso directory (stringa di percorso che termina con /) per ottenere risultati più rapidi si consiglia di utilizzare fino a 4 directory profonde. Ad esempio, se il percorso della directory è /AAA/BBB/CCC/DDD, cercare “/AAA/BBB/CCC/DDD/” per caricare i dati più velocemente. |