日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

法医学 - すべての活動

寄稿者 netapp-alavoie このページの PDF をダウンロード

[ すべてのアクティビティ( All Activity ) ] ページは、 Cloud Secure 環境のエンティティに対して実行されるアクションを理解するのに役立ちます。

すべてのアクティビティデータを確認しています

  • Forensics > Activity Forensics * をクリックし、 * All Activity * タブをクリックして、 All Activity ページにアクセスします。このページでは、環境内のアクティビティの概要を説明します。次の情報が強調表示されます。

  • グラフには、 _ アクティビティ履歴 _ (選択したグローバル時間範囲に基づいて、 1 分あたり 5 分あたり / 10 分あたりにアクセス)が表示されます。

    グラフの四角形をドラッグすると、グラフをズームできます。ページ全体がロードされ、ズームした時間範囲が表示されます。ズームインすると、ユーザーがズームアウトできるボタンが表示されます。

  • アクティビティタイプ _ のチャート。アクティビティタイプ別にアクティビティ履歴データを取得するには、対応する X 軸ラベルリンクをクリックします。

  • エンティティタイプ _ 上のアクティビティのグラフ。エンティティタイプ別にアクティビティ履歴データを取得するには、対応する X 軸ラベルリンクをクリックします。

  • すべての Activity_data のリスト

すべてのアクティビティ *_table には、次の情報が表示されます。デフォルトでは、すべての列が表示されるわけではありません。表示する列を選択するには、「歯車」アイコンをクリックします 歯車アイコン

  • エンティティがアクセスされた時間(年、月、日、最終アクセス時刻を含む)。

  • へのリンクでエンティティにアクセスした * user * "ユーザ情報"

  • ユーザーが実行した * アクティビティ * 。サポートされるタイプは次のとおりです

    • * グループ所有権の変更 * - グループ所有権はファイルまたはフォルダに変更されています。グループの所有権の詳細については、を参照してください "リンクをクリックしてください"

    • * 所有者の変更 * - ファイルまたはフォルダの所有権が別のユーザーに変更されています。

    • * アクセス権の変更 * - ファイルまたはフォルダのアクセス権が変更されました。

    • * 作成 * - ファイルまたはフォルダを作成します。

    • * 削除 * - ファイルまたはフォルダを削除します。フォルダを削除すると、そのフォルダおよびサブフォルダ内のすべてのファイルについて、 _delete_events が取得されます。

    • * 読み取り *- ファイルが読み取られています。

    • * 読み取りメタデータ * - フォルダ監視オプションを有効にした場合のみ。Windows でフォルダを開くか、 Linux のフォルダ内で「 ls 」を実行すると、が生成されます。

    • * 名前の変更 * - ファイルまたはフォルダの名前を変更します。

    • * Write * - データはファイルに書き込まれます。

    • * メタデータの書き込み * - ファイルのメタデータが書き込まれます。たとえば、権限が変更された場合などです。

    • * その他の変更 * - 上記に記載されていないその他のイベント。マッピングされていないイベントはすべて、「その他の変更」アクティビティタイプにマッピングされます。ファイルおよびフォルダに適用されます。

  • へのリンクを持つエンティティへの * パス * "エンティティ詳細データ"

  • エンティティタイプ * (エンティティ(ファイル)拡張子( .doc 、 .docx 、 .tmp など)

  • エンティティが存在する * デバイス *

  • イベントの取得に使用される * プロトコル * 。

  • 元のファイルの名前を変更したときに名前変更イベントに使用された * 元のパス * 。デフォルトでは、この列はテーブルに表示されません。列セレクタを使用して、この列をテーブルに追加します。

  • エンティティが存在するボリューム * 。デフォルトでは、この列はテーブルに表示されません。列セレクタを使用して、この列をテーブルに追加します。

フォレンジックアクティビティ履歴データのフィルタリング

データのフィルタリングに使用できる方法は 2 つあります。

  1. テーブルのフィールドにカーソルを合わせ、表示されるフィルタアイコンをクリックします。この値は、 top_Filter by_list の適切なフィルタに追加されます。

  2. 次のフィールドに「 _Filter By_field 」と入力して、データをフィルタリングします。

    [+]* ボタンをクリックして、 [ フィルタ基準 ] ウィジェットから適切なフィルタを選択します。

    エンティティー Filer 、幅 = 500

    検索テキストを入力します

    Enter キーを押すか、フィルタボックスの外側をクリックしてフィルタを適用します。

フォレンジックアクティビティデータは、次のフィールドでフィルタできます。

  • * アクティビティ * タイプ。

  • * エンティティがアクセスされたソース IP * 。有効な送信元 IP アドレスを二重引用符で囲んで指定する必要があります(例:「 10.1.1.1 」)。「 10.1.1.* 」、「 10.1.. 」などの不完全な IP は機能しません。

  • * プロトコル * 。プロトコル固有のアクティビティを取得します。

  • * 通常の操作プロセスの一部として生成される一時ファイルのアクティビティをフィルタリングするためのノイズ低減 * 。ノイズリダクションが有効になっている場合、 extension.tmp 、 .ldb 、 .laccdb 、 .$db などの一時ファイルはフィルタリングされます。

  • * アクティビティを実行しているユーザーのユーザー名 * 。フィルタリングするユーザ名を正確に指定する必要があります。部分的なユーザ名で検索したり、プレフィックスやサフィックスの付いたユーザ名の一部を検索したりすることはできません。

次のフィールドには、特別なフィルタルールが適用されます。

  • * エンティティタイプ * 。エンティティ(ファイル)拡張子を使用します

  • * エンティティのパス *

  • * ユーザー * アクティビティを実行しています

  • * エンティティが存在するデバイス * ( SVM )

  • * 体積 * エンティティが存在する場所

  • 元のファイルの名前を変更したときに名前変更イベントに使用された * 元のパス * 。

フィルタリングを行う場合、上記のフィールドは次のようになります。

  • 正確な値は引用符で囲む必要があります。例: "searchtext"

  • ワイルドカード文字列には引用符は含まれていません。例: searchtext 、 \* searchtext * は、 'earchtext ' を含む文字列をフィルタします。

  • プレフィックスが付いた文字列、たとえば searchtext* は、「 earchtext 」で始まる文字列を検索します。

フォレンジックアクティビティ履歴データのソート

アクティビティ履歴データは、 _ 時間、ユーザー、ソース IP 、アクティビティ、パスおよび _ エンティティタイプ _ でソートできます。デフォルトでは、テーブルは descending _Time_order でソートされます。つまり、最新のデータが最初に表示されます。_Device_Field と _Protocol_fields に対してソートが無効になっています。

すべてのアクティビティのエクスポート

アクティビティ履歴テーブルの上にある _ エクスポート _ ボタンをクリックすると ' アクティビティ履歴を .csv ファイルにエクスポートできますエクスポートされるのは上位 10,000 レコードのみです。

すべてのアクティビティの列を選択します

すべての activity テーブルには ' デフォルトで SELECT カラムが表示されます列を追加、削除、または変更するには、テーブルの右側にある歯車アイコンをクリックし、使用可能な列のリストから選択します。

アクティビティセレクタ、幅 = 30%

アクティビティ履歴の保持

アクティブな Cloud Secure 環境では、アクティビティ履歴が 13 カ月間保持されます。

トラブルシューティング

問題

試してみてください

[ すべてのアクティビティ ] テーブルの [ ユーザー ] 列には、「 LDAP: HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” 」または「 LDAP: デフォルト : 80038003 」というユーザー名が表示されます。

考えられる原因は次のとおりです。 1.ユーザディレクトリコレクタがまだ設定されていません。追加するには、 [Admin] > [Data Collectors] > [User Directory Collectors] に移動し、 [+ User Directory Collectors] をクリックします。Active Directory_or_LDAP ディレクトリサーバー _ を選択します。2. ユーザディレクトリコレクタは設定されていますが、停止しているか、エラー状態です。[*Admin] > [Data Collectors] > [User Directory Collectors] に移動し、ステータスを確認してください。を参照してください "User Directory Collector のトラブルシューティング" トラブルシューティングのヒントについては、ドキュメントのセクションを参照してください。適切に設定すると、 24 時間以内に名前が自動的に解決されます。それでも解決されない場合は、正しい User Data Collector を追加しているかどうかを確認します。追加した Active Directory / LDAP ディレクトリサーバにユーザが実際に含まれていることを確認します。