法医学 - すべての活動
すべてのアクティビティページは'ワークロードセキュリティ環境でエンティティに対して実行されるアクションを理解するのに役立ちます
すべてのアクティビティデータを確認しています
-
Forensics > Activity Forensics * をクリックし、 * All Activity * タブをクリックして、 All Activity ページにアクセスします。
このページでは、環境内のアクティビティの概要を説明します。次の情報が強調表示されます。 -
グラフには、 _ アクティビティ履歴 _ (選択したグローバル時間範囲に基づいて、 1 分あたり 5 分あたり / 10 分あたりにアクセス)が表示されます。
グラフの四角形をドラッグすると、グラフをズームできます。ページ全体がロードされ、ズームした時間範囲が表示されます。ズームインすると、ユーザーがズームアウトできるボタンが表示されます。
-
アクティビティタイプ _ のチャート。アクティビティタイプ別にアクティビティ履歴データを取得するには、対応する X 軸ラベルリンクをクリックします。
-
エンティティタイプ _ 上のアクティビティのグラフ。エンティティタイプ別にアクティビティ履歴データを取得するには、対応する X 軸ラベルリンクをクリックします。
-
すべての Activity_data のリスト
すべてのアクティビティ *_table には、次の情報が表示されます。デフォルトでは、すべての列が表示されるわけではありません。表示する列を選択するには、「歯車」アイコンをクリックします 。
-
エンティティがアクセスされた時間(年、月、日、最終アクセス時刻を含む)。
-
へのリンクでエンティティにアクセスした * user * "ユーザ情報"。
-
ユーザーが実行した * アクティビティ * 。サポートされるタイプは次のとおりです
-
* グループ所有権の変更 * - グループ所有権はファイルまたはフォルダに変更されています。グループの所有権の詳細については、を参照してください "リンクをクリックしてください"
-
* 所有者の変更 * - ファイルまたはフォルダの所有権が別のユーザーに変更されています。
-
* アクセス権の変更 * - ファイルまたはフォルダのアクセス権が変更されました。
-
* 作成 * - ファイルまたはフォルダを作成します。
-
* 削除 * - ファイルまたはフォルダを削除します。フォルダを削除すると、そのフォルダおよびサブフォルダ内のすべてのファイルについて、 _delete_events が取得されます。
-
* 読み取り *- ファイルが読み取られています。
-
* 読み取りメタデータ * - フォルダ監視オプションを有効にした場合のみ。Windows でフォルダを開くか、 Linux のフォルダ内で「 ls 」を実行すると、が生成されます。
-
* 名前の変更 * - ファイルまたはフォルダの名前を変更します。
-
* Write * - データはファイルに書き込まれます。
-
* メタデータの書き込み * - ファイルのメタデータが書き込まれます。たとえば、権限が変更された場合などです。
-
* その他の変更 * - 上記に記載されていないその他のイベント。マッピングされていないイベントはすべて、「その他の変更」アクティビティタイプにマッピングされます。ファイルおよびフォルダに適用されます。
-
-
へのリンクを持つエンティティへの * パス * "エンティティ詳細データ"
-
エンティティタイプ * (エンティティ(ファイル)拡張子( .doc 、 .docx 、 .tmp など)
-
エンティティが存在する * デバイス *
-
イベントの取得に使用される * プロトコル * 。
-
元のファイルの名前を変更したときに名前変更イベントに使用された * 元のパス * 。デフォルトでは、この列はテーブルに表示されません。列セレクタを使用して、この列をテーブルに追加します。
-
エンティティが存在するボリューム * 。デフォルトでは、この列はテーブルに表示されません。列セレクタを使用して、この列をテーブルに追加します。
フォレンジックアクティビティ履歴データのフィルタリング
データのフィルタリングに使用できる方法は 2 つあります。
-
テーブルのフィールドにカーソルを合わせ、表示されるフィルタアイコンをクリックします。この値は、 top_Filter by_list の適切なフィルタに追加されます。
-
次のフィールドに「 _Filter By_field 」と入力して、データをフィルタリングします。
[+]* ボタンをクリックして、 [ フィルタ基準 ] ウィジェットから適切なフィルタを選択します。
検索テキストを入力します
Enter キーを押すか、フィルタボックスの外側をクリックしてフィルタを適用します。
フォレンジックアクティビティデータは、次のフィールドでフィルタできます。
-
* アクティビティ * タイプ。
-
* エンティティがアクセスされたソース IP * 。有効な送信元 IP アドレスを二重引用符で囲んで指定する必要があります(例:「 10.1.1.1 」)。 「 10.1.1.* 」、「 10.1.. 」などの不完全な IP は機能しません。
-
* プロトコル * 。プロトコル固有のアクティビティを取得します。
-
* アクティビティを実行しているユーザーのユーザー名 * 。フィルタリングするユーザ名を正確に指定する必要があります。部分的なユーザ名で検索したり、プレフィックスやサフィックスの付いたユーザ名の一部を検索したりすることはできません。
-
* ユーザーが過去 2 時間に作成したファイルをフィルタリングするためのノイズリダクション * 。また、ユーザがアクセスする一時ファイル( .tmp ファイルなど)をフィルタするためにも使用されます。
次のフィールドには、特別なフィルタルールが適用されます。
-
* エンティティタイプ * 。エンティティ(ファイル)拡張子を使用します
-
* エンティティのパス *
-
* ユーザー * アクティビティを実行しています
-
* エンティティが存在するデバイス * ( SVM )
-
* 体積 * エンティティが存在する場所
-
元のファイルの名前を変更したときに名前変更イベントに使用された * 元のパス * 。
フィルタリングを行う場合、上記のフィールドは次のようになります。
-
正確な値は引用符で囲む必要があります。例: "searchtext"
-
ワイルドカード文字列には引用符は含まれていません。例: searchtext 、 \* searchtext * は、 'earchtext ' を含む文字列をフィルタします。
-
プレフィックスが付いた文字列、たとえば searchtext* は、「 earchtext 」で始まる文字列を検索します。
フォレンジックアクティビティ履歴データのソート
アクティビティ履歴データは、_Time、User、Source IP、Activity、Path_and_Entity Type _でソートできます。デフォルトでは、テーブルは descending _Time_order でソートされます。つまり、最新のデータが最初に表示されます。_Device_Field と _Protocol_fields に対してソートが無効になっています。
すべてのアクティビティのエクスポート
アクティビティ履歴テーブルの上にある _ エクスポート _ ボタンをクリックすると ' アクティビティ履歴を .csv ファイルにエクスポートできます上位100、000件のレコードのみがエクスポートされることに注意してください。データの量によっては、エクスポートが完了するまでに数秒から数分かかる場合があります。
すべてのアクティビティの列を選択します
すべての activity テーブルには ' デフォルトで SELECT カラムが表示されます列を追加、削除、または変更するには、テーブルの右側にある歯車アイコンをクリックし、使用可能な列のリストから選択します。
アクティビティ履歴の保持
アクティビティ履歴は、アクティブなワークロードセキュリティ環境で13カ月間保持されます。
Forensicsページのフィルタの適用性
フィルタ |
機能 |
例 |
どのフィルタに適用できますか? |
どのフィルタにも適用できません |
結果 |
*(アスタリスク) |
すべての項目を検索できます |
Auto * 03172022 |
ユーザー、パス、エンティティタイプ、デバイスタイプ、ボリューム、 元のパス |
"Auto"で始まり、"03172022"で終わるすべてのリソースを返します。 |
|
?(疑問符) |
では、特定の数の文字を検索できます |
AutoSabotageUser1_03172022 |
ユーザー、エンティティタイプ、デバイス、ボリューム |
AutoSabotageUser1_03172022A、AutoSabotageUser1_03172022AB、AutoSabotageUser1_031720225などを返します |
|
または |
複数のエンティティを指定できます |
AutoSabotageUser1_03172022またはAutoRansomUser4_03162022 |
ユーザ、ドメイン、ユーザ名、パス、エンティティタイプ、 デバイス、元のパス |
AutoSabotageUser1_03172022またはAutoRansomUser4_03162022のいずれかを返します |
|
ありません |
検索結果からテキストを除外できます |
AutoRansomUser4_03162022ではありません |
ユーザ、ドメイン、ユーザ名、パス、エンティティタイプ、 元のパス、ボリューム |
デバイス |
"AutoRansomUser4_03162022 "で始まるものをすべて返します。 |
なし |
すべてのフィールドで NULL 値を検索します |
なし |
ドメイン |
ターゲットフィールドが空の場合に結果を返します |
パス/元のパスの検索
検索結果に/が含まれている場合と含まれていない場合は異なります
/AutoDir1/AutoFile |
動作します |
AutoDir1/AutoFileです |
壊れています |
/AutoDir1/AutoFile(Dir1) |
dir1部分部分文字列が機能しない |
"/AutoDir1/AutoFile032420222022" |
完全検索が実行されます |
Auto * 03242022 |
壊れています |
AutoSabotageUser1_03172022 |
壊れています |
/AutoDir1/AutoFile03242022または/AutoDir1/AutoFile03242022 |
動作します |
/AutoDir1/AutoFile03242022ではありません |
動作します |
NOT / AutoDir1 |
動作します |
/AutoFile03242022はありません |
壊れています |
* |
すべてのエントリを表示します |
トラブルシューティング
問題 |
試してみてください |
[All Activities]テーブルの[User]列には、ユーザ名が次のように表示されます。 |
考えられる原因は次のとおりです。 |
一部の NFS イベントが UI に表示されません。 |
次の点を確認します。 |
Forensics_All Activity_or_Entities_pagesのフィルタにアスタリスク(*)などのワイルドカード文字を含む文字を入力すると、ページのロードに時間がかかります。 |
検索文字列にアスタリスク(*)を付けると、すべてが検索されます。ただし、*<searchTerm> or *<searchTerm>*_のような先頭のワイルドカード文字列は、クエリに時間がかかります。 |
パスフィルタを使用すると、「Request failed with status code 500/503」というエラーが発生します。 |
レコードのフィルタリングには、より小さい日付範囲を使用してみてください。 |