日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

法医学 - すべての活動

寄稿者

すべてのアクティビティページは’ワークロードセキュリティ環境でエンティティに対して実行されるアクションを理解するのに役立ちます

すべてのアクティビティデータを確認しています

  • Forensics > Activity Forensics * をクリックし、 * All Activity * タブをクリックして、 All Activity ページにアクセスします。このページでは、環境内のアクティビティの概要を説明します。次の情報が強調表示されます。

  • グラフには、 _ アクティビティ履歴 _ (選択したグローバル時間範囲に基づいて、 1 分あたり 5 分あたり / 10 分あたりにアクセス)が表示されます。

    グラフの四角形をドラッグすると、グラフをズームできます。ページ全体がロードされ、ズームした時間範囲が表示されます。ズームインすると、ユーザーがズームアウトできるボタンが表示されます。

  • アクティビティタイプ _ のチャート。アクティビティタイプ別にアクティビティ履歴データを取得するには、対応する X 軸ラベルリンクをクリックします。

  • エンティティタイプ _ 上のアクティビティのグラフ。エンティティタイプ別にアクティビティ履歴データを取得するには、対応する X 軸ラベルリンクをクリックします。

  • すべての Activity_data のリスト

すべてのアクティビティ *_table には、次の情報が表示されます。デフォルトでは、すべての列が表示されるわけではありません。表示する列を選択するには、「歯車」アイコンをクリックします 歯車アイコン

  • エンティティがアクセスされた時間(年、月、日、最終アクセス時刻を含む)。

  • へのリンクでエンティティにアクセスした * user * "ユーザ情報"

  • ユーザーが実行した * アクティビティ * 。サポートされるタイプは次のとおりです

    • * グループ所有権の変更 * - グループ所有権はファイルまたはフォルダに変更されています。グループの所有権の詳細については、を参照してください "リンクをクリックしてください"

    • * 所有者の変更 * - ファイルまたはフォルダの所有権が別のユーザーに変更されています。

    • * アクセス権の変更 * - ファイルまたはフォルダのアクセス権が変更されました。

    • * 作成 * - ファイルまたはフォルダを作成します。

    • * 削除 * - ファイルまたはフォルダを削除します。フォルダを削除すると、そのフォルダおよびサブフォルダ内のすべてのファイルについて、 _delete_events が取得されます。

    • * 読み取り *- ファイルが読み取られています。

    • * 読み取りメタデータ * - フォルダ監視オプションを有効にした場合のみ。Windows でフォルダを開くか、 Linux のフォルダ内で「 ls 」を実行すると、が生成されます。

    • * 名前の変更 * - ファイルまたはフォルダの名前を変更します。

    • * Write * - データはファイルに書き込まれます。

    • * メタデータの書き込み * - ファイルのメタデータが書き込まれます。たとえば、権限が変更された場合などです。

    • * その他の変更 * - 上記に記載されていないその他のイベント。マッピングされていないイベントはすべて、「その他の変更」アクティビティタイプにマッピングされます。ファイルおよびフォルダに適用されます。

  • へのリンクを持つエンティティへの * パス * "エンティティ詳細データ"

  • エンティティタイプ * (エンティティ(ファイル)拡張子( .doc 、 .docx 、 .tmp など)

  • エンティティが存在する * デバイス *

  • イベントの取得に使用される * プロトコル * 。

  • 元のファイルの名前を変更したときに名前変更イベントに使用された * 元のパス * 。デフォルトでは、この列はテーブルに表示されません。列セレクタを使用して、この列をテーブルに追加します。

  • エンティティが存在するボリューム * 。デフォルトでは、この列はテーブルに表示されません。列セレクタを使用して、この列をテーブルに追加します。

フォレンジックアクティビティ履歴データのフィルタリング

データのフィルタリングに使用できる方法は 2 つあります。

  1. テーブルのフィールドにカーソルを合わせ、表示されるフィルタアイコンをクリックします。この値は、 top_Filter by_list の適切なフィルタに追加されます。

  2. 次のフィールドに「 _Filter By_field 」と入力して、データをフィルタリングします。

    [+]* ボタンをクリックして、 [ フィルタ基準 ] ウィジェットから適切なフィルタを選択します。

    エンティティー Filer 、幅 = 500

    検索テキストを入力します

    Enter キーを押すか、フィルタボックスの外側をクリックしてフィルタを適用します。

フォレンジックアクティビティデータは、次のフィールドでフィルタできます。

  • * アクティビティ * タイプ。

  • * エンティティがアクセスされたソース IP * 。有効な送信元 IP アドレスを二重引用符で囲んで指定する必要があります(例:「 10.1.1.1 」)。「 10.1.1.* 」、「 10.1.. 」などの不完全な IP は機能しません。

  • * プロトコル * 。プロトコル固有のアクティビティを取得します。

  • * アクティビティを実行しているユーザーのユーザー名 * 。フィルタリングするユーザ名を正確に指定する必要があります。部分的なユーザ名で検索したり、プレフィックスやサフィックスの付いたユーザ名の一部を検索したりすることはできません。

  • * ユーザーが過去 2 時間に作成したファイルをフィルタリングするためのノイズリダクション * 。また、ユーザがアクセスする一時ファイル( .tmp ファイルなど)をフィルタするためにも使用されます。

次のフィールドには、特別なフィルタルールが適用されます。

  • * エンティティタイプ * 。エンティティ(ファイル)拡張子を使用します

  • * エンティティのパス *

  • * ユーザー * アクティビティを実行しています

  • * エンティティが存在するデバイス * ( SVM )

  • * 体積 * エンティティが存在する場所

  • 元のファイルの名前を変更したときに名前変更イベントに使用された * 元のパス * 。

フィルタリングを行う場合、上記のフィールドは次のようになります。

  • 正確な値は引用符で囲む必要があります。例: "searchtext"

  • ワイルドカード文字列には引用符は含まれていません。例: searchtext 、 \* searchtext * は、 'earchtext ' を含む文字列をフィルタします。

  • プレフィックスが付いた文字列、たとえば searchtext* は、「 earchtext 」で始まる文字列を検索します。

フォレンジックアクティビティ履歴データのソート

アクティビティ履歴データは、 _ 時間、ユーザー、ソース IP 、アクティビティ、パスおよび _ エンティティタイプ _ でソートできます。デフォルトでは、テーブルは descending _Time_order でソートされます。つまり、最新のデータが最初に表示されます。_Device_Field と _Protocol_fields に対してソートが無効になっています。

すべてのアクティビティのエクスポート

アクティビティ履歴テーブルの上にある _ エクスポート _ ボタンをクリックすると ' アクティビティ履歴を .csv ファイルにエクスポートできますエクスポートされるのは上位 10,000 レコードのみです。

すべてのアクティビティの列を選択します

すべての activity テーブルには ' デフォルトで SELECT カラムが表示されます列を追加、削除、または変更するには、テーブルの右側にある歯車アイコンをクリックし、使用可能な列のリストから選択します。

アクティビティセレクタ、幅 = 30%

アクティビティ履歴の保持

アクティビティ履歴は、アクティブなワークロードセキュリティ環境で13カ月間保持されます。

Forensicsページのフィルタの適用性

フィルタ

機能

どのフィルタに適用できますか?

どのフィルタにも適用できません

結果

* (アスタリスク)

すべての項目を検索できます

Auto * 03172022

ユーザー、パス、エンティティタイプ、デバイスタイプ、ボリューム、 元のパス

"Auto"で始まり、"03172022"で終わるすべてのリソースを返します。

?(疑問符)

では、特定の数の文字を検索できます

AutoSabotageUser1_03172022

ユーザー、エンティティタイプ、デバイス、ボリューム

AutoSabotageUser1_03172022A、AutoSabotageUser1_03172022AB、AutoSabotageUser1_031720225などを返します

または

複数のエンティティを指定できます

AutoSabotageUser1_03172022またはAutoRansomUser4_03162022

ユーザ、ドメイン、ユーザ名、パス、エンティティタイプ、 デバイス、元のパス

AutoSabotageUser1_03172022またはAutoRansomUser4_03162022のいずれかを返します

ありません

検索結果からテキストを除外できます

AutoRansomUser4_03162022ではありません

ユーザ、ドメイン、ユーザ名、パス、エンティティタイプ、 元のパス、ボリューム

デバイス

"AutoRansomUser4_03162022 "で始まるものをすべて返します。

なし

すべてのフィールドで NULL 値を検索します

なし

ドメイン

ターゲットフィールドが空の場合に結果を返します

パス/元のパスの検索

検索結果は、の有無によって異なります

/AutoDir1/AutoFile

動作します

AutoDir1/AutoFileです

壊れています

/AutoDir1/AutoFile(Dir1)

dir1部分部分文字列が機能しない

"/AutoDir1/AutoFile032420222022"

完全検索が実行されます

Auto * 03242022

壊れています

AutoSabotageUser1_03172022

壊れています

/AutoDir1/AutoFile03242022または/AutoDir1/AutoFile03242022

動作します

/AutoDir1/AutoFile03242022ではありません

動作します

NOT / AutoDir1

動作します

/AutoFile03242022はありません

壊れています

*

すべてのエントリを表示します

トラブルシューティング

問題

試してみてください

[ すべてのアクティビティ ] テーブルの [ ユーザー ] 列には、「 LDAP: HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” 」または「 LDAP: デフォルト : 80038003 」というユーザー名が表示されます。

考えられる原因は次のとおりです。 1.ユーザディレクトリコレクタがまだ設定されていません。追加するには、 [Admin] > [Data Collectors] > [User Directory Collectors] に移動し、 [+ User Directory Collectors] をクリックします。Active Directory_or_LDAP ディレクトリサーバー _ を選択します。2. ユーザディレクトリコレクタは設定されていますが、停止しているか、エラー状態です。[*Admin] > [Data Collectors] > [User Directory Collectors] に移動し、ステータスを確認してください。を参照してください "User Directory Collector のトラブルシューティング" トラブルシューティングのヒントについては、ドキュメントのセクションを参照してください。適切に設定すると、 24 時間以内に名前が自動的に解決されます。それでも解決されない場合は、正しい User Data Collector を追加しているかどうかを確認します。追加した Active Directory / LDAP ディレクトリサーバにユーザが実際に含まれていることを確認します。

一部の NFS イベントが UI に表示されません。

次を確認します。 1.POSIX 属性が設定された AD サーバのユーザディレクトリコレクタは、 UI から unixid 属性が有効になっている必要があります。2. ユーザページで UI 3 から NFS アクセスを実行しているユーザを検索すると、アクセス権が表示されます。raw イベント(ユーザがまだ検出されていないイベント)は NFS 4 ではサポートされません。NFS エクスポートへの匿名アクセスは監視されません。5. NFS4.1 よりも小さいバージョンの NFS を使用していることを確認します。