法医学 - すべての活動
すべてのアクティビティページは'ワークロードセキュリティ環境でエンティティに対して実行されるアクションを理解するのに役立ちます
すべてのアクティビティデータを確認しています
-
Forensics > Activity Forensics * をクリックし、 * All Activity * タブをクリックして、 All Activity ページにアクセスします。このページには、テナントのアクティビティの概要が表示され、次の情報が強調表示されます。
-
グラフには、 _ アクティビティ履歴 _ (選択したグローバル時間範囲に基づいて、 1 分あたり 5 分あたり / 10 分あたりにアクセス)が表示されます。
グラフの四角形をドラッグすると、グラフをズームできます。ページ全体がロードされ、ズームした時間範囲が表示されます。ズームインすると、ユーザーがズームアウトできるボタンが表示されます。
-
アクティビティタイプ _ のチャート。アクティビティタイプ別にアクティビティ履歴データを取得するには、対応する X 軸ラベルリンクをクリックします。
-
エンティティタイプ _ 上のアクティビティのグラフ。エンティティタイプ別にアクティビティ履歴データを取得するには、対応する X 軸ラベルリンクをクリックします。
-
すべての Activity_data のリスト
すべてのアクティビティ *_table には、次の情報が表示されます。デフォルトでは、すべての列が表示されるわけではありません。歯車アイコンをクリックすると、表示する列を選択できます。
-
エンティティがアクセスされた時間(年、月、日、最終アクセス時刻を含む)。
-
へのリンクを使用してエンティティにアクセスした* user *"ユーザ情報"。
-
ユーザーが実行した * アクティビティ * 。サポートされるタイプは次のとおりです
-
* グループ所有権の変更 * - グループ所有権はファイルまたはフォルダに変更されています。グループ所有権の詳細については、を参照してください。"リンクをクリックしてください"
-
* 所有者の変更 * - ファイルまたはフォルダの所有権が別のユーザーに変更されています。
-
* アクセス権の変更 * - ファイルまたはフォルダのアクセス権が変更されました。
-
* 作成 * - ファイルまたはフォルダを作成します。
-
* 削除 * - ファイルまたはフォルダを削除します。フォルダを削除すると、そのフォルダおよびサブフォルダ内のすべてのファイルについて、 _delete_events が取得されます。
-
* 読み取り *- ファイルが読み取られています。
-
* 読み取りメタデータ * - フォルダ監視オプションを有効にした場合のみ。Windows でフォルダを開くか、 Linux のフォルダ内で「 ls 」を実行すると、が生成されます。
-
* 名前の変更 * - ファイルまたはフォルダの名前を変更します。
-
* Write * - データはファイルに書き込まれます。
-
* メタデータの書き込み * - ファイルのメタデータが書き込まれます。たとえば、権限が変更された場合などです。
-
* その他の変更 * - 上記に記載されていないその他のイベント。マッピングされていないイベントはすべて、「その他の変更」アクティビティタイプにマッピングされます。ファイルおよびフォルダに適用されます。
-
-
へのリンクを持つエンティティへの*パス*"エンティティ詳細データ"
-
エンティティタイプ * (エンティティ(ファイル)拡張子( .doc 、 .docx 、 .tmp など)
-
エンティティが存在する * デバイス *
-
イベントの取得に使用される * プロトコル * 。
-
元のファイルの名前を変更したときに名前変更イベントに使用された * 元のパス * 。デフォルトでは、この列はテーブルに表示されません。列セレクタを使用して、この列をテーブルに追加します。
-
エンティティが存在するボリューム * 。デフォルトでは、この列はテーブルに表示されません。列セレクタを使用して、この列をテーブルに追加します。
フォレンジックアクティビティ履歴データのフィルタリング
データのフィルタリングに使用できる方法は 2 つあります。
-
テーブルのフィールドにカーソルを合わせ、表示されるフィルタアイコンをクリックします。この値は、 top_Filter by_list の適切なフィルタに追加されます。
-
次のフィールドに「 _Filter By_field 」と入力して、データをフィルタリングします。
[+]* ボタンをクリックして、 [ フィルタ基準 ] ウィジェットから適切なフィルタを選択します。
検索テキストを入力します
Enter キーを押すか、フィルタボックスの外側をクリックしてフィルタを適用します。
フォレンジックアクティビティデータは、次のフィールドでフィルタできます。
-
* アクティビティ * タイプ。
-
* エンティティがアクセスされたソース IP * 。有効な送信元 IP アドレスを二重引用符で囲んで指定する必要があります(例:「 10.1.1.1 」)。「 10.1.1.* 」、「 10.1.. 」などの不完全な IP は機能しません。
-
* プロトコル * 。プロトコル固有のアクティビティを取得します。
-
* アクティビティを実行しているユーザーのユーザー名 * 。フィルタリングするユーザ名を正確に指定する必要があります。部分的なユーザ名で検索したり、プレフィックスやサフィックスの付いたユーザ名の一部を検索したりすることはできません。
-
* ユーザーが過去 2 時間に作成したファイルをフィルタリングするためのノイズリダクション * 。また、ユーザがアクセスする一時ファイル( .tmp ファイルなど)をフィルタするためにも使用されます。
-
アクティビティを実行しているユーザーの*ドメイン*。フィルタするには、* exact domain を指定する必要があります。部分ドメイン、または部分ドメインの先頭または末尾にワイルドカード('')が付いている部分ドメインを検索することはできません。_None_を指定すると、見つからないドメインを検索できます。
次のフィールドには、特別なフィルタルールが適用されます。
-
エンティティタイプ(エンティティ(ファイル)拡張子を使用)-引用符で正確なエンティティタイプを指定することをお勧めします。例:「txt」_。
-
エンティティのパス-ディレクトリパスフィルタ(/で終わるパス文字列)のパス*は、より高速な結果を得るために、最大4つのディレクトリの深さが推奨されます。例:/home/userX/nested1/nested2/_or"/home/userX/nested1/nested2/"_。詳細については、次の表を参照してください。
-
*ユーザー*アクティビティの実行-引用符で正確なユーザーを指定することをお勧めします。たとえば、_"Administrator"_などです。
-
* エンティティが存在するデバイス * ( SVM )
-
* 体積 * エンティティが存在する場所
-
元のファイルの名前を変更したときに名前変更イベントに使用された * 元のパス * 。
フィルタリングを行う場合、上記のフィールドは次のようになります。
-
正確な値は引用符で囲む必要があります。例: "searchtext"
-
ワイルドカード文字列には引用符は含まれていません。例: searchtext 、 \* searchtext * は、 'earchtext ' を含む文字列をフィルタします。
-
プレフィックスが付いた文字列、たとえば searchtext* は、「 earchtext 」で始まる文字列を検索します。
アクティビティフォレンジックフィルタの例:
ユーザが適用したフィルタ式 | 予想される結果 | パフォーマンス評価 | コメント |
---|---|---|---|
path=/home/userX/nested1/nested2/または/home/userX/nested1/nested2/*または"/home/userX/nested1/nested2/" |
指定したディレクトリの下にあるすべてのファイルとフォルダの再帰的検索 |
高速 |
最大4つのディレクトリの検索が高速になります。 |
path=/home/userX/nested1/または/home/userX/nested1/*または/home/userX/nested1/ |
指定したディレクトリの下にあるすべてのファイルとフォルダの再帰的検索 |
高速 |
最大4つのディレクトリの検索が高速になります。 |
path=/home/userX/nested1/test *または/home/userX/nested1/test |
指定されたパス正規表現の下にあるすべてのファイルおよびフォルダの再帰的検索(test *はファイルまたはディレクトリ、あるいはその両方を意味する) |
遅い |
ディレクトリ+ファイル正規表現検索は、ディレクトリ検索と比較して検索に時間がかかります。 |
path=/home/userX/nested1/nested2/nested3/or /home/userX/nested1/nested2/nested3/* or "/home/userX/nested1/nested2/nested3/" |
指定したディレクトリの下にあるすべてのファイルとフォルダの再帰的検索 |
遅い |
4つ以上のディレクトリ検索は、検索に時間がかかります。 |
パス=\* userX/nested1/test * |
指定されたワイルドカードパス文字列の下にあるすべてのファイルおよびフォルダの再帰的検索(test *はファイルまたはディレクトリ、あるいはその両方を意味します) |
最も遅い |
先頭のワイルドカード検索は、最も低速な検索です。 |
その他のパスベース以外のフィルタ。UserとEntity Typeのフィルタは引用符で囲むことをお勧めします。例:User="Administrator" Entity Type="txt" |
高速 |
注:
-
選択した時間範囲が3日を超える場合、[すべてのアクティビティ]アイコンの横に表示されるアクティビティ数は30分に四捨五入されます。たとえば、_ 9月1日10:15 ~ 9月7日10:15 AM_の時間範囲には、9月1日10:00 ~ 9月7日10:30のアクティビティ数が表示されます。
-
同様に、[Activity Types]、[Activity on Entity Types]、[Activity History]グラフに表示されるカウントメトリックは、選択した期間が3日を超える場合は30分に切り捨てられます。
フォレンジックアクティビティ履歴データのソート
アクティビティ履歴データは、_Time、User、Source IP、Activity、_and_Entity Type _でソートできます。デフォルトでは、テーブルは descending _Time_order でソートされます。つまり、最新のデータが最初に表示されます。_Device_Field と _Protocol_fields に対してソートが無効になっています。
非同期エクスポートのユーザガイド
概要
Storage Workload Securityの非同期エクスポート機能は、大規模なデータエクスポートを処理するように設計されています。
ステップバイステップガイド:非同期エクスポートを使用したデータのエクスポート
-
エクスポートの開始:エクスポートの所要時間とフィルタを選択し、エクスポートボタンをクリックします。
-
エクスポートが完了するのを待ちます:処理時間は数分から数時間の範囲で指定できます。フォレンジックページを数回更新する必要がある場合があります。エクスポートジョブが完了すると、[Download last export CSV file]ボタンが有効になります。
-
ダウンロード:「最後に作成したエクスポートファイルをダウンロード」ボタンをクリックして、エクスポートされたデータを.zip形式で取得します。このデータは、ユーザーが別の非同期エクスポートを開始するまで、または3日が経過するまで(いずれか早い方)ダウンロードできます。このボタンは、別の非同期エクスポートが開始されるまで有効のままです。
-
制限事項:
-
非同期ダウンロードの数は、現在、ユーザあたり1つ、テナントあたり3つに制限されています。
-
エクスポートされるデータは、最大100万レコードに制限されます。
-
APIを介してフォレンジックデータを抽出するサンプルスクリプトは、NetAppエージェントの_/ opt/apl/cloudsecure/agent/export-script /_にあります。スクリプトの詳細については、この場所にあるreadmeを参照してください。
すべてのアクティビティの列を選択します
すべての activity テーブルには ' デフォルトで SELECT カラムが表示されます列を追加、削除、または変更するには、テーブルの右側にある歯車アイコンをクリックし、使用可能な列のリストから選択します。
アクティビティ履歴の保持
アクティビティ履歴は、アクティブなワークロードセキュリティ環境で13カ月間保持されます。
Forensicsページのフィルタの適用性
フィルタ | 機能 | 例 | これらのフィルタに適用可能 | これらのフィルタには適用されません | 結果 |
---|---|---|---|---|---|
* (アスタリスク) |
すべての項目を検索できます |
Auto * 03172022検索テキストにハイフンまたはアンダースコアが含まれている場合は、角かっこで式を指定します。例:SVM-123の検索には(SVM*)を使用します。 |
ユーザー、パス、エンティティタイプ、デバイス、ボリューム、元のパス |
"Auto"で始まり、"03172022"で終わるすべてのリソースを返します。 |
|
? (疑問符) |
では、特定の数の文字を検索できます |
AutoSabotageUser1_03172022 |
ユーザー、エンティティタイプ、デバイス、ボリューム |
AutoSabotageUser1_03172022A、AutoSabotageUser1_03172022B、AutoSabotageUser1_031720225などを返します |
|
または |
複数のエンティティを指定できます |
AutoSabotageUser1_03172022またはAutoRansomUser4_03162022 |
ユーザー、ドメイン、パス、エンティティタイプ、元のパス |
AutoSabotageUser1_03172022またはAutoRansomUser4_03162022のいずれかを返します |
|
ありません |
検索結果からテキストを除外できます |
NOT AutoRansomUser4_03162022 |
ユーザー、ドメイン、パス、エンティティタイプ、元のパス |
デバイス |
"AutoRansomUser4_03162022 "で始まるものをすべて返します。 |
なし |
すべてのフィールドで NULL 値を検索します |
なし |
ドメイン |
ターゲットフィールドが空の場合に結果を返します |
パス/元のパスの検索
検索結果は、の有無によって異なります
/AutoDir1/AutoFile |
動作します |
AutoDir1/AutoFileです |
壊れています |
/AutoDir1/AutoFile(Dir1) |
dir1部分部分文字列が機能しない |
"/AutoDir1/AutoFile032420222022" |
完全検索が実行されます |
Auto * 03242022 |
壊れています |
AutoSabotageUser1_03172022 |
壊れています |
/AutoDir1/AutoFile03242022または/AutoDir1/AutoFile03242022 |
動作します |
/AutoDir1/AutoFile03242022ではありません |
動作します |
/AutoDir1はありません |
動作します |
/AutoFile03242022はありません |
壊れています |
* |
すべてのエントリを表示します |
ローカルルートSVMユーザアクティビティの変更
ローカルルートSVMユーザが何らかのアクティビティを実行している場合、NFS共有がマウントされているクライアントのIPがユーザ名で考慮されるようになりました。フォレンジックアクティビティとユーザアクティビティの両方のページで、root@<ip-address-of-the-client>と表示されます。
例:
-
SVM-1がワークロードセキュリティによって監視されていて、そのSVMのrootユーザがIPアドレスが10.197.12.40のクライアントに共有をマウントした場合、フォレンジックアクティビティページに表示されるユーザ名は_root@10.197.12.40_になります。
-
IPアドレスが10.197.12.41の別のクライアントに同じSVM-1がマウントされている場合、フォレンジックアクティビティページに表示されるユーザ名は_root@10.197.12.41_になります。
*•これは、NFS rootユーザーのアクティビティをIPアドレスごとに分離するために行われます。以前は、すべてのアクティビティは_root_userによってのみ実行され、IPの区別はありませんでした。
トラブルシューティング
問題 |
試してみてください |
[ すべてのアクティビティ ] テーブルの [ ユーザー ] 列には、「 LDAP: HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” 」または「 LDAP: デフォルト : 80038003 」というユーザー名が表示されます。 |
考えられる原因は次のとおりです。 1.ユーザディレクトリコレクタがまだ設定されていません。追加するには、[ワークロードセキュリティ]>[コレクタ]>[ユーザディレクトリコレクタ]*に移動し、[+ユーザディレクトリコレクタ]*をクリックします。Active Directory_or_LDAP ディレクトリサーバー _ を選択します。2.User Directory Collectorが設定されましたが、停止しているか、エラー状態です。[コレクタ]>[ユーザディレクトリコレクタ]*に移動し、ステータスを確認してください。トラブルシューティングのヒントについては、のマニュアルのセクションを参照して"User Directory Collector のトラブルシューティング"ください。適切に設定すると、 24 時間以内に名前が自動的に解決されます。それでも解決されない場合は、正しい User Data Collector を追加しているかどうかを確認します。追加した Active Directory / LDAP ディレクトリサーバにユーザが実際に含まれていることを確認します。 |
一部の NFS イベントが UI に表示されません。 |
次を確認します。 1.POSIX 属性が設定された AD サーバのユーザディレクトリコレクタは、 UI から unixid 属性が有効になっている必要があります。2.NFSアクセスを実行しているすべてのユーザは、UI 3のユーザページで検索したときに表示されます。raw イベント(ユーザがまだ検出されていないイベント)は NFS 4 ではサポートされません。NFS エクスポートへの匿名アクセスは監視されません。5.NFSバージョンがNFS4.1未満で使用されていることを確認します。 |
Forensics_All Activity_or_Entities_pagesのフィルタにアスタリスク(*)などのワイルドカード文字を含む文字を入力すると、ページのロードに時間がかかります。 |
検索文字列にアスタリスク(*)を付けると、すべてが検索されます。ただし、*<searchTerm> or *<searchTerm>*_のような先頭のワイルドカード文字列は、クエリに時間がかかります。パフォーマンスを向上させるには、代わりに<searchTerm>*という形式でプレフィックス文字列を使用します(つまり、検索用語としてアスタリスク()_after_aを追加します)。例: testvolume_or_* test * volume__ではなく、文字列_testvolume *_を使用します。ディレクトリ検索を使用して、指定したフォルダの下にあるすべてのアクティビティを再帰的に表示します(階層検索)。たとえば、/path1/path2/path3/or "/path1/path2/path3/"は、すべてのアクティビティを/path1/path2/path3の下に再帰的に表示します。または、[すべてのアクティビティ]タブの[フィルタに追加]オプションを使用します。 |
パスフィルタを使用すると、「Request failed with status code 500/503」というエラーが発生します。 |
レコードのフィルタリングには、より小さい日付範囲を使用してみてください。 |
_path_filterを使用すると、Forensic UIでデータのロードに時間がかかります。 |
ディレクトリパスフィルタ(/で終わるパス文字列)より高速な結果を得るには、最大4つのディレクトリの深さが推奨されます。たとえば、ディレクトリパスが/Aaa/Bbb/Ccc/Dddの場合は、/Aaa/Bbb/Ccc/Ddd/または「/Aaa/Bbb/Ccc/Ddd/」を検索して、データをより高速にロードしてみてください。 |