法医学 - すべての活動
すべてのアクティビティページは'ワークロードセキュリティ環境でエンティティに対して実行されるアクションを理解するのに役立ちます
すべてのアクティビティデータを確認しています
-
Forensics > Activity Forensics * をクリックし、 * All Activity * タブをクリックして、 All Activity ページにアクセスします。このページには、テナントのアクティビティの概要が表示され、次の情報が強調表示されます。
-
Activity History(選択したグローバル時間範囲に基づく)を示すグラフ
グラフの四角形をドラッグすると、グラフをズームできます。ページ全体がロードされ、ズームした時間範囲が表示されます。ズームインすると、ユーザーがズームアウトできるボタンが表示されます。
-
_all Activity_dataのリスト。
-
[グループ化]ドロップダウンには、アクティビティをユーザー、パス、エンティティタイプなどでグループ化するオプションが表示されます。
-
一般的なパスボタンは、クリックするとテーブルの上にあり、エンティティパスの詳細を含むスライドアウトパネルを取得できます。
すべてのアクティビティ *_table には、次の情報が表示されます。デフォルトでは、すべての列が表示されるわけではありません。歯車アイコンをクリックすると、表示する列を選択できます。
-
エンティティがアクセスされた時間(年、月、日、最終アクセス時刻を含む)。
-
スライドアウトパネルとしてへのリンクを使用してエンティティにアクセスした*ユーザー*"ユーザ情報"。
-
ユーザーが実行した * アクティビティ * 。サポートされるタイプは次のとおりです
-
* グループ所有権の変更 * - グループ所有権はファイルまたはフォルダに変更されています。グループ所有権の詳細については、を参照してください。"リンクをクリックしてください"
-
* 所有者の変更 * - ファイルまたはフォルダの所有権が別のユーザーに変更されています。
-
* アクセス権の変更 * - ファイルまたはフォルダのアクセス権が変更されました。
-
* 作成 * - ファイルまたはフォルダを作成します。
-
* 削除 * - ファイルまたはフォルダを削除します。フォルダを削除すると、そのフォルダおよびサブフォルダ内のすべてのファイルについて、 _delete_events が取得されます。
-
* 読み取り *- ファイルが読み取られています。
-
* 読み取りメタデータ * - フォルダ監視オプションを有効にした場合のみ。Windows でフォルダを開くか、 Linux のフォルダ内で「 ls 」を実行すると、が生成されます。
-
* 名前の変更 * - ファイルまたはフォルダの名前を変更します。
-
* Write * - データはファイルに書き込まれます。
-
* メタデータの書き込み * - ファイルのメタデータが書き込まれます。たとえば、権限が変更された場合などです。
-
* その他の変更 * - 上記に記載されていないその他のイベント。マッピングされていないイベントはすべて、「その他の変更」アクティビティタイプにマッピングされます。ファイルおよびフォルダに適用されます。
-
-
Path * is_entity_path。
-
第1レベルフォルダ(ルート)*は、小文字のエンティティパスのルートディレクトリです。
-
*2nd Level Folder*は、小文字のエンティティパスの2番目のレベルのディレクトリです。
-
*3rd Level Folder*は、小文字のエンティティパスの3番目のレベルのディレクトリです。
-
*4th Level Folder*は、小文字のエンティティパスの4番目のレベルのディレクトリです。
-
エンティティ(ファイル)拡張子(.doc、.docx、.tmpなど)を含む*エンティティタイプ*。
-
エンティティが存在する*デバイス*。
-
イベントの取得に使用される * プロトコル * 。
-
元のファイルの名前を変更したときに名前変更イベントに使用された * 元のパス * 。デフォルトでは、この列はテーブルに表示されません。列セレクタを使用して、この列をテーブルに追加します。
-
エンティティが存在するボリューム * 。デフォルトでは、この列はテーブルに表示されません。列セレクタを使用して、この列をテーブルに追加します。
テーブル行を選択すると、スライドアウトパネルが開き、1つのタブにユーザープロファイルが表示され、別のタブにアクティビティとエンティティの概要が表示されます。
Default_Group by_methodは_Activity forensics_です。別の_Group by_method(エンティティタイプなど)を選択すると、entity_Group by_tableが表示されます。何も選択されていない場合は、_Group by _* All *が表示されます。
-
アクティビティ数はハイパーリンクとして表示されます。これを選択すると、選択したグループがフィルタとして追加されます。アクティビティのテーブルは、そのフィルタに基づいて更新されます。
-
フィルタを変更したり、時間範囲を変更したり、画面を更新したりすると、フィルタを再度設定しないとフィルタ結果に戻ることはできません。
フォレンジックアクティビティ履歴データのフィルタリング
データのフィルタリングに使用できる方法は 2 つあります。
-
フィルタは、スライドアウトパネルから追加できます。この値は、 top_Filter by_list の適切なフィルタに追加されます。
-
次のフィールドに「 _Filter By_field 」と入力して、データをフィルタリングします。
[+]* ボタンをクリックして、 [ フィルタ基準 ] ウィジェットから適切なフィルタを選択します。
検索テキストを入力します
Enter キーを押すか、フィルタボックスの外側をクリックしてフィルタを適用します。
フォレンジックアクティビティデータは、次のフィールドでフィルタできます。
-
* アクティビティ * タイプ。
-
* エンティティがアクセスされたソース IP * 。有効な送信元 IP アドレスを二重引用符で囲んで指定する必要があります(例:「 10.1.1.1 」)。「 10.1.1.* 」、「 10.1.. 」などの不完全な IP は機能しません。
-
* プロトコル * 。プロトコル固有のアクティビティを取得します。
-
* アクティビティを実行しているユーザーのユーザー名 * 。フィルタリングするユーザ名を正確に指定する必要があります。部分的なユーザ名で検索したり、プレフィックスやサフィックスの付いたユーザ名の一部を検索したりすることはできません。
-
* ユーザーが過去 2 時間に作成したファイルをフィルタリングするためのノイズリダクション * 。また、ユーザがアクセスする一時ファイル( .tmp ファイルなど)をフィルタするためにも使用されます。
-
アクティビティを実行しているユーザーの*ドメイン*。フィルタするには、* exact domain を指定する必要があります。部分ドメイン、または部分ドメインの先頭または末尾にワイルドカード('')が付いている部分ドメインを検索することはできません。_None_を指定すると、見つからないドメインを検索できます。
次のフィールドには、特別なフィルタルールが適用されます。
-
エンティティタイプ(エンティティ(ファイル)拡張子を使用)-引用符で正確なエンティティタイプを指定することをお勧めします。例:「txt」_。
-
エンティティのパス-ディレクトリパスフィルタ(/で終わるパス文字列)のパス*は、より高速な結果を得るために、最大4つのディレクトリの深さが推奨されます。例:"/home/userX/nested1/nested2/"。詳細については、次の表を参照してください。
-
第1レベルフォルダ(ルート)-フィルタとしてのエンティティパスのルートディレクトリ。たとえば、エンティティパスが/home/userX/nested1/nested2/の場合、homeまたは"home"を使用できます。
-
2nd Level Folder -エンティティパスフィルタの2ndレベルディレクトリ。たとえば、エンティティのパスが/home/userX/nested1/nested2/の場合、userXまたは"userX"を使用できます。
-
3rd Level Folder -エンティティパスフィルタの3rdレベルディレクトリ。
-
たとえば、エンティティパスが/home/userX/nested1/nested2/の場合、nested1または「nested1」を使用できます。
-
第4レベルフォルダ-ディレクトリエンティティパスフィルタの第4レベルディレクトリ。たとえば、エンティティパスが/home/userX/nested1/nested2/の場合、nested2または「nested2」を使用できます。
-
*ユーザー*アクティビティの実行-引用符で正確なユーザーを指定することをお勧めします。たとえば、_"Administrator"_などです。
-
* エンティティが存在するデバイス * ( SVM )
-
* 体積 * エンティティが存在する場所
-
元のファイルの名前を変更したときに名前変更イベントに使用された * 元のパス * 。
フィルタリングを行う場合、上記のフィールドは次のようになります。
-
正確な値は引用符で囲む必要があります。例: "searchtext"
-
ワイルドカード文字列には引用符は含まれていません。例: searchtext 、 \* searchtext * は、 'earchtext ' を含む文字列をフィルタします。
-
プレフィックスが付いた文字列、たとえば searchtext* は、「 earchtext 」で始まる文字列を検索します。
アクティビティフォレンジックフィルタの例:
ユーザが適用したフィルタ式 | 予想される結果 | パフォーマンス評価 | コメント |
---|---|---|---|
path="/home/userX/nested1/nested2/" |
指定したディレクトリの下にあるすべてのファイルとフォルダの再帰的検索 |
高速 |
最大4つのディレクトリの検索が高速になります。 |
path="/home/userX/nested1/" |
指定したディレクトリの下にあるすべてのファイルとフォルダの再帰的検索 |
高速 |
最大4つのディレクトリの検索が高速になります。 |
パス="/home/userX/nested1/test" |
指定されたパス正規表現の下にあるすべてのファイルおよびフォルダの再帰的検索(test *はファイルまたはディレクトリ、あるいはその両方を意味する) |
遅い |
ディレクトリ+ファイル正規表現検索は、ディレクトリ検索と比較して検索に時間がかかります。 |
path="/home/userX/nested1/nested2/nested3/" |
指定したディレクトリの下にあるすべてのファイルとフォルダの再帰的検索 |
遅い |
4つ以上のディレクトリ検索は、検索に時間がかかります。 |
その他のパスベース以外のフィルタ。UserとEntity Typeのフィルタは引用符で囲むことをお勧めします。例:User="Administrator" Entity Type="txt" |
高速 |
注:
-
選択した時間範囲が3日を超える場合、[すべてのアクティビティ]アイコンの横に表示されるアクティビティ数は30分に四捨五入されます。たとえば、_ 9月1日10:15 ~ 9月7日10:15 AM_の時間範囲には、9月1日10:00 ~ 9月7日10:30のアクティビティ数が表示されます。
-
同様に、選択した期間が3日を超える場合は、[Activity History]グラフに表示されるカウント指標も30分に切り捨てられます。
フォレンジックアクティビティ履歴データのソート
アクティビティ履歴データは、Time、User、Source IP、Activity、、_Entity Type _、1st Level Folder(ルート)、2nd Level Folder、3rd Level Folder、4th Level Folderでソートできます。デフォルトでは、テーブルは descending _Time_order でソートされます。つまり、最新のデータが最初に表示されます。_Device_Field と _Protocol_fields に対してソートが無効になっています。
非同期エクスポートのユーザガイド
概要
Storage Workload Securityの非同期エクスポート機能は、大規模なデータエクスポートを処理するように設計されています。
ステップバイステップガイド:非同期エクスポートを使用したデータのエクスポート
-
エクスポートの開始:エクスポートの所要時間とフィルタを選択し、エクスポートボタンをクリックします。
-
エクスポートが完了するのを待ちます:処理時間は数分から数時間の範囲で指定できます。フォレンジックページを数回更新する必要がある場合があります。エクスポートジョブが完了すると、[Download last export CSV file]ボタンが有効になります。
-
ダウンロード:「最後に作成したエクスポートファイルをダウンロード」ボタンをクリックして、エクスポートされたデータを.zip形式で取得します。このデータは、ユーザーが別の非同期エクスポートを開始するまで、または3日が経過するまで(いずれか早い方)ダウンロードできます。このボタンは、別の非同期エクスポートが開始されるまで有効のままです。
-
制限事項:
-
非同期ダウンロードの数は、現在、ユーザあたり1つ、テナントあたり3つに制限されています。
-
エクスポートされるデータは、最大100万レコードに制限されます。
-
APIを介してフォレンジックデータを抽出するサンプルスクリプトは、NetAppエージェントの_/ opt/apl/cloudsecure/agent/export-script /_にあります。スクリプトの詳細については、この場所にあるreadmeを参照してください。
すべてのアクティビティの列を選択します
すべての activity テーブルには ' デフォルトで SELECT カラムが表示されます列を追加、削除、または変更するには、テーブルの右側にある歯車アイコンをクリックし、使用可能な列のリストから選択します。
アクティビティ履歴の保持
アクティビティ履歴は、アクティブなワークロードセキュリティ環境で13カ月間保持されます。
Forensicsページのフィルタの適用性
フィルタ | 機能 | 例 | これらのフィルタに適用可能 | これらのフィルタには適用されません | 結果 |
---|---|---|---|---|---|
* (アスタリスク) |
すべての項目を検索できます |
Auto * 03172022検索テキストにハイフンまたはアンダースコアが含まれている場合は、角かっこで式を指定します。例:SVM-123の検索には(SVM*)を使用します。 |
ユーザー、エンティティタイプ、デバイス、ボリューム、元のパス、1stLevelフォルダ、2ndLevelフォルダ、3rdLevelフォルダ、4thLevelフォルダ |
「Auto」で始まり「03172022」で終わるすべてのリソースを返します。 |
|
? (疑問符) |
では、特定の数の文字を検索できます |
AutoSabotageUser1_03172022 |
ユーザー、エンティティタイプ、デバイス、ボリューム、1stLevelフォルダ、2ndLevelフォルダ、3rdLevelフォルダ、4thLevelフォルダ |
AutoSabotageUser1_03172022A、AutoSabotageUser1_03172022B、AutoSabotageUser1_031720225などを返します |
|
または |
複数のエンティティを指定できます |
AutoSabotageUser1_03172022またはAutoRansomUser4_03162022 |
ユーザ、ドメイン、エンティティタイプ、元のパス |
AutoSabotageUser1_03172022またはAutoRansomUser4_03162022のいずれかを返します |
|
ありません |
検索結果からテキストを除外できます |
NOT AutoRansomUser4_03162022 |
ユーザー、ドメイン、エンティティタイプ、元のパス、1stLevelフォルダ、2ndLevelフォルダ、3rdLevelフォルダ、4thLevelフォルダ |
デバイス |
"AutoRansomUser4_03162022 "で始まるものをすべて返します。 |
なし |
すべてのフィールドで NULL 値を検索します |
なし |
ドメイン |
ターゲットフィールドが空の場合に結果を返します |
パス/元のパスの検索
検索結果は、の有無によって異なります
"/AutoDir1/AutoFile032420222022" |
完全一致検索のみが機能します。正確なパスが/AutoDir1/AutoFile03242022であるすべてのアクティビティが返されます(大文字と小文字は区別されません)。 |
"/AutoDir1/" |
AutoDir1と一致する第1レベルディレクトリを持つすべてのアクティビティを返します(大文字と小文字は区別されません)。 |
"/AutoDir1/AutoFile03242022 /" |
機能します。第1レベルのディレクトリがAutoDir1と一致し、第2レベルのディレクトリがAutoFile03242022と一致するすべてのアクティビティを返します(大文字と小文字は区別されません)。 |
/AutoDir1/AutoFile03242022または/AutoDir1/AutoFile03242022 |
壊れています |
/AutoDir1/AutoFile03242022ではありません |
壊れています |
/AutoDir1はありません |
壊れています |
/AutoFile03242022はありません |
壊れています |
* |
壊れています |
ローカルルートSVMユーザアクティビティの変更
ローカルルートSVMユーザが何らかのアクティビティを実行している場合、NFS共有がマウントされているクライアントのIPがユーザ名で考慮されるようになりました。フォレンジックアクティビティとユーザアクティビティの両方のページで、root@<ip-address-of-the-client>と表示されます。
例:
-
SVM-1がワークロードセキュリティによって監視されていて、そのSVMのrootユーザがIPアドレスが10.197.12.40のクライアントに共有をマウントした場合、フォレンジックアクティビティページに表示されるユーザ名は_root@10.197.12.40_になります。
-
IPアドレスが10.197.12.41の別のクライアントに同じSVM-1がマウントされている場合、フォレンジックアクティビティページに表示されるユーザ名は_root@10.197.12.41_になります。
*•これは、NFS rootユーザーのアクティビティをIPアドレスごとに分離するために行われます。以前は、すべてのアクティビティは_root_userによってのみ実行され、IPの区別はありませんでした。
トラブルシューティング
問題 |
試してみてください |
[ すべてのアクティビティ ] テーブルの [ ユーザー ] 列には、「 LDAP: HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” 」または「 LDAP: デフォルト : 80038003 」というユーザー名が表示されます。 |
考えられる原因は次のとおりです。 1.ユーザディレクトリコレクタがまだ設定されていません。追加するには、[ワークロードセキュリティ]>[コレクタ]>[ユーザディレクトリコレクタ]*に移動し、[+ユーザディレクトリコレクタ]*をクリックします。Active Directory_or_LDAP ディレクトリサーバー _ を選択します。2.User Directory Collectorが設定されましたが、停止しているか、エラー状態です。[コレクタ]>[ユーザディレクトリコレクタ]*に移動し、ステータスを確認してください。トラブルシューティングのヒントについては、のマニュアルのセクションを参照して"User Directory Collector のトラブルシューティング"ください。適切に設定すると、 24 時間以内に名前が自動的に解決されます。それでも解決されない場合は、正しい User Data Collector を追加しているかどうかを確認します。追加した Active Directory / LDAP ディレクトリサーバにユーザが実際に含まれていることを確認します。 |
一部の NFS イベントが UI に表示されません。 |
次を確認します。 1.POSIX 属性が設定された AD サーバのユーザディレクトリコレクタは、 UI から unixid 属性が有効になっている必要があります。2.NFSアクセスを実行しているすべてのユーザは、UI 3のユーザページで検索したときに表示されます。raw イベント(ユーザがまだ検出されていないイベント)は NFS 4 ではサポートされません。NFS エクスポートへの匿名アクセスは監視されません。5.NFSバージョンがNFS4.1未満で使用されていることを確認します。 |
Forensics_All Activity_or_Entities_pagesのフィルタにアスタリスク(*)などのワイルドカード文字を含む文字を入力すると、ページのロードに時間がかかります。 |
検索文字列にアスタリスク(*)を付けると、すべてが検索されます。ただし、*<searchTerm> or *<searchTerm>*_のような先頭のワイルドカード文字列は、クエリに時間がかかります。パフォーマンスを向上させるには、代わりに<searchTerm>*という形式でプレフィックス文字列を使用します(つまり、検索用語としてアスタリスク()_after_aを追加します)。例: testvolume_or_* test * volume__ではなく、文字列_testvolume *_を使用します。ディレクトリ検索を使用して、指定したフォルダの下にあるすべてのアクティビティを再帰的に表示します(階層検索)。たとえば、"/path1/path2/path3/"は、/path1/path2/path3の下にあるすべてのアクティビティを再帰的にリストします。または、[すべてのアクティビティ]タブの[フィルタに追加]オプションを使用します。 |
パスフィルタを使用すると、「Request failed with status code 500/503」というエラーが発生します。 |
レコードのフィルタリングには、より小さい日付範囲を使用してみてください。 |
_path_filterを使用すると、Forensic UIでデータのロードに時間がかかります。 |
ディレクトリパスフィルタ(/で終わるパス文字列)より高速な結果を得るには、最大4つのディレクトリの深さが推奨されます。たとえば、ディレクトリパスが/Aaa/Bbb/Ccc/Dddの場合は、「/Aaa/Bbb/Ccc/Ddd/」を検索してデータをより高速にロードしてみてください。 |