본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

법의학 - 모든 활동

모든 활동 페이지에서는 Cloud Secure 환경의 엔터티에 대해 수행되는 작업을 이해하는 데 도움이 됩니다.

모든 활동 데이터 검토

Forensics > Activity Forensics * 를 클릭하고 * All Activity * 탭을 클릭하여 All Activity 페이지에 액세스합니다. 이 페이지에서는 다음 정보를 중심으로 사용자 환경의 활동에 대한 개요를 제공합니다.

  • Activity History _(활동 내역)를 보여주는 그래프(선택한 전역 시간 범위에 따라 분당 5분/10분에 액세스됨)

    그래프에서 사각형을 드래그하여 그래프를 확대할 수 있습니다. 확대/축소된 시간 범위를 표시하기 위해 전체 페이지가 로드됩니다. 확대하면 사용자가 축소할 수 있는 버튼이 표시됩니다.

  • 활동 유형 _ 의 차트. 활동 유형별 활동 기록 데이터를 얻으려면 해당 X축 레이블 링크를 클릭합니다.

  • 엔티티 유형 _ 에 대한 활동 차트. 엔터티 유형별로 활동 기록 데이터를 가져오려면 해당 X축 레이블 링크를 클릭합니다.

  • All Activity_data의 목록입니다

_ * All Activity * _ 표에는 다음 정보가 표시됩니다. 이러한 열 중 일부만 기본적으로 표시됩니다. "gear(기어)" 아이콘을 클릭하여 표시할 열을 선택할 수 있습니다 기어 아이콘.

  • 마지막 액세스의 연도, 월, 일 및 시간을 포함하여 엔티티에 액세스한 * 시간.

  • 엔티티에 액세스한 * 사용자 * 입니다 "사용자 정보".

  • 사용자가 수행한 * 작업 *. 지원되는 유형은 다음과 같습니다.

    • * 그룹 소유권 변경 * - 파일 또는 폴더의 그룹 소유권이 변경됩니다. 그룹 소유권에 대한 자세한 내용은 을 참조하십시오 "이 링크."

    • * 소유자 변경 * - 파일 또는 폴더의 소유권이 다른 사용자로 변경됩니다.

    • * 권한 변경 * - 파일 또는 폴더 권한이 변경됩니다.

    • * 생성 * - 파일 또는 폴더를 생성합니다.

    • * 삭제 * - 파일 또는 폴더를 삭제합니다. 폴더가 삭제되면 해당 폴더 및 하위 폴더에 있는 모든 파일에 대해 _DELETE_events가 획득됩니다.

    • * 읽기 * - 파일을 읽습니다.

    • * 메타데이터 읽기 * - 폴더 모니터링 활성화 옵션만 해당. Windows에서 폴더를 열거나 Linux의 폴더 내에서 "ls"를 실행하면 생성됩니다.

    • * 이름 바꾸기 * - 파일 또는 폴더의 이름을 바꿉니다.

    • * 쓰기 * - 데이터가 파일에 기록됩니다.

    • * 메타데이터 쓰기 * - 파일 메타데이터는 예를 들어 권한이 변경되었습니다.

    • * 기타 변경 * - 위에 설명되지 않은 기타 이벤트. 매핑되지 않은 모든 이벤트는 "기타 변경" 작업 유형에 매핑됩니다. 파일 및 폴더에 적용됩니다.

  • 에 대한 링크가 있는 엔터티에 대한 * 경로 * 입니다 "엔터티 세부 정보 데이터"

  • 엔터티(예: 파일) 확장자(.doc, .docx, .tmp 등)를 포함한 * 엔터티 유형 *

  • 엔터티가 상주하는 * 장치 *

  • 이벤트를 가져오는 데 사용되는 * 프로토콜 * 입니다.

  • 원본 파일의 이름을 바꿀 때 이름 바꾸기 이벤트에 사용되는 * Original Path * 입니다. 이 열은 기본적으로 표에 표시되지 않습니다. 열 선택기를 사용하여 이 열을 테이블에 추가합니다.

  • 요소가 있는 * 볼륨 *. 이 열은 기본적으로 표에 표시되지 않습니다. 열 선택기를 사용하여 이 열을 테이블에 추가합니다.

Forensic 활동 기록 데이터 필터링

데이터를 필터링하는 데 사용할 수 있는 두 가지 방법이 있습니다.

  1. 테이블의 필드 위로 마우스를 가져가서 표시되는 필터 아이콘을 클릭합니다. 이 값은 top_Filter by_list의 해당 필터에 추가됩니다.

  2. Filter by_필드에 입력하여 데이터를 필터링합니다.

    상단 '필터 기준' 위젯에서 * [+] * 버튼을 클릭하여 적절한 필터를 선택합니다.

    엔티티 파일러, 폭 = 500

    검색 텍스트를 입력합니다

    Enter 키를 누르거나 필터 상자 바깥쪽을 클릭하여 필터를 적용합니다.

다음 필드를 사용하여 Forensic Activity 데이터를 필터링할 수 있습니다.

  • Activity * 유형.

  • 엔터티에 액세스한 소스 IP * 입니다. 유효한 소스 IP 주소를 큰따옴표로 묶어야 합니다(예: “10.1.1.1.”). “10.1.1.”, “10.1..*” 등과 같은 불완전한 IP는 작동하지 않습니다.

  • 프로토콜 특정 작업을 가져오려면 * 프로토콜 * 을 선택합니다.

  • * 작업을 수행하는 사용자의 사용자 이름 * 입니다. 필터링할 정확한 사용자 이름을 입력해야 합니다. 부분 사용자 이름 또는 접두사가 붙은 부분 사용자 이름 또는 ' * '로 접미사를 바꾼 검색은 작동하지 않습니다.

  • * 노이즈 감소 * - 사용자가 생성한 새로 생성된 파일(예: 최근 2시간)을 필터링합니다. 사용자가 액세스하는 임시 파일(예: .tmp 파일)을 필터링하는 데에도 사용됩니다.

다음 필드에는 특수 필터링 규칙이 적용됩니다.

  • 요소(파일) 확장자를 사용하는 * 요소 유형 *

  • 요소의 * 경로 * 입니다

  • * 사용자 * 작업을 수행하는 중입니다

  • 엔터티가 상주하는 * 장치 * (SVM

  • * 볼륨 * 요소가 상주하는 곳입니다

  • 원본 파일의 이름을 바꿀 때 이름 바꾸기 이벤트에 사용되는 * Original Path * 입니다.

필터링 시 위의 필드는 다음 항목의 대상이 됩니다.

  • 정확한 값은 따옴표 안에 있어야 합니다. 예: "searchText"

  • 와일드카드 문자열은 따옴표를 포함하지 않아야 합니다. 예: searchText, \* searchText*, 는 'earchtext’가 포함된 문자열을 필터링합니다.

  • 접두사가 있는 문자열(예: searchText*)은 'earchtext’로 시작하는 문자열을 검색합니다.

법의학적 활동 기록 데이터 정렬

활동 이력 데이터는 TIME, 사용자, 소스 IP, 활동, 경로 및 _엔티티 유형_을 기준으로 정렬할 수 있습니다. 기본적으로 테이블은 Descending_time_order를 기준으로 정렬됩니다. 즉, 최신 데이터가 먼저 표시됩니다. Device_and_Protocol_fields에 대해 정렬이 사용되지 않습니다.

모든 활동 내보내기

활동 기록 테이블 위에 있는 Export 단추를 클릭하여 활동 기록을 .csv 파일로 내보낼 수 있습니다. 최상위 10,000개의 레코드만 내보내집니다.

모든 활동에 대한 열 선택

ALL ACTIVITY_TABLE에는 기본적으로 선택 열이 표시됩니다. 열을 추가, 제거 또는 변경하려면 테이블 오른쪽에 있는 기어 아이콘을 클릭하고 사용 가능한 열 목록에서 선택합니다.

활동 선택기, 폭 = 30%

활동 기록 보존

활동 기록은 활성 Cloud Secure 환경의 경우 13개월 동안 유지됩니다.

문제 해결

문제

시도해 보십시오

“All Activities(모든 활동)” 테이블의 ‘User(사용자)’ 열 아래에 사용자 이름이 “LDAP:HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” 또는 “LDAP:default:80038003”으로 표시됩니다.

가능한 원인은 다음과 같습니다. 1. 아직 구성된 사용자 디렉토리 Collector가 없습니다. 하나를 추가하려면 * 관리자 > 데이터 수집기 > 사용자 디렉토리 수집기 * 로 이동하고 * + 사용자 디렉토리 수집기 * 를 클릭합니다. Active Directory_or_LDAP Directory Server_를 선택합니다. 2.사용자 디렉토리 수집기가 구성되었지만 중지되었거나 오류 상태입니다. Admin > Data Collector > User Directory Collector * 로 이동하여 상태를 확인하십시오. 을 참조하십시오 "사용자 디렉토리 수집기 문제 해결" 문제 해결 팁에 대한 문서 섹션. 올바르게 구성하면 24시간 내에 자동으로 이름이 확인됩니다. 그래도 해결되지 않으면 올바른 사용자 데이터 수집기를 추가했는지 확인합니다. 사용자가 실제로 추가된 Active Directory/LDAP Directory Server에 속하는지 확인합니다.

일부 NFS 이벤트는 UI에서 표시되지 않습니다.

다음을 확인하십시오. 1. POSIX 속성이 설정된 AD 서버의 사용자 디렉토리 수집기는 UI에서 활성화된 unixid 속성으로 실행해야 합니다. 2.NFS 액세스를 수행하는 모든 사용자는 UI 3의 사용자 페이지에서 검색할 때 표시됩니다. 원시 이벤트(사용자가 아직 검색되지 않은 이벤트)는 NFS 4에서 지원되지 않습니다. NFS 내보내기에 대한 익명 액세스는 모니터링되지 않습니다. NFS 버전이 NFS4.1 보다 적게 사용되었는지 확인합니다.