보안
법의학 - 모든 활동
변경 제안
PDF
모든 활동 페이지에서는 워크로드 보안 환경의 엔터티에 대해 수행되는 작업을 이해할 수 있습니다.
모든 활동 데이터 검토
Forensics > Activity Forensics * 를 클릭하고 * All Activity * 탭을 클릭하여 All Activity 페이지에 액세스합니다. 이 페이지에서는 다음 정보를 중심으로 사용자 환경의 활동에 대한 개요를 제공합니다.
-
Activity History _(활동 내역)를 보여주는 그래프(선택한 전역 시간 범위에 따라 분당 5분/10분에 액세스됨)
그래프에서 사각형을 드래그하여 그래프를 확대할 수 있습니다. 확대/축소된 시간 범위를 표시하기 위해 전체 페이지가 로드됩니다. 확대하면 사용자가 축소할 수 있는 버튼이 표시됩니다.
-
활동 유형 _ 의 차트. 활동 유형별 활동 기록 데이터를 얻으려면 해당 X축 레이블 링크를 클릭합니다.
-
엔티티 유형 _ 에 대한 활동 차트. 엔터티 유형별로 활동 기록 데이터를 가져오려면 해당 X축 레이블 링크를 클릭합니다.
-
All Activity_data의 목록입니다
_ * All Activity * _ 표에는 다음 정보가 표시됩니다. 이러한 열 중 일부만 기본적으로 표시됩니다. "gear(기어)" 아이콘을 클릭하여 표시할 열을 선택할 수 있습니다 
.
-
마지막 액세스의 연도, 월, 일 및 시간을 포함하여 엔티티에 액세스한 * 시간.
-
엔티티에 액세스한 * 사용자 * 입니다 "사용자 정보".
-
사용자가 수행한 * 작업 *. 지원되는 유형은 다음과 같습니다.
-
* 그룹 소유권 변경 * - 파일 또는 폴더의 그룹 소유권이 변경됩니다. 그룹 소유권에 대한 자세한 내용은 을 참조하십시오 "이 링크."
-
* 소유자 변경 * - 파일 또는 폴더의 소유권이 다른 사용자로 변경됩니다.
-
* 권한 변경 * - 파일 또는 폴더 권한이 변경됩니다.
-
* 생성 * - 파일 또는 폴더를 생성합니다.
-
* 삭제 * - 파일 또는 폴더를 삭제합니다. 폴더가 삭제되면 해당 폴더 및 하위 폴더에 있는 모든 파일에 대해 _DELETE_events가 획득됩니다.
-
* 읽기 * - 파일을 읽습니다.
-
* 메타데이터 읽기 * - 폴더 모니터링 활성화 옵션만 해당. Windows에서 폴더를 열거나 Linux의 폴더 내에서 "ls"를 실행하면 생성됩니다.
-
* 이름 바꾸기 * - 파일 또는 폴더의 이름을 바꿉니다.
-
* 쓰기 * - 데이터가 파일에 기록됩니다.
-
* 메타데이터 쓰기 * - 파일 메타데이터는 예를 들어 권한이 변경되었습니다.
-
* 기타 변경 * - 위에 설명되지 않은 기타 이벤트. 매핑되지 않은 모든 이벤트는 "기타 변경" 작업 유형에 매핑됩니다. 파일 및 폴더에 적용됩니다.
-
-
에 대한 링크가 있는 엔터티에 대한 * 경로 * 입니다 "엔터티 세부 정보 데이터"
-
엔터티(예: 파일) 확장자(.doc, .docx, .tmp 등)를 포함한 * 엔터티 유형 *
-
엔터티가 상주하는 * 장치 *
-
이벤트를 가져오는 데 사용되는 * 프로토콜 * 입니다.
-
원본 파일의 이름을 바꿀 때 이름 바꾸기 이벤트에 사용되는 * Original Path * 입니다. 이 열은 기본적으로 표에 표시되지 않습니다. 열 선택기를 사용하여 이 열을 테이블에 추가합니다.
-
요소가 있는 * 볼륨 *. 이 열은 기본적으로 표에 표시되지 않습니다. 열 선택기를 사용하여 이 열을 테이블에 추가합니다.
Forensic 활동 기록 데이터 필터링
데이터를 필터링하는 데 사용할 수 있는 두 가지 방법이 있습니다.
-
테이블의 필드 위로 마우스를 가져가서 표시되는 필터 아이콘을 클릭합니다. 이 값은 top_Filter by_list의 해당 필터에 추가됩니다.
-
Filter by_필드에 입력하여 데이터를 필터링합니다.
상단 '필터 기준' 위젯에서 * [+] * 버튼을 클릭하여 적절한 필터를 선택합니다.
검색 텍스트를 입력합니다
Enter 키를 누르거나 필터 상자 바깥쪽을 클릭하여 필터를 적용합니다.
다음 필드를 사용하여 Forensic Activity 데이터를 필터링할 수 있습니다.
-
Activity * 유형.
-
엔터티에 액세스한 소스 IP * 입니다. 유효한 소스 IP 주소를 큰따옴표로 묶어야 합니다(예: “10.1.1.1.”). “10.1.1.”, “10.1..*” 등과 같은 불완전한 IP는 작동하지 않습니다.
-
프로토콜 특정 작업을 가져오려면 * 프로토콜 * 을 선택합니다.
-
* 작업을 수행하는 사용자의 사용자 이름 * 입니다. 필터링할 정확한 사용자 이름을 입력해야 합니다. 부분 사용자 이름 또는 접두사가 붙은 부분 사용자 이름 또는 ' * '로 접미사를 바꾼 검색은 작동하지 않습니다.
-
* 노이즈 감소 * - 사용자가 최근 2시간 내에 생성한 파일을 필터링합니다. 사용자가 액세스하는 임시 파일(예: .tmp 파일)을 필터링하는 데에도 사용됩니다.
다음 필드에는 특수 필터링 규칙이 적용됩니다.
-
요소(파일) 확장자를 사용하는 * 요소 유형 *
-
요소의 * 경로 * 입니다
-
* 사용자 * 작업을 수행하는 중입니다
-
엔터티가 상주하는 * 장치 * (SVM
-
* 볼륨 * 요소가 상주하는 곳입니다
-
원본 파일의 이름을 바꿀 때 이름 바꾸기 이벤트에 사용되는 * Original Path * 입니다.
필터링 시 위의 필드는 다음 항목의 대상이 됩니다.
-
정확한 값은 따옴표 안에 있어야 합니다. 예: "searchText"
-
와일드카드 문자열은 따옴표를 포함하지 않아야 합니다. 예: searchText, \* searchText*, 는 'earchtext'가 포함된 문자열을 필터링합니다.
-
접두사가 있는 문자열(예: searchText*)은 'earchtext'로 시작하는 문자열을 검색합니다.
법의학적 활동 기록 데이터 정렬
활동 이력 데이터는 TIME, 사용자, 소스 IP, 활동, 경로 및 _엔티티 유형_을 기준으로 정렬할 수 있습니다. 기본적으로 테이블은 Descending_time_order를 기준으로 정렬됩니다. 즉, 최신 데이터가 먼저 표시됩니다. Device_and_Protocol_fields에 대해 정렬이 사용되지 않습니다.
모든 활동 내보내기
활동 기록 테이블 위에 있는 Export 단추를 클릭하여 활동 기록을 .csv 파일로 내보낼 수 있습니다. 상위 100,000개의 레코드만 내보내집니다. 데이터 양에 따라 내보내기가 완료될 때까지 몇 초에서 몇 분 정도 걸릴 수 있습니다.
모든 활동에 대한 열 선택
ALL ACTIVITY_TABLE에는 기본적으로 선택 열이 표시됩니다. 열을 추가, 제거 또는 변경하려면 테이블 오른쪽에 있는 기어 아이콘을 클릭하고 사용 가능한 열 목록에서 선택합니다.
활동 기록 보존
활성 워크로드 보안 환경에서는 활동 기록이 13개월 동안 유지됩니다.
포렌식 페이지의 필터 적용 가능성
필터 |
기능 |
예 |
어떤 필터에 해당됩니까? |
어떤 필터에는 적용되지 않습니다 |
결과 |
* (별표) |
모든 것을 검색할 수 있습니다 |
자동 * 03172022 |
사용자, 경로, 엔티티 유형, 장치 유형, 볼륨, 원래 경로 |
"Auto"로 시작하고 "03172022"로 끝나는 모든 리소스를 반환합니다. |
|
? (물음표) |
특정 수의 문자를 검색할 수 있습니다 |
AutoSabotageUser1_03172022? |
사용자, 엔티티 유형, 장치, 볼륨 |
AutoSabotageUser1_03172022A, AutoSabotageUser1_03172022AB, AutoSabotageUser1_031720225 등을 반환합니다 |
|
또는 |
여러 요소를 지정할 수 있습니다 |
AutoSabotageUser1_03172022 또는 AutoRansomUser4_03162022 |
사용자, 도메인, 사용자 이름, 경로, 엔티티 유형, 장치, 원래 경로 |
AutoSabotageUser1_03172022 또는 AutoRansomUser4_03162022 중 하나를 반환합니다 |
|
아닙니다 |
검색 결과에서 텍스트를 제외할 수 있습니다 |
AutoRansomUser4_03162022가 아닙니다 |
사용자, 도메인, 사용자 이름, 경로, 엔티티 유형, 원래 경로, 볼륨 |
장치 |
"AutoRansomUser4_03162022"로 시작하지 않는 모든 항목을 반환합니다. |
없음 |
모든 필드에서 NULL 값을 검색합니다 |
없음 |
도메인 |
대상 필드가 비어 있는 결과를 반환합니다 |
경로/원래 경로 검색
/ 을(를) 사용하거나 사용하지 않고 검색 결과는 다릅니다
/AutoDir1/AutoFile 을 선택합니다 |
작동합니다 |
자동 방향1/자동 파일 |
작동하지 않습니다 |
/AutoDir1/AutoFile(Dir1) |
dir1 부분 부분 부분 부분 부분 부분 부분 문자열이 작동하지 않습니다 |
"/AutoDir1/AutoFile03242022" |
정확한 검색이 가능합니다 |
자동 * 03242022 |
작동하지 않습니다 |
AutoSabotageUser1_03172022? |
작동하지 않습니다 |
/AutoDir1/AutoFile03242022 또는 /AutoDir1/AutoFile03242022 |
작동합니다 |
NOT/AutoDir1/AutoFile03242022 |
작동합니다 |
NOT/AutoDir1 |
작동합니다 |
NOT/AutoFile03242022 |
작동하지 않습니다 |
* |
모든 항목을 표시합니다 |
문제 해결
문제 |
시도해 보십시오 |
“All Activities(모든 활동)” 테이블의 ‘User(사용자)’ 열 아래에 사용자 이름이 “LDAP:HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” 또는 “LDAP:default:80038003”으로 표시됩니다. |
가능한 원인은 다음과 같습니다. |
일부 NFS 이벤트는 UI에서 표시되지 않습니다. |
다음을 확인하십시오. 1. POSIX 속성이 설정된 AD 서버의 사용자 디렉토리 수집기는 UI에서 활성화된 unixid 속성으로 실행해야 합니다. 2.NFS 액세스를 수행하는 모든 사용자는 UI 3의 사용자 페이지에서 검색할 때 표시됩니다. 원시 이벤트(사용자가 아직 검색되지 않은 이벤트)는 NFS 4에서 지원되지 않습니다. NFS 내보내기에 대한 익명 액세스는 모니터링되지 않습니다. NFS 버전이 NFS4.1 보다 적게 사용되었는지 확인합니다. |
Forensics_All Activity_or_Entities_pages의 필터에 별표(*)와 같은 와일드카드 문자가 포함된 일부 문자를 입력하면 페이지가 매우 느리게 로드됩니다. |
검색 문자열의 별표(\ )는 모든 항목을 검색합니다. 그러나 _ * <searchTerm>_OR_ * <searchTerm> *과 같은 선행 와일드카드 문자열은 느린 쿼리를 만듭니다. |
경로 필터를 사용할 때 "상태 코드 500/503으로 요청 실패" 오류가 발생합니다. |
레코드를 필터링하려면 더 작은 날짜 범위를 사용하십시오. |