本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

鑑識-所有活動

「所有活動」頁面可協助您瞭解Cloud Secure 在整個環境中對實體所執行的行動。

檢查所有活動資料

按一下「鑑識」>「活動鑑識」、然後按一下「所有活動」索引標籤以存取「所有活動」頁面。本頁概述您環境中的活動、重點說明下列資訊:

  • 顯示_ActivityHistory(活動記錄)的圖表(根據所選的整體時間範圍、每分鐘/每5分鐘/每10分鐘存取一次)

    您可以在圖表中拖曳矩形來縮放圖表。將載入整個頁面以顯示縮放時間範圍。放大時、會顯示可讓使用者縮小的按鈕。

  • 活動類型_的圖表。若要依活動類型取得活動記錄資料、請按一下對應的x軸標籤連結。

  • 「實體類型」上的「活動」圖表。若要依實體類型取得活動記錄資料、請按一下對應的x軸標籤連結。

  • 「所有活動」資料的清單

「_*所有活動*」表格顯示下列資訊。請注意、並非所有這些欄都會預設顯示。您可以按一下「齒輪」圖示來選取要顯示的欄 齒輪圖示

  • 存取實體的*時間*、包括上次存取的年、月、日和時間。

  • 使用連結存取實體的*使用者* "使用者資訊"

  • 使用者執行的*活動*。支援的類型包括:

    • 變更群組擁有權:群組擁有權屬於檔案或資料夾。如需群組擁有權的詳細資訊、請參閱 "此連結。"

    • 變更擁有者:檔案或資料夾的擁有權變更為其他使用者。

    • 變更權限-檔案或資料夾權限已變更。

    • 建立-建立檔案或資料夾。

    • 刪除-刪除檔案或資料夾。如果刪除資料夾、則會針對該資料夾和子資料夾中的所有檔案取得_DELETE _事件。

    • 讀取-檔案已讀取。

    • 讀取中繼資料:僅適用於啟用資料夾監控選項。將在Windows上開啟資料夾或在Linux資料夾內執行「ls」時產生。

    • 重新命名-重新命名檔案或資料夾。

    • 寫入-資料寫入檔案。

    • 寫入中繼資料-寫入檔案中繼資料、例如權限已變更。

    • 其他變更:上述未提及的任何其他事件。所有未對應的事件都會對應至「其他變更」活動類型。適用於檔案和資料夾。

  • 實體的*路徑*、並連結至 "實體詳細資料"

  • 實體類型、包括實體(例如檔案)副檔名(.doc,.docx、.tmp,等等)

  • 實體所在的*設備*

  • 用於擷取事件的*傳輸協定*。

  • 當原始檔案重新命名時、用於重新命名事件的*原始路徑*。根據預設、此欄在表格中不可見。使用欄選取器將此欄新增至表格。

  • 實體所在的* Volume *。根據預設、此欄在表格中不可見。使用欄選取器將此欄新增至表格。

篩選取證活動歷程記錄資料

您可以使用兩種方法來篩選資料。

  1. 將游標暫留在表格中的欄位上、然後按一下出現的篩選圖示。此值會新增至頂端_Filter by(篩選條件)清單中的適當篩選條件。

  2. 輸入「篩選條件」欄位以篩選資料:

    按一下「+」按鈕、從頂端的「篩選條件」小工具中選取適當的篩選條件:

    實體Filer、寬=500

    輸入搜尋文字

    按Enter或按一下篩選方塊外側以套用篩選條件。

您可以依下列欄位篩選取證活動資料:

  • *活動*類型。

  • 存取實體的來源IP。您必須以雙引號提供有效的來源IP位址、例如「10.1.1.1」。不完整的IP(例如"10.1.1."、"10.1..*"等)將無法運作。

  • *傳輸協定*以擷取特定傳輸協定的活動。

  • 執行活動的使用者名稱。您需要提供確切的使用者名稱以進行篩選。無法使用部分使用者名稱進行搜尋、或是以「*」為前置或後置的部分使用者名稱進行搜尋。

  • *雜訊抑制*可篩選使用者所建立的新檔案(即過去2小時內)。它也可用來篩選使用者存取的暫存檔(例如、.tmp檔案)。

下列欄位必須遵守特殊篩選規則:

  • 實體類型、使用實體(檔案)副檔名

  • 實體路徑

  • 執行活動的使用者

  • 實體所在的設備(SVM)

  • *實體所在的Volume *

  • 當原始檔案重新命名時、用於重新命名事件的*原始路徑*。

篩選時、上述欄位必須符合下列條件:

  • 確切值應在引號內:範例:「searchtext」

  • 萬用字元字串不得包含引號:範例:searchtext、\*searchtext*會篩選任何包含「searchtext」的字串。

  • 字串加上字首、例如:searchtext*、會搜尋以「searchtext」開頭的任何字串。

排序取證活動記錄資料

您可以依時間、使用者、來源IP、活動、路徑_和實體類型_來排序活動記錄資料。根據預設、表格會依遞減的_Timed_順序排序、表示最新的資料會先顯示。「_Device」和「_Protocol」欄位的排序功能已停用。

匯出所有活動

您可以按一下「活動記錄」表格上方的「_Export」(匯出)按鈕、將活動記錄匯出至.CSV檔案。請注意、只會匯出前10、000筆記錄。

所有活動的欄選擇

「_All activity」(全部活動)表格預設會顯示選取欄。若要新增、移除或變更欄、請按一下表格右側的齒輪圖示、然後從可用欄清單中選取。

活動選擇器、寬=30%

活動記錄保留

活動記錄保留13個月、以供動態Cloud Secure 的不活躍的地方使用。

疑難排解

問題

試試看

在「All Activities」(所有活動)表格的「User」(使用者)欄下、使用者名稱顯示為:「LDAP:HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817”」或「LDAP:Default:80038003」。

可能的原因可能是:1.尚未設定使用者目錄收集器。若要新增一個、請前往*管理>資料收集器>使用者目錄收集器*、然後按一下*+使用者目錄收集器*。選擇_Active Directory或_LDAP Directory Server_。2.已設定使用者目錄收集器、但它已停止或處於錯誤狀態。請移至*管理>資料收集器>使用者目錄收集器*、然後檢查狀態。請參閱 "使用者目錄收集器疑難排解" 說明文件中的一節、以取得疑難排解秘訣。正確設定後、名稱將在24小時內自動解析。如果仍無法解決、請檢查是否已新增正確的使用者資料收集器。確定使用者確實是新增Active Directory / LDAP目錄伺服器的一部分。

UI中未顯示某些NFS事件。

請檢查下列項目:1.具有POSIX屬性集的AD伺服器之使用者目錄收集器應以從UI啟用的unixid屬性執行。2.在UI 3的使用者頁面中搜尋時、應該會看到執行NFS存取的任何使用者。NFS不支援原始事件(尚未探索使用者的事件)4。不會監控匿名存取NFS匯出。5.確定NFS版本的使用版本低於NFS4.1。