Dell Security Management Server Syslog- en SIEM-handleiding

Summary: In dit artikel wordt het integratieproces van Security Information and Event Management beschreven.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Betreffende producten:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Wat is een SIEM-server of -apparaat (Security Information and Event Management)?

SIEM kan gegevens importeren en regels of rapporten uitvoeren die op de gegevens zijn gebaseerd. Het doel is om data uit verschillende bronnen samen te voegen, afwijkingen in de data te identificeren en passende actie te ondernemen op basis van de data.

Welke opties moet ik naar een SIEM- of Syslog-applicatie verzenden?

De Dell Security Management Server en Dell Security Management Server Virtual bieden elk twee verschillende manieren om data te gebruiken in een SIEM- of Syslog-applicatie.

In de 9.2-server werd de mogelijkheid geïntroduceerd om te communiceren met de Advanced Threat Prevention-cloud, waardoor de mogelijkheid om Advanced Threat Event-gegevens te configureren die naar een SIEM-applicatie moeten worden verzonden.

Als u deze data wilt configureren in de WebUI van Dell Security Management Server of Dell Security Management Server Virtual, gaat u naar Populations >Enterprise >Advanced Threats (dit tabblad is alleen zichtbaar als Advanced Threat Prevention is ingeschakeld via de > Management Services Management-taak) >opties.

De pagina Opties heeft een selectievakje voor Syslog/SIEM waarmee we kunnen configureren waar de gegevens naartoe worden gestuurd. Deze gegevens zijn afkomstig van de Advanced Threat Prevention-servers die worden gehost binnen Amazon Web Services.

Als de Advanced Threat Prevention Syslog-integratie syslog-berichten niet kan afleveren op uw server, wordt er een e-mailmelding verzonden naar beheerders met een bevestigd e-mailadres in de organisatie, om hen te waarschuwen voor het syslog-probleem.

Als het probleem is opgelost voordat de periode van 20 minuten is verstreken, worden syslog-berichten nog steeds bezorgd. Als het probleem na de periode van 20 minuten is opgelost, moet een beheerder syslog-berichten opnieuw inschakelen.

Hier is een voorbeeldconfiguratie van een externe FQDN (Fully Qualified Domain Name) van extsiem.domain.org via poort 5514. Bij deze configuratie wordt ervan uitgegaan dat extsiem.domain.com een externe DNS-vermelding heeft die wordt omgezet naar de server binnen de omgeving waarop de SIEM- of Syslog-applicatie wordt uitgevoerd, en dat poort 5514 is doorgestuurd vanaf de gateway van de omgeving naar de doel-SIEM- of Syslog-applicatie.

Dell Data Security console
Afbeelding 1: (Alleen In het Engels) Dell Data Security console

Evenementen die via deze functionaliteit binnenkomen, worden gebrandmerkt omdat ze afkomstig zijn van onze leverancier, Cylance.

IP- en hostnaamgegevens voor firewall- en toegangsdoeleinden

De SaaS voor Advanced Threat Prevention heeft verschillende IP-adressen voor elke regio. Dit maakt uitbreiding mogelijk zonder een syslog-service te onderbreken. Sta alle IP-adressen toe die zijn gebaseerd op uw regio bij het configureren van uw regels. Logboeken van Cylance zijn afkomstig van een van deze IP's en kunnen willekeurig veranderen.

Opmerking: Deze IP-adressen moeten statisch blijven; het is echter mogelijk dat Cylance deze lijst in de toekomst zal bijwerken. Wijzigingen worden gecommuniceerd via een e-mail aan Cylance-consolebeheerders. Het is de verantwoordelijkheid van de netwerkbeheerder om zijn regels bij te werken als reactie op wijzigingen.

VS (my.cylance.com en my-vs2.cylance.com)

52.2.154.63
52.20.244.157 52.71.59.248
52.72.144.44
54.88.241.49

NL (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com en my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server en Dell Security Management Server Virtual introduceerden in 9.7 de mogelijkheid om gebeurtenissen te verzenden die zijn ontvangen van agenten. Dit omvat de ruwe, ongefilterde gebeurtenissen van Dell Endpoint Security Suite Enterprise en gebeurtenissen van Dell Secure Lifecycle en Dell Data Guardian.

Serverconfiguratie

U kunt de Security Management Server configureren voor het verzenden van agentgebeurtenisgegevens binnen Management>Services Management >Event Management. Deze gegevens kunnen worden geëxporteerd naar een lokaal bestand of Syslog. Er zijn twee opties: Exporteren naar lokaal bestand en exporteren naar Syslog

Evenementen Management
Afbeelding 2: (Alleen In het Engels) Evenementen Management

Exporteren naar lokaal bestand, werkt het audit-export.log bestand bij zodat een universele doorstuurserver het gebruikt. De standaardlocatie van dit bestand is C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Dit bestand wordt elke twee uur bijgewerkt met gegevens. Dit bestand kan worden opgehaald en gebruikt door een expediteur. Zie voor meer informatie over doorstuurservers de specifieke Syslog- of SIEM-toepassing die u gebruikt om deze gegevens te gebruiken, aangezien doorstuurservers per toepassing verschillen.

Exporteren naar lokaal bestand
Afbeelding 3: (Alleen In het Engels) Exporteren naar lokaal bestand

Exporteren naar Syslog maakt een directe verbinding met een interne SIEM- of Syslog-server binnen de omgeving mogelijk. Deze logboeken zijn geformatteerd in een eenvoudige indeling die is gebaseerd op RFC-3164 in een json-bundel. Deze data zijn afkomstig van de Dell Security Management Server en worden rechtstreeks naar de SIEM- of Syslog-server verzonden. Deze gegevens worden elke twee uur verzameld en verzonden met behulp van een taak.

Exporteren naar Syslog
Afbeelding 4: (Alleen In het Engels) Exporteren naar Syslog

De Dell Endpoint Security Suite Enterprise gebeurtenisdata die worden verzonden, worden hierboven vermeld. Doorgaans verzendt SaaS deze data, zodat de Dell Security Management Server deze data kan verzamelen van de agents terwijl ze inchecken met inventarissen en deze kan doorsturen naar de geconfigureerde SIEM- of Syslog-applicatie.

Agentgebeurtenisdata bevatten zowel de eerder genoemde Dell Endpoint Security Security Suite Enterprise gebeurtenisdata als Dell Secure Lifecycle- en Dell Data Guardian-data. Deze gegevens komen ook voor bij evenementen.

Applicatiecontrole

Deze optie is alleen zichtbaar voor gebruikers die de functie Applicatiebeheer hebben ingeschakeld. Applicatiebeheergebeurtenissen vertegenwoordigen acties die plaatsvinden wanneer het apparaat zich in de modus Applicatiebeheer bevindt. Als u deze optie selecteert, wordt er een bericht naar de Syslog-server gestuurd wanneer een poging wordt gedaan om een uitvoerbaar bestand te wijzigen of te kopiëren, of wanneer er een poging wordt gedaan om een bestand uit te voeren vanaf een apparaat of netwerklocatie.

Voorbeeldbericht voor wijziging PE-bestand weigeren
Afbeelding 5: (Alleen In het Engels) Voorbeeldbericht voor wijziging PE-bestand weigeren

Voorbeeldbericht voor het weigeren van uitvoering vanaf externe schijf
Afbeelding 6: (Alleen In het Engels) Voorbeeldbericht voor het weigeren van uitvoering vanaf een externe schijf

Auditlogboek

Als u deze optie selecteert, wordt het controlelogboek met gebruikersacties die in de SaaS worden uitgevoerd, naar de Syslog-server verzonden. Gebeurtenissen in het controlelogboek worden weergegeven in het scherm Controlelogboek, zelfs wanneer deze optie is uitgeschakeld.

Voorbeeldbericht voor auditlog dat wordt doorgestuurd naar Syslog
Afbeelding 7: (Alleen In het Engels) Voorbeeldbericht voor auditlog dat wordt doorgestuurd naar Syslog

Apparaten

Als u deze optie selecteert, worden apparaatgebeurtenissen naar de Syslog-server verzonden.

  • Wanneer een nieuw apparaat wordt geregistreerd, ontvangt u twee berichten voor deze gebeurtenis: Registratie en systeembeveiliging
Opmerking: SystemSecurity-berichten worden ook gegenereerd wanneer een gebruiker zich aanmeldt bij een apparaat. Dit bericht kan op verschillende tijdstippen voorkomen, niet alleen tijdens de registratie.

Voorbeeldbericht voor een door het apparaat geregistreerde gebeurtenis
Afbeelding 8: (Alleen In het Engels) Voorbeeldbericht voor een door het apparaat geregistreerde gebeurtenis

  • Wanneer een apparaat wordt verwijderd

Voorbeeldbericht voor de gebeurtenis Device Removed
Afbeelding 9: (Alleen In het Engels) Voorbeeldbericht voor de gebeurtenis Device Removed

  • Wanneer het beleid, de zone, de naam of het logboekregistratieniveau van een apparaat is gewijzigd.

Voorbeeldbericht voor de gebeurtenis Apparaat bijgewerkt
Afbeelding 10: (Alleen In het Engels) Voorbeeldbericht voor de gebeurtenis Apparaat bijgewerkt

Geheugenbeveiliging

Als u deze optie selecteert, worden alle pogingen tot geheugenmisbruik die kunnen worden beschouwd als een aanval vanaf een van de apparaten van de tenant op de Syslog-server geregistreerd. Er zijn vier soorten Memory Exploit-acties:

  • Geen: Toegestaan omdat er geen beleid is gedefinieerd voor deze schending.
  • Toegestaan: Toegestaan door beleid
  • Geblokkeerd: Geblokkeerd voor uitvoering door beleid
  • Beëindigd: Het proces is beëindigd.

Voorbeeldbericht van een geheugenbeveiligingsgebeurtenis
Afbeelding 11: (Alleen In het Engels) Voorbeeldbericht van een geheugenbeveiligingsgebeurtenis

Scriptcontrole

Als u deze optie selecteert, worden alle nieuw gevonden scripts vastgelegd op de Syslog-server die door Advanced Threat Prevention worden veroordeeld.

Syslog Script Control-gebeurtenissen bevatten de volgende eigenschappen:

  • Alert: Het script mag worden uitgevoerd. Er wordt een scriptbesturingsgebeurtenis naar de console verzonden.
  • Blok: Het script mag niet worden uitgevoerd. Er wordt een scriptbesturingsgebeurtenis naar de console verzonden.

Rapportagefrequentie

De eerste keer dat een Script Control-gebeurtenis wordt gedetecteerd, wordt een bericht verzonden met behulp van syslog met volledige gebeurtenisinformatie. Elke volgende gebeurtenis die als een duplicaat wordt beschouwd, wordt de rest van de dag niet verzonden via syslog (op basis van de servertijd van de SaaS).

Als de teller voor een specifieke Script Control-gebeurtenis groter is dan één, wordt er een gebeurtenis verzonden met behulp van syslog met het aantal dubbele gebeurtenissen die die dag hebben plaatsgevonden. Als de teller gelijk is aan één, wordt er geen extra bericht verzonden via syslog.

Bepalen of een Script Control-gebeurtenis een duplicaat is, gebruikt de volgende logica:

  • Bekijk de belangrijkste informatie: Apparaat, hash, gebruikersnaam, blokkering en waarschuwing
  • Voor de eerste gebeurtenis die op een dag wordt ontvangen, stelt u een tellerwaarde in op 1. Er zijn aparte tellers voor Block en Alert.
  • Alle volgende gebeurtenissen met dezelfde sleutel verhogen de teller
  • De teller wordt elke kalenderdag gereset, afhankelijk van de servertijd van de SaaS.
Opmerking: Als Script A wordt uitgevoerd op een apparaat 1 om 23:59 uur op 20-09-2016 en vervolgens opnieuw om 12:05 uur en 12:15 uur op 21-09-2016, is het volgende het resultaat:
  • Er wordt één syslog-bericht verzonden op 20-09-2016 voor de Script Control-gebeurtenis voor die dag.
  • Er wordt één syslog-bericht verzonden op 21-09-2016 voor de twee dubbele Script Control-gebeurtenissen voor die dag.
Opmerking: Er wordt slechts één syslog-bericht verzonden op 21-09-2016 omdat de gebeurtenissen duplicaten zijn van de gebeurtenis die plaatsvond op 20-09-2016.

Voorbeeldbericht van scriptbesturingselement
Afbeelding 12: (Alleen In het Engels) Voorbeeldbericht van scriptbesturingselement

Bedreigingen

Als u deze optie selecteert, worden nieuw gevonden bedreigingen of wijzigingen die zijn waargenomen voor bestaande bedreigingen geregistreerd op de Syslog-server. Wijzigingen omvatten een bedreiging die wordt verwijderd, in quarantaine wordt geplaatst, wordt opgeheven of wordt uitgevoerd.

Er zijn vijf soorten bedreigingsgebeurtenissen:

  • threat_found: Er is een nieuwe dreiging gevonden met de status Onveilig.
  • threat_removed: Een bestaande dreiging is verwijderd.
  • threat_quarantined: Er is een nieuwe dreiging gevonden in de quarantainestatus.
  • threat_waived: Er is een nieuwe bedreiging gevonden in de status van kwijtgescholden.
  • threat_changed: Het gedrag van een bestaande bedreiging is veranderd (voorbeelden: Score, quarantainestatus, actieve status)

Er zijn zes typen bedreigingsclassificaties:

  • Bestand niet beschikbaar: Vanwege een uploadbeperking (bijvoorbeeld als het bestand te groot is om te uploaden) is het bestand niet beschikbaar voor analyse.
  • Malware: Het bestand is geclassificeerd als malware.
  • Mogelijke PUP: Het bestand is mogelijk een mogelijk ongewenst programma (PUP).
  • PUP: Het bestand wordt beschouwd als een mogelijk ongewenst programma (PUP).
  • Vertrouwde: Het bestand wordt als vertrouwd beschouwd.
  • Niet geclassificeerd: ATP heeft dit bestand niet geanalyseerd.

Voorbeeldbericht van een bedreigingsgebeurtenis
Afbeelding 13: (Alleen In het Engels) Voorbeeldbericht van een bedreigingsgebeurtenis

Bedreigingsclassificaties

Elke dag classificeert de Advanced Threat Prevention van Dell honderden bedreigingen als malware of potentieel ongewenste programma's (PUP's).

Als u deze optie selecteert, wordt u op de hoogte gesteld wanneer deze gebeurtenissen zich voordoen.

Voorbeeldbericht van bedreigingsclassificatie
Afbeelding 14: (Alleen In het Engels) Voorbeeldbericht van bedreigingsclassificatie

SIEM (Security Information and Event Management)

Specificeert het type Syslog-server of SIEM waarnaar gebeurtenissen moeten worden verzonden.

Protocol

Dit moet overeenkomen met wat u hebt geconfigureerd op uw Syslog-server. De keuzes zijn UDP of TCP. TCP is de standaardinstelling en we raden klanten aan dit te gebruiken. UDP wordt niet aanbevolen omdat het geen garantie biedt voor het afleveren van berichten.

TLS/SSL

Alleen beschikbaar als het opgegeven protocol TCP is. TLS/SSL zorgt ervoor dat het Syslog-bericht wordt versleuteld tijdens het transport naar de Syslog-server. We raden klanten aan deze optie te selecteren. Zorg ervoor dat uw Syslog-server is geconfigureerd om naar TLS/SSL-berichten te luisteren.

IP/Domein

Specificeert het IP-adres of de volledig gekwalificeerde domeinnaam van de Syslog-server die de klant heeft ingesteld. Overleg met uw interne netwerkexperts om ervoor te zorgen dat de firewall- en domeininstellingen correct zijn geconfigureerd.

Poort

Specificeert het poortnummer op de machines waarop de Syslog-server naar berichten luistert. Het moet een getal zijn tussen 1 en 65535. Typische waarden zijn: 512 voor UDP, 1235 of 1468 voor TCP en 6514 voor beveiligde TCP (bijvoorbeeld: TCP met TLS/SSL ingeschakeld)

Ernst

Specificeert de prioriteit van de berichten die op de Syslog-server moeten verschijnen (dit is een subjectief veld en u kunt het instellen op elk gewenst niveau). De waarde van de prioriteit verandert niets aan de berichten die worden doorgestuurd naar Syslog.

Faciliteit

Hiermee geeft u aan welk type applicatie het bericht registreert. De standaardinstelling is Internal (of Syslog). Dit wordt gebruikt om de berichten te categoriseren wanneer de Syslog-server ze ontvangt.

Aangepast token

Sommige logboekbeheerservices, zoals SumoLogic, hebben mogelijk een aangepast token nodig dat is opgenomen in syslog-berichten om te helpen identificeren waar die berichten naartoe moeten. Het aangepaste token biedt uw logboekbeheerservice.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Opmerking: Het veld Custom Token is beschikbaar met alle SIEM- of Syslog-opties, niet alleen met SumoLogic. Het is mogelijk om alle informatie als een aangepaste tag toe te voegen aan de syslog-informatie.

De verbinding testen

Klik op Verbinding testen om de IP-/domein-, poort- en protocolinstellingen te testen. Als geldige waarden zijn ingevoerd, wordt een geslaagde bevestiging weergegeven.

Banner voor geslaagde verbinding
Afbeelding 15: (Alleen In het Engels) Banner voor geslaagde verbinding

Op de Syslog-serverconsole ontvangt u het volgende bericht over de testverbinding:

Bericht Verbinding testen
Afbeelding 16: (Alleen In het Engels) Bericht Verbinding testen

sl_file_upload

Gebeurtenis die een beheerder vertelt wanneer een bestand is geüpload naar een cloudprovider.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

  • Mac
  • Windows
  • Android
  • IOS
Nettolading  
Provider Proces dat de upload doet.
Bestand Informatie over het bestand dat wordt geüpload, omvat keyid, pad, bestandsnaam en grootte.
Geometrie De locatie waar dit evenement plaatsvond.
Loggedinuser Gebruiker die is aangemeld bij het apparaat.
Voorbeeld:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Gebeurtenis die optreedt wanneer een gebruiker het mappenbeleid wijzigt via de mappenbeheerconsole.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

  • Mac
  • Windows
  • Android
  • IOS
Nettolading  
Mappad Map waarin het beschermingsniveau is gewijzigd
Mapbeveiliging Een tekenreeks die een beschermingsniveau definieert: UsePolicy, ForceAllow, ForceProtect PreExisting_ForceAllow PreExisting_ForceAllow_Confirmed
Geometrie De locatie waar dit evenement plaatsvond.
Loggedinuser Gebruiker die is aangemeld bij het apparaat.
Voorbeeld:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Gebeurtenis die een beheerder vertelt wanneer de toegang tot een cloudprovider is geblokkeerd.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

  • Mac
  • Windows
  • Android
  • IOS
Nettolading  
Adres Proces dat de upload doet.
Process Autoexec.bat Informatie over het bestand dat wordt geüpload, omvat keyid, pad, bestandsnaam en grootte.
Applicatie Type proces dat toegang probeert te krijgen tot een geblokkeerde cloudprovider. App, proxy of browser
Netactie Type actie dat plaatsvindt. (slechts één waarde geblokkeerd)
Geometrie De locatie waar dit evenement plaatsvond.
Loggedinuser Gebruiker die is aangemeld bij het apparaat.
Voorbeeld:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Gebeurtenissen die te maken hebben met de acties die zijn gekoppeld aan beveiligde e-mailberichten van Dell Data Guardian.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

  • Mac
  • Windows
  • Android
  • IOS
Nettolading  
E-mailberichten Matrix met e-mailobjecten
keyId Sleutel-ID gebruikt om de e-mail te beveiligen.
Onderwerp Onderwerpregel van e-mail
Naar E-mailadressen waarnaar de e-mail is verzonden.
Cc E-mailadressen waarnaar de e-mail is gekopieerd.
Bcc E-mailadressen waarnaar de e-mail blind is gekopieerd.
Van E-mailadres van de persoon die de e-mail heeft verzonden.
Bijlagen Namen van bijlagen die aan de e-mail zijn toegevoegd
Actie 'Geopend', 'gemaakt', 'gereageerd', 'verzonden'
Loggedinuser Gebruiker die is aangemeld bij het apparaat.
Voorbeeld:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Gebeurtenissen die te maken hebben met de acties die zijn gekoppeld aan door Dell Data Guardian beschermde kantoordocumenten.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

  • Mac
  • Windows
  • Android
  • IOS
Nettolading  
Bestand Bestandsinformatie daarover is versleuteld, gedecodeerd of verwijderd.
clienttype Clienttype dat is geïnstalleerd. Extern of intern
Actie Gemaakt, geopend, gewijzigd, onbeschermd, attemptaccess
Slactie Nieuw, Open, Bijgewerkt, Geveegd, Watermerk, BlockCopy, RepairedTampering,
DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometrie De locatie waar dit evenement plaatsvond.
Van Tijdstempel voor overzichtsgebeurtenis toen deze begon.
Naar Tijdstempel voor samenvatting van gebeurtenis wanneer de gebeurtenis is beëindigd.
Loggedinuser Gebruiker die is aangemeld bij het apparaat.
Appinfo Informatie over de toepassing met behulp van het Protected Office Document
Voorbeeld:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Gebeurtenis die plaatsvindt wanneer de computer een gebeurtenis verstuurt.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

  • Mac
  • Windows
  • Android
  • IOS
Nettolading  
Actie Voorbeelden van wat de computer doet: Inloggen, Afmelden, PrintScreenBlocked, ProcessBlocked
Geometrie De locatie waar dit evenement plaatsvond.
clienttype Clienttype dat is geïnstalleerd. Extern of intern
Loggedinuser Gebruiker die zich heeft aangemeld bij het apparaat.
processInfo Informatie over het proces
Disposition Hoe het proces werd geblokkeerd - Beëindigd, Geblokkeerd, Geen.
Naam Naam van het proces
Voorbeeld:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition Gebeurtenissen die aangeven wanneer een bestand wordt versleuteld, ontsleuteld of verwijderd van een ondersteunde cloudprovider.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

  • Mac
  • Windows
  • Android
  • IOS
Nettolading  
Bestand Bestandsinformatie daarover is versleuteld, gedecodeerd of verwijderd.
clienttype Clienttype dat is geïnstalleerd. Extern of intern
Actie Gemaakt, geopend, gewijzigd, verwijderd
Cloudnaam De naam van het bestand in de cloud kan afwijken van die in de bestandstag hierboven
Xenaction Beschrijving van wat de DG-dienst probeert te doen. Waarden: versleutelen, ontsleutelen, verwijderen.
Geometrie De locatie waar dit evenement plaatsvond.
Loggedinuser Gebruiker die is aangemeld bij het apparaat.
Voorbeeld:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Additional Information

   

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124929
Article Type: How To
Last Modified: 30 Apr 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.