Guía de Syslog y SIEM de Dell Security Management Server

En el servidor 9.2, se agregó la capacidad de comunicarse con la nube de Advanced Threat Prevention, lo que permitió configurar los datos de eventos de amenazas avanzadas para que se envíen a una aplicación SIEM.

Para configurar estos datos dentro de la interfaz de usuario web de Dell Security Management Server o Dell Security Management Server Virtual, vaya a Populations >Enterprise >Advanced Threats (esta pestaña solo está visible si Advanced Threat Prevention se habilitó a través de la tarea Management> Services Management). >

La página Options tiene una casilla de verificación para Syslog/SIEM que nos permite configurar a dónde se envían los datos. Estos datos provienen de los servidores de Advanced Threat Prevention que están alojados en Amazon Web Services.

Si la integración de syslog de Advanced Threat Prevention no puede entregar correctamente los mensajes de syslog al servidor, se envía una notificación por correo electrónico a los administradores con una dirección de correo electrónico confirmada en la organización y se les alerta sobre el problema de syslog.

Si el problema se resuelve antes de que finalice el período de 20 minutos, se seguirán entregando mensajes de syslog. Si el problema se resuelve después del período de 20 minutos, un administrador debe volver a activar los mensajes de syslog.

Este es un ejemplo de configuración de un nombre de dominio calificado (FQDN) externo de extsiem.domain.org por el puerto 5514. Esta configuración supone que extsiem.domain.com tiene una entrada de DNS externa que se resuelve en el servidor dentro del entorno que ejecuta la aplicación SIEM o syslog, y el puerto 5514 se reenvía desde la puerta de enlace del entorno a la aplicación SIEM o Syslog de destino.

Figura 1: Dell Data Security Console (solo en inglés)

Los eventos que vienen a través de esta funcionalidad son de marca, ya que provienen de nuestro proveedor, Cylance.

Información de dirección IP y nombre de host para fines de firewall y acceso

El SaaS de Advanced Threat Prevention tiene varias direcciones IP para cada región. Esto permite la expansión sin interrumpir ningún servicio de registro del sistema. Permita todas las direcciones IP que se basan en su región cuando configure las reglas. Se crean registros de Cylance desde una de estas direcciones IP y esto puede cambiar aleatoriamente.

EE. UU. (my.cylance.com y my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

Australia (my-au.cylance.com)

52.63.15.218
52.65.4.232

UE (my-vs0-euc1.cylance.com y my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server y Dell Security Management Server Virtual agregaron la capacidad de enviar eventos recibidos de agentes en la versión 9.7. Esto incluye los eventos crudos sin filtrar de Dell Endpoint Security Suite Enterprise y los eventos de Dell Secure Lifecycle y Dell Data Guardian.

Configuración del servidor

Puede configurar Security Management Server para que envíe datos de eventos del agente dentro de Administraciónde eventos de administración >de servicios de administración>. Estos datos se pueden exportar a un archivo local o syslog. Para esto, existen dos opciones: Exportar a archivo local y exportar a syslog

Figura 2: (Solo en inglés) Administración de eventos

Exportar a archivo local, actualiza el archivo audit-export.log para que lo consuma un reenviador universal. La ubicación predeterminada de este archivo es C:\Archivos de programa\Dell\Enterprise Edition\Security Server\logs\siem\.

Este archivo se actualiza cada dos horas con datos. Un reenviador puede recoger y consumir este archivo. Para obtener más información acerca de los reenviadores, consulte la aplicación Syslog o SIEM específica que está usando para consumir estos datos, ya que los reenviadores difieren según la aplicación.

Figura 3: (Solo en inglés) Export to Local File

La exportación a Syslog permite la conexión directa a un servidor SIEM o Syslog interno dentro del entorno. Estos registros se formatean en un formato simple basado en RFC-3164 en un paquete json. Estos datos provienen de Dell Security Management Server y se envían directamente al SIEM o al servidor Syslog. Estos datos se recopilan y se envían cada dos horas mediante un trabajo.

Figura 4: (Solo en inglés) Export to Syslog

Los datos de eventos de Dell Endpoint Security Suite Enterprise que se envían se mencionaron anteriormente. Por lo general, SaaS envía estos datos, lo que permite que Dell Security Management Server pueda recopilar estos datos de los agentes a medida que se registran con los inventarios y reenviarlos a la aplicación SIEM o Syslog configurada.

Los datos de eventos del agente contienen los datos de eventos de Dell Endpoint Security Suite Enterprise mencionados anteriormente, así como los datos de Dell Secure Lifecycle y Dell Data Guardian. Estos datos también vienen en eventos.

Application Control (Control de aplicaciones)

Esta opción solo es visible para los usuarios que tienen habilitada la función de control de aplicaciones. Los eventos control de aplicaciones representan acciones que se producen cuando el dispositivo está en el modo Application Control. Al seleccionar esta opción, se envía un mensaje al servidor Syslog cada vez que se intenta modificar, copiar un archivo ejecutable o ejecutar un archivo desde un dispositivo o una ubicación de red.

Figura 5: (Solo en inglés) Mensaje de ejemplo de denegación del cambio de archivo PE

Figura 6: (Solo en inglés) Mensaje de ejemplo para denegar la ejecución desde una unidad externa

Registro de auditoría

Cuando se selecciona esta opción, se envía el registro de auditoría de las acciones de usuario que se realizan en el SaaS al servidor syslog. Los eventos del registro de auditoría aparecen en la pantalla Audit Log, incluso cuando se borra esta opción.

Figura 7: (Solo en inglés) Mensaje de ejemplo de reenvío de registro de auditoría a syslog

Dispositivos

Si selecciona esta opción, se envían eventos de dispositivo al servidor syslog.

• Cuando se registra un nuevo dispositivo, recibe dos mensajes de este evento: Registration y SystemSecurity

Figura 8: (Solo en inglés) Mensaje de ejemplo de evento de registro de dispositivo

• Cuando se quita un dispositivo

Figura 9: (Solo en inglés) Mensaje de ejemplo de evento de extracción de dispositivo

• Cuando la política, la zona, el nombre o el nivel de registro de un dispositivo ha cambiado.

Figura 10: (Solo en inglés) Mensaje de ejemplo de evento de actualización de dispositivo

Memory Protection (Protección de la memoria)

Si selecciona esta opción, se registra cualquier intento de infringir la seguridad de la memoria que podría considerarse un ataque desde cualquiera de los dispositivos del grupo de usuarios al servidor syslog. Hay cuatro tipos de acciones para infringir la seguridad de la memoria:

• None: Permitida porque no se definió ninguna política para esta infracción.
• Allowed: Permitida por la política
• Blocked: Bloqueo de ejecución debido a la política
• Terminated: El proceso finalizó.

Figura 11: (Solo en inglés) Mensaje de ejemplo de evento de protección de memoria

Control de scripts

Al seleccionar esta opción, se registran los scripts recién encontrados en el servidor de registro del sistema que Advanced Threat Prevention condena.

Los eventos de Syslog de control de script contienen las siguientes propiedades:

• Alerta: El script puede ejecutarse. Se envía un evento de control de script a la consola.
• Block: No se permite ejecutar el script. Se envía un evento de control de script a la consola.

Frecuencia de generación de informes

La primera vez que se detecta un evento de control de script, se envía un mensaje syslog con la información completa del evento. Cada evento subsiguiente que se considere un duplicado no se envía mediante syslog durante el resto del día (según la hora del servidor SaaS).

Si el contador de un evento de control de script específico es mayor que uno, se envía un evento mediante syslog con el conteo de todos los eventos duplicados que han ocurrido ese día. Si el contador es igual a uno, no se envía ningún mensaje adicional mediante syslog.

Para determinar si un evento de control de script es un duplicado se utiliza la siguiente lógica:

• Se observa la información clave: Dispositivo, hash, nombre de usuario, bloqueos y alertas
• Para el primer evento recibido en un día, se establece el valor del contador en 1. Hay contadores independientes para los bloqueos y alertas.
• Todos los eventos subsiguientes con la misma tecla incrementan el contador
• El contador se restablece cada día civil, según la hora del servidor SaaS.

Figura 12: (Solo en inglés) Mensaje de ejemplo de control de script

Amenazas

Si selecciona esta opción, se registra cualquier amenaza encontrada recientemente, o los cambios observados de cualquier amenaza existente, en el servidor syslog. Los cambios incluyen la eliminación, cuarentena, exención o ejecución de una amenaza.

Hay cinco tipos de eventos de amenaza:

• threat_found: Se encontró una nueva amenaza en un estado Unsafe.
• threat_removed: Se eliminó una amenaza existente.
• threat_quarantined: Se encontró una nueva amenaza en el estado Quarantine.
• threat_waived: Se encontró una nueva amenaza en el estado Waived.
• threat_changed: El comportamiento de una amenaza existente ha cambiado (ejemplos: Puntuación, estado de cuarentena, estado en ejecución)

Hay seis tipos de clasificación de amenazas:

• File Unavailable: Debido a una restricción de carga (por ejemplo, el archivo es demasiado grande para cargarlo), este no está disponible para análisis.
• Malware: El archivo se clasifica como malware.
• Possible PUP: El archivo puede ser un programa potencialmente no deseado (PUP).
• PUP: El archivo se considera un programa potencialmente no deseado (PUP).
• Trusted: El archivo se considera de confianza.
• Unclassified: ATP no analizó este archivo.

Figura 13: (Solo en inglés) Mensaje de ejemplo de evento de amenaza

Clasificaciones de amenazas

Cada día, Advanced Threat Prevention de Dell clasifica cientos de amenazas como malware o programas potencialmente no deseados (PUP).

Si selecciona esta opción, se lo notificará cuando se produzcan estos eventos.

Figura 14: (Solo en inglés) Mensaje de ejemplo de clasificación de amenazas

Gestión de eventos e información de seguridad (SIEM)

Especifica el tipo de servidor syslog o SIEM al que se enviarán los eventos.

Protocolo

Debe coincidir con lo que configuró en el servidor syslog. Las opciones son UDP o TCP. TCP es el valor predeterminado y alentamos a los clientes a utilizarlo. UDP no se recomienda, ya que no garantiza la entrega de mensajes.

TLS/SSL

Solo está disponible si el protocolo especificado es TCP. TLS/SSL garantiza que el mensaje de syslog se cifre en tránsito al servidor syslog. Alentamos a los clientes a seleccionar esta opción. Asegúrese de que el servidor syslog esté configurado para escuchar mensajes de TLS/SSL.

IP/Dominio

Especifica la dirección IP o el nombre de dominio calificado del servidor syslog que el cliente configuró. Consulte con sus expertos en redes internos para confirmar que los ajustes de firewall y dominio sean correctos.

Puerto

Especifica el número de puerto en las máquinas en las que el servidor de Syslog escucha mensajes. Debe ser un número entre 1 y 65535. Los valores típicos son los siguientes: 512 para UDP, 1235 o 1468 para TCP y 6514 para TCP seguro (por ejemplo: TCP con TLS/SSL habilitado)

Gravedad

Especifica la gravedad de los mensajes que deben aparecer en el servidor Syslog (este es un campo subjetivo y puede configurarlo en el nivel que desee). El valor de gravedad no cambia los mensajes que se reenvían al servidor syslog.

Instalación

Especifica qué tipo de aplicación está registrando el mensaje. El valor predeterminado es Internal (o Syslog). Se utiliza para categorizar los mensajes cuando el servidor syslog los recibe.

Token personalizado

Es posible que algunos servicios de administración de registros, como SumoLogic, necesiten un token personalizado que se incluya con los mensajes de syslog para ayudar a identificar a dónde deben ir esos mensajes. El token personalizado proporciona el servicio de administración de registros.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

Prueba de la conexión

Haga clic en Test Connection para probar la configuración de IP/dominio, puerto y protocolo. Si se ingresan valores válidos, se mostrará una confirmación de ejecución correcta.

Figura 15: (Solo en inglés) Anuncio de conexión correcta

En la consola del servidor syslog, recibirá el siguiente mensaje de conexión de prueba:

Figura 16: (Solo en inglés) Mensaje de conexión de prueba

sl_file_upload

Evento que le indica a un administrador cuándo se cargó un archivo en un proveedor de servicio en la nube.

El agente que genera el evento puede ser uno o más de los siguientes:

• Mac
• Windows
• Android
• iOS

Carga
Proveedor	Proceso que está realizando la carga.
File (Archivo)	La información sobre el archivo que se está cargando incluye keyid, ruta, nombre de archivo y tamaño.
Geometría	El lugar donde tuvo lugar este evento.
Usuario registrado	El usuario que inició sesión en el dispositivo.

Ejemplo:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Evento que sucede cuando un usuario cambia la política de carpetas a través de la consola de administración de carpetas.

El agente que genera el evento puede ser uno o más de los siguientes:

• Mac
• Windows
• Android
• iOS

Carga
Folderpath	Carpeta en la que se cambió el nivel de protección
Protección de carpetas	Una cadena que define un nivel de protección: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometría	El lugar donde tuvo lugar este evento.
Usuario registrado	El usuario que inició sesión en el dispositivo.

Ejemplo:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Evento que le indica a un administrador cuándo se bloqueó el acceso a un proveedor de servicio en la nube.

El agente que genera el evento puede ser uno o más de los siguientes:

• Mac
• Windows
• Android
• iOS

Carga
Dirección	Proceso que está realizando la carga.
Proceso	La información sobre el archivo que se está cargando incluye keyid, ruta, nombre de archivo y tamaño.
Aplicación	Tipo de proceso que intenta acceder a un proveedor de servicio en la nube bloqueado. App, Proxy o Browser
Acción de red	Tipo de acción que ocurre. (solo un valor en estado Blocked)
Geometría	El lugar donde tuvo lugar este evento.
Usuario registrado	El usuario que inició sesión en el dispositivo.

Ejemplo:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Eventos relacionados con las acciones asociadas con los mensajes de correo electrónico protegidos de Dell Data Guardian.

El agente que genera el evento puede ser uno o más de los siguientes:

• Mac
• Windows
• Android
• iOS

Carga
Mensajes de correo electrónico	Arreglo de objetos de correo electrónico
keyId	ID de clave utilizado para proteger el correo electrónico.
Asunto	Línea de asunto del correo electrónico
Para	Direcciones de correo electrónico a las que se envió el correo electrónico.
cc	Direcciones de correo electrónico en las que se copió el correo electrónico.
Bcc	Direcciones de correo electrónico en las que se copió de forma oculta el correo electrónico.
De	Dirección de correo electrónico de la persona que envió el correo electrónico.
Accesorios	Nombres de archivos adjuntos que se agregaron en el correo electrónico
Acción	"Abierto", "Creado", "Respondió", "Enviado"
Usuario registrado	El usuario que inició sesión en el dispositivo.

Ejemplo:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Eventos relacionados con las acciones asociadas con los documentos de Office protegidos por Dell Data Guardian.

El agente que genera el evento puede ser uno o más de los siguientes:

• Mac
• Windows
• Android
• iOS

Carga
File (Archivo)	Información sobre el archivo que se cifró, descifró o eliminó.
clientType	Tipo de cliente que se instaló. External o Internal
Acción	Created, Accessed, Modified, Unprotected, AttemptAccess
Slaction	New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering, DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometría	El lugar donde tuvo lugar este evento.
De	Registro de fecha y hora del evento de resumen cuando comenzó.
Para	Registro de fecha y hora para el evento de resumen cuando finalizó el evento.
Usuario registrado	El usuario que inició sesión en el dispositivo.
Información de la aplicación	Información sobre la aplicación mediante el documento de Office protegido

Ejemplo:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Evento que ocurre cuando la computadora emite un evento.

El agente que genera el evento puede ser uno o más de los siguientes:

• Mac
• Windows
• Android
• iOS

Carga
Acción	Ejemplos de lo que está haciendo la computadora: inicio de sesión, cierre de sesión, PrintScreenBlocked, ProcessBlocked
Geometría	El lugar donde tuvo lugar este evento.
clientType	Tipo de cliente que se instaló. Externo o interno
Usuario registrado	El usuario que inició sesión en el dispositivo.
processInfo	Información sobre el proceso
Disposición	Cómo se bloqueó el proceso: Finalizado, Bloqueado, Ninguno.
Nombre	Nombre del proceso

Ejemplo:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Eventos de Cloud Edition que especifican cuándo un archivo se cifra, descifra o elimina de un proveedor de servicio en la nube compatible.

El agente que genera el evento puede ser uno o más de los siguientes:

• Mac
• Windows
• Android
• iOS

Carga
File (Archivo)	Información sobre el archivo que se cifró, descifró o eliminó.
clientType	Tipo de cliente que se instaló. External o Internal
Acción	Created, Accessed, Modified, Deleted
Nombre de nube	El nombre del archivo en la nube puede ser diferente al de la etiqueta de archivo anterior
Xenacción	Descripción de lo que el servicio DG está intentando hacer. Valores: Encrypt, Decrypt, Deleted.
Geometría	El lugar donde tuvo lugar este evento.
Usuario registrado	El usuario que inició sesión en el dispositivo.

Ejemplo:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}