Syslog- og SIEM-vejledning til Dell Security Management Server

Summary: I denne artikel beskrives integrationsprocessen for Security Information and Event Management.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Berørte produkter:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Hvad er en SIEM-server eller -enhed (Security Information and Event Management)?

SIEM kan importere data og køre regler eller rapporter, der er baseret på dataene. Målet er at samle data fra forskellige kilder, identificere uregelmæssigheder i dataene og træffe passende foranstaltninger baseret på dataene.

Hvilke muligheder har jeg for at sende til et SIEM- eller Syslog-program

Dell Security Management Server og Dell Security Management Server Virtual tilbyder hver især to forskellige måder at forbruge data på i et SIEM- eller Syslog-program.

I 9.2-serveren blev muligheden for at kommunikere med Advanced Threat Prevention-skyen introduceret, hvilket gjorde det muligt at konfigurere Advanced Threat Event data, der skulle sendes til et SIEM-program.

Hvis du vil konfigurere disse data i Dell Security Management Server- eller Dell Security Management Server Virtuals WebUI, skal du gå til Populations >Enterprise >Advanced Threats (denne fane er kun synlig, hvis Advanced Threat Prevention er aktiveret via administrationsopgaven Management > Services).>

Siden Indstillinger har et afkrydsningsfelt for Syslog/SIEM , som giver os mulighed for at konfigurere, hvor dataene sendes hen. Disse data kommer fra Advanced Threat Prevention-servere, der hostes i Amazon Web Services.

Hvis Advanced Threat Prevention Syslog Integration ikke kan levere syslog-meddelelser til din server, sendes der en e-mailmeddelelse til alle administratorer med en bekræftet e-mailadresse i organisationen, der advarer dem om syslog-problemet.

Hvis problemet er løst, inden perioden på 20 minutter er udløbet, fortsætter syslog-meddelelserne med at blive leveret. Hvis problemet løses efter tidsperioden på 20 minutter, skal en administrator genaktivere syslog-meddelelser.

Her er et eksempel på konfigurationen af et eksternt fuldt kvalificeret domænenavn (FQDN) på extsiem.domain.org over port 5514. Denne konfiguration forudsætter, at extsiem.domain.com har en ekstern DNS-post, der løses til serveren i det miljø, der kører SIEM- eller Syslog-programmet, og port 5514 er blevet videresendt fra miljøets gateway til destinations-SIEM- eller Syslog-programmet.

Dell Data Security-konsol
Figur 1: (Kun på engelsk) Dell Data Security-konsol

Begivenheder, der kommer gennem denne funktionalitet, er brandet, da de kommer fra vores leverandør, Cylance.

IP- og værtsnavnsoplysninger til firewall- og adgangsformål

SaaS til avanceret trusselforebyggelse har flere IP-adresser for hver region. Dette giver mulighed for udvidelse uden at afbryde nogen syslog-tjeneste. Tillad alle IP-adresser, der er baseret på dit område, når du konfigurerer dine regler. Logfiler fra Cylance-kilde fra en af disse IP'er og kan ændres tilfældigt.

Bemærk: Disse IP-adresser skal forblive statiske; Det er dog muligt, at Cylance vil opdatere denne liste i fremtiden. Ændringer kommunikeres ved hjælp af en e-mail til Cylance-konsoladministratorer. Det er netværksadministratorens ansvar at opdatere deres regler som reaktion på ændringer.

USA (my.cylance.com og my-vs2.cylance.com)

52.2.154.63
52.20.244.157 52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com og my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server og Dell Security Management Server Virtual introducerede muligheden for at sende hændelser modtaget fra agenter i 9.7. Dette omfatter rå, ufiltrerede hændelser fra Dell Endpoint Security Suite Enterprise og hændelser fra Dell Secure Lifecycle og Dell Data Guardian.

Serverkonfiguration

Du kan konfigurere Security Management Server til at sende hændelsesdata for helpdesk-medarbejdere i Management>Services Management >Event Management. Disse data kan eksporteres til en lokal fil eller Syslog. To muligheder er her: Eksportér til lokal fil, og eksportér til Syslog

Administration af arrangementer
Figur 2: (Kun på engelsk) Administration af arrangementer

Eksporter til lokal fil, opdaterer den audit-export.log fil, så en universel videresender bruger den. Denne fils standardplacering er C:\Programmer\Dell\Enterprise Edition\Security Server\logs\siem\.

Denne fil opdateres hver anden time med data. Denne fil kan hentes og forbruges af en speditør. Du kan finde flere oplysninger om speditører i det specifikke Syslog- eller SIEM-program, som du bruger til at forbruge disse data, da speditørerne varierer afhængigt af programmet.

Eksporter til lokal fil
Figur 3: (Kun på engelsk) Eksporter til lokal fil

Eksport til Syslog giver mulighed for direkte forbindelse til en intern SIEM- eller Syslog-server i miljøet. Disse logfiler formateres i et enkelt format, der er baseret på RFC-3164 i et json-bundt. Disse data kommer fra Dell Security Management Server og sendes direkte til SIEM- eller Syslog-serveren. Disse data indsamles og sendes hver anden time ved hjælp af et job.

Eksportér til Syslog
Figur 4: (Kun på engelsk) Eksportér til Syslog

De Dell Endpoint Security Suite Enterprise-hændelsesdata, der sendes gennem, er anført ovenfor. SaaS sender typisk disse data, så Dell Security Management Server kan indsamle disse data fra agenterne, når de tjekker ind med lagerbeholdninger og videresender dem til det konfigurerede SIEM- eller Syslog-program.

Agenthændelsesdata indeholder både de tidligere nævnte Dell Endpoint Security Suite Enterprise-hændelsesdata og Dell Secure Lifecycle- og Dell Data Guardian-data. Disse data kommer også i hændelser.

Programstyring

Denne indstilling er kun synlig for brugere, der har aktiveret funktionen Programstyring. Application Control-hændelser repræsenterer handlinger, der finder sted, når enheden er i tilstanden Programstyring. Hvis du vælger denne indstilling, sendes der en meddelelse til Syslog-serveren, når der gøres forsøg på at ændre, kopiere en eksekverbar fil, eller når der gøres forsøg på at køre en fil fra en enhed eller netværksplacering.

Eksempel på meddelelse om afvisning af PE-filændring
Figur 5: (Kun på engelsk) Eksempel på meddelelse om afvisning af PE-filændring

Eksempel på meddelelse om afvis udførelse fra eksternt drev
Figur 6: (Kun på engelsk) Eksempel på meddelelse om afvis kørsel fra et eksternt drev

Gennemgangslog

Hvis du vælger denne indstilling, sendes overvågningsloggen over brugerhandlinger, der udføres i SaaS, til Syslog-serveren. Overvågningsloghændelser vises på skærmbilledet Overvågningslog, selv når denne indstilling ikke er markeret.

Eksempel på meddelelse til overvågningslog, der videresendes til Syslog
Figur 7: (Kun på engelsk) Eksempel på meddelelse til overvågningslog, der videresendes til Syslog

Enheder

Hvis du vælger denne indstilling, sendes enhedshændelser til Syslog-serveren.

  • Når en ny enhed registreres, modtager du to meddelelser om denne begivenhed: Registrering og systemsikkerhed
Bemærk: SystemSecurity-meddelelser genereres også, når en bruger logger på en enhed. Denne meddelelse kan forekomme på forskellige tidspunkter, ikke kun under registrering.

Eksempel på meddelelse om hændelse, der er registreret på enheden
Figur 8: (Kun på engelsk) Eksempel på meddelelse om hændelse, der er registreret på enheden

  • Når en enhed fjernes

Eksempel på meddelelse om hændelsen med enheden fjernet
Figur 9: (Kun på engelsk) Eksempel på meddelelse om hændelsen med enheden fjernet

  • Når en enheds politik, zone, navn eller logføringsniveau er ændret.

Eksempel på meddelelse om hændelse for enhedsopdatering
Figur 10: (Kun på engelsk) Eksempel på meddelelse om hændelse for enhedsopdatering

Hukommelsesbeskyttelse

Hvis du vælger denne indstilling, logges alle forsøg på hukommelsesudnyttelse, der kan betragtes som et angreb fra en af lejerens enheder på Syslog-serveren. Der findes fire typer Memory Exploit-handlinger:

  • Ingen: Tilladt, fordi der ikke er defineret nogen politik for denne overtrædelse.
  • Tilladt: Tilladt af politikken
  • Blokeret: Blokeret fra at køre af politik
  • Afsluttet: Processen er afsluttet.

Eksempel på meddelelse om hukommelsesbeskyttelseshændelse
Figur 11: (Kun på engelsk) Eksempel på meddelelse om hukommelsesbeskyttelseshændelse

Script-styring

Hvis du vælger denne indstilling, logges alle nyligt fundne scripts på den Syslog-server, som Advanced Threat Prevention dømmer.

Syslog Script Control-hændelser indeholder følgende egenskaber:

  • Advarsel: Scriptet må køre. Der sendes en scriptkontrolhændelse til konsollen.
  • Blok: Scriptet må ikke køre. Der sendes en scriptkontrolhændelse til konsollen.

Rapporteringsfrekvens

Første gang der registreres en scriptkontrolhændelse, sendes der en meddelelse ved hjælp af syslog med alle hændelsesoplysninger. Hver efterfølgende hændelse, der betragtes som en dublet, sendes ikke ved hjælp af syslog resten af dagen (baseret på SaaS's servertid).

Hvis tælleren for en bestemt scriptkontrolhændelse er større end én, sendes en hændelse ved hjælp af syslog med optællingen af alle dublerede hændelser, der er sket den pågældende dag. Hvis tælleren er lig med én, sendes der ingen yderligere meddelelse ved hjælp af syslog.

Ved afgørelsen af, om en scriptkontrolhændelse er en dublet, anvendes følgende logik:

  • Se på vigtige oplysninger: Enhed, hash, brugernavn, blokering og advarsel
  • For den første hændelse, der modtages på en dag, skal du angive en tællerværdi til 1. Der er separate tællere til blokering og alarm.
  • Alle efterfølgende hændelser med samme nøgle øger tælleren
  • Tælleren nulstiller hver kalenderdag i henhold til SaaS's servertid.
Bemærk: Hvis script A kører på en enhed 1 kl. 23:59 den 20.09.2016 og derefter igen kl. 12:05 og 12:15 den 21.09.2016, er resultatet følgende:
  • Der sendes en syslog-meddelelse den 20.09.2016 for hændelsen Scriptstyring for den pågældende dag.
  • Der sendes en syslog-meddelelse den 21.09.2016 for de to dublerede scriptkontrolhændelser for den pågældende dag.
Bemærk: Der sendes kun én syslog-meddelelse den 21.09.2016, fordi hændelserne er dubletter af den hændelse, der fandt sted den 20.09.2016.

Eksempel på meddelelse om scriptstyring
Figur 12: (Kun på engelsk) Eksempel på meddelelse om scriptstyring

Trusler

Hvis du vælger denne indstilling, logføres alle nyligt fundne trusler eller ændringer, der er observeret for eksisterende trusler, på Syslog-serveren. Ændringer omfatter en trussel, der fjernes, sættes i karantæne, frafaldes eller køres.

Der er fem typer af trusselshændelser:

  • threat_found: Der er fundet en ny trussel i statussen Usikker.
  • threat_removed: En eksisterende trussel er blevet fjernet.
  • threat_quarantined: Der er fundet en ny trussel i karantænestatussen.
  • threat_waived: Der er fundet en ny trussel i statussen Frafaldet.
  • threat_changed: Adfærden for en eksisterende trussel er ændret (eksempler: Score, karantænestatus, løbestatus)

Der findes seks typer trusselsklassifikation:

  • Filen er ikke tilgængelig: På grund af en uploadbegrænsning (f.eks. hvis filen er for stor til at blive uploadet) er filen ikke tilgængelig til analyse.
  • Malware: Filen er klassificeret som malware.
  • Mulig PUP: Filen kan være et potentielt uønsket program (PUP).
  • PUP: Filen betragtes som et potentielt uønsket program (PUP).
  • Betroede: Filen betragtes som pålidelig.
  • Uklassificeret: ATP har ikke analyseret denne fil.

Eksempel på meddelelse om trusselshændelse
Figur 13: (Kun på engelsk) Eksempel på meddelelse om trusselshændelse

Trusselsklassificeringer

Hver dag klassificerer Dells Advanced Threat Prevention hundredvis af trusler som enten malware eller potentielt uønskede programmer (PUP'er).

Når du vælger denne indstilling, får du besked, når disse hændelser indtræffer.

Eksempel på meddelelse om trusselsklassificering
Figur 14: (Kun på engelsk) Eksempel på meddelelse om trusselsklassificering

Administration af sikkerhedsoplysninger og hændelser (SIEM)

Angiver typen af Syslog-server eller SIEM, som hændelser skal sendes til.

Protokol

Dette skal stemme overens med det, du har konfigureret på din Syslog-server. Valgmulighederne er UDP eller TCP. TCP er standard, og vi opfordrer kunderne til at bruge den. UDP anbefales ikke, da det ikke garanterer levering af meddelelser.

TLS/SSL

Kun tilgængelig, hvis den angivne protokol er TCP. TLS/SSL sikrer, at Syslog-meddelelsen krypteres under overførslen til Syslog-serveren. Vi opfordrer kunderne til at vælge denne mulighed. Sørg for, at din Syslog-server er konfigureret til at lytte efter TLS/SSL-meddelelser.

IP/domæne

Angiver IP-adressen eller det fuldt kvalificerede domænenavn på den Syslog-server, som kunden har konfigureret. Kontakt dine interne netværkseksperter for at sikre, at firewall- og domæneindstillingerne er konfigureret korrekt.

Port

Angiver portnummeret på de maskiner, som Syslog-serveren lytter efter meddelelser på. Det skal være et tal mellem 1 og 65535. Typiske værdier er: 512 for UDP, 1235 eller 1468 for TCP og 6514 for sikret TCP (f.eks.: TCP med TLS/SSL aktiveret)

Alvorsgrad

Angiver alvorsgraden af de meddelelser, der skal vises på Syslog-serveren (dette er et subjektivt felt, og du kan indstille det til et hvilket som helst niveau, du vil). Værdien af alvorsgrad ændrer ikke de meddelelser, der videresendes til Syslog.

Facilitet

Angiver, hvilken type program der logfører meddelelsen. Standardværdien er Intern (eller Syslog). Dette bruges til at kategorisere meddelelserne, når Syslog-serveren modtager dem.

Brugerdefineret token

Nogle logadministrationstjenester, som SumoLogic, har muligvis brug for et brugerdefineret token, der følger med syslog-meddelelser, for at hjælpe med at identificere, hvor disse meddelelser skal hen. Det brugerdefinerede token leverer din logstyringstjeneste.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Bemærk: Feltet Custom Token er tilgængeligt med alle SIEM- eller Syslog-indstillinger, ikke kun SumoLogic. Det er muligt at indtaste alle oplysninger som et brugerdefineret tag til syslog-oplysningerne.

Test af forbindelsen

Klik på Test forbindelse for at teste indstillingerne for IP/domæne, port og protokol. Hvis der indtastes gyldige værdier, vises en bekræftelse.

Banner til vellykket forbindelse
Figur 15: (Kun på engelsk) Banner til vellykket forbindelse

På Syslog-serverkonsollen vises følgende testforbindelsesmeddelelse:

Meddelelse om test forbindelse
Figur 16: (Kun på engelsk) Meddelelse om test forbindelse

sl_file_upload

Hændelse, der fortæller en administrator, når en fil er blevet overført til en skyudbyder.

Den agent, der genererer hændelsen, kan være en eller flere af følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Udbyder Proces, der udfører uploaden.
Fil Oplysninger om den fil, der uploades, omfatter keyid, sti, filnavn og størrelse.
Geometri Det sted, hvor denne begivenhed fandt sted.
Loggedinuser Bruger, der er logget på enheden.
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Hændelse, der sker, når en bruger ændrer mappepolitikken via mappeadministrationskonsollen.

Den agent, der genererer hændelsen, kan være en eller flere af følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Mappesti Mappe, hvor beskyttelsesniveauet blev ændret
Mappebeskyttelse En streng, der definerer et beskyttelsesniveau: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow PreExisting_ForceAllow_Confirmed
Geometri Det sted, hvor denne begivenhed fandt sted.
Loggedinuser Bruger, der er logget på enheden.
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Hændelse, der fortæller en administrator, når adgang til en skyudbyder er blevet blokeret.

Den agent, der genererer hændelsen, kan være en eller flere af følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Adresse Proces, der udfører uploaden.
Proces Oplysninger om den fil, der uploades, omfatter keyid, sti, filnavn og størrelse.
Program Type proces, der forsøger at få adgang til en blokeret skyudbyder. App, proxy eller browser
Netaction Type handling, der sker. (kun én værdi blokeret)
Geometri Det sted, hvor denne begivenhed fandt sted.
Loggedinuser Bruger, der er logget på enheden.
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Hændelser, der omhandler de handlinger, der er forbundet med Dell Data Guardian-beskyttede e-mailmeddelelser.

Den agent, der genererer hændelsen, kan være en eller flere af følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
E-mailmeddelelser Vifte af e-mail-objekter
keyId Nøgle-id, der blev brugt til at beskytte e-mailen.
Emne Emnelinje fra e-mail
Til E-mail-adresser, som e-mailen blev sendt til.
Cc E-mail-adresser, som e-mailen blev kopieret til.
Bcc E-mail-adresser, som e-mailen blev blindkopieret til.
Fra E-mailadressen på den person, der sendte e-mailen.
Vedhæftede filer Navne på vedhæftede filer, der blev føjet til mailen
Handling "Åbnet", "Oprettet", "Svaret", "Sendt"
Loggedinuser Bruger, der er logget på enheden.
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Hændelser, der omhandler de handlinger, der er forbundet med Dell Data Guardian-beskyttede kontordokumenter.

Den agent, der genererer hændelsen, kan være en eller flere af følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Fil Filoplysninger om det blev krypteret, dekrypteret eller slettet.
klienttype Klienttype, der er installeret. Ekstern eller intern
Handling Oprettet, åbnet, ændret, ubeskyttet, ForsøgAdgang
Skovgreb Ny, Åben, Opdateret, Fejet, Vandmærket, Blokkopi, RepareretManipulation,
DetekteretManipulation, Ubeskyttet, Slettet, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometri Det sted, hvor denne begivenhed fandt sted.
Fra Tidsstempel for oversigtshændelse, da den begyndte.
Til Tidsstempel for oversigtshændelse, når begivenheden sluttede.
Loggedinuser Bruger, der er logget på enheden.
Appinfo Oplysninger om programmet ved hjælp af det beskyttede Office-dokument
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Hændelse, der sker, når computeren udsender en hændelse.

Den agent, der genererer hændelsen, kan være en eller flere af følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Handling Hvad computeren laver eksempler - Login, Logout, PrintScreenBlocked, ProcessBlocked
Geometri Det sted, hvor denne begivenhed fandt sted.
klienttype Klienttype, der er installeret. Ekstern eller intern
Loggedinuser Bruger, der loggede på enheden.
processInfo Oplysninger om processen
Disposition Hvordan processen blev blokeret - Afsluttet, Blokeret, Ingen.
Navn Processens navn
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition-hændelser, der angiver, hvornår en fil krypteres, dekrypteres eller slettes fra en understøttet cloududbyder.

Den agent, der genererer hændelsen, kan være en eller flere af følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Fil Filoplysninger om det blev krypteret, dekrypteret eller slettet.
klienttype Klienttype, der er installeret. Ekstern eller intern
Handling Oprettet, åbnet, ændret, slettet
Cloudnavn Navnet på filen i skyen kan være anderledes end navnet i filtagget ovenfor
Xenaction Beskrivelse af, hvad GD-tjenesten forsøger at gøre. Værdier - krypter, dekrypter, slettes.
Geometri Det sted, hvor denne begivenhed fandt sted.
Loggedinuser Bruger, der er logget på enheden.
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Additional Information

   

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124929
Article Type: How To
Last Modified: 30 Apr 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.