Dell Security Management Serverin Syslog- ja SIEM-opas

Summary: Tässä artikkelissa kuvataan suojaustietojen ja tapahtumien hallinnan integrointiprosessi.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Tuotteet, joita asia koskee:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Mikä on Security Information and Event Management (SIEM) -palvelin tai -laite?

SIEM voi tuoda tietoja ja suorittaa sääntöihin tai raportteihin, jotka perustuvat tietoihin. Tavoitteena on koota dataa eri lähteistä, tunnistaa datan poikkeamat ja ryhtyä datan perusteella tarvittaviin toimenpiteisiin.

Mitä vaihtoehtoja minun on lähetettävä SIEM- tai Syslog-sovellukseen

Dell Security Management Server ja Dell Security Management Server Virtual tarjoavat kaksi erilaista tapaa hakea tietoja SIEM- tai Syslog-sovelluksessa.

9.2-palvelimessa otettiin käyttöön kyky kommunikoida Advanced Threat Prevention -pilven kanssa, mikä mahdollisti Advanced Threat Event -tietojen määrittämisen SIEM-sovellukseen.

Jos haluat määrittää nämä tiedot Dell Security Management Serverin tai Dell Security Management Server Virtualin verkkokäyttöliittymässä, siirry kohtaan Populations >Enterprise >Advanced Threats (tämä välilehti näkyy vain, jos Advanced Threat Prevention on otettu käyttöön Management >Services Management -tehtävänkautta).>

Asetukset-sivulla on Syslog/SIEM-valintaruutu , jonka avulla voimme määrittää, mihin tiedot lähetetään. Nämä tiedot ovat peräisin Advanced Threat Prevention -palvelimilta, joita isännöidään Amazon Web Servicesissä.

Jos Advanced Threat Prevention Syslog -integrointi ei pysty toimittamaan syslog-viestejä palvelimeesi, järjestelmälokiongelmasta varoittava sähköposti-ilmoitus lähetetään kaikille järjestelmänvalvojille, joilla on vahvistettu sähköpostiosoite organisaatiossa.

Jos ongelma ratkeaa ennen 20 minuutin määräajan päättymistä, syslog-sanomien toimitus jatkuu. Jos ongelma ratkeaa 20 minuutin kuluttua, järjestelmänvalvojan on otettava järjestelmälokiviestintä uudelleen käyttöön.

Tässä on esimerkki määrityksestä, joka koskee ulkoista täydellistä toimialuenimeä (FQDN), joka on extsiem.domain.org portin 5514 yläpuolella. Tässä määrityksessä oletetaan, että extsiem.domain.com:llä on ulkoinen DNS-merkintä, joka ratkaisee tiedot palvelimeen SIEM- tai Syslog-sovellusta suorittavassa ympäristössä, ja portti 5514 on välitetty ympäristön yhdyskäytävästä SIEM- tai Syslog-kohdesovellukseen.

Dell Data Security -konsoli
Kuva 1: (Englanninkielinen) Dell Data Security -konsoli

Tämän toiminnon kautta tulevat tapahtumat brändätään sellaisina kuin ne tulevat toimittajaltamme Cylancelta.

IP- ja isäntänimitiedot palomuuria ja käyttöoikeuksia varten

Advanced Threat Prevention -palvelulla on useita IP-osoitteita kullekin alueelle. Tämä mahdollistaa laajentamisen keskeyttämättä syslog-palvelua. Salli kaikki alueeseen perustuvat IP-osoitteet sääntöjä määritettäessä. Cylancen lokit tulevat jostakin näistä IP-osoitteista, ja ne voivat muuttua satunnaisesti.

Huomautus: Näiden IP-osoitteiden tulisi pysyä staattisina; On kuitenkin mahdollista, että Cylance päivittää tämän luettelon tulevaisuudessa. Muutoksista ilmoitetaan sähköpostitse Cylance-konsolin järjestelmänvalvojille. Verkonvalvojan vastuulla on päivittää sääntönsä muutosten mukaisesti.

Yhdysvallat (my.cylance.com ja my-vs2.cylance.com)

52.2.154.63
52.20.244.157 52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com ja my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Serverille ja Dell Security Management Server Virtualille esiteltiin mahdollisuus lähettää agenteilta saatuja tapahtumia versiossa 9.7. Tämä sisältää suodattamattomat raakatapahtumat Dell Endpoint Security Suite Enterprisesta sekä Dell Secure Lifecycle- ja Dell Data Guardian -tapahtumat.

Palvelimen kokoonpano

Voit määrittää Security Management Serverin lähettämään asiakaspalvelijan tapahtumatietoja hallintapalvelujen>hallinnan >tapahtumien hallinnassa. Nämä tiedot voidaan viedä paikalliseen tiedostoon tai Syslogiin. Tässä on kaksi vaihtoehtoa: Vie paikalliseen tiedostoon ja vie Syslogiin

Tapahtumien hallinta
Kuva 2: (Englanninkielinen) Tapahtumien hallinta

Vie paikalliseen tiedostoon, päivittää audit-export.log tiedoston niin, että yleinen huolitsija kuluttaa sen. Tämän tiedoston oletussijainti on C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Tämä tiedosto päivitetään kahden tunnin välein tiedoilla. Huolitsija voi noutaa ja käyttää tätä tiedostoa. Lisätietoja huolitsijoista on Syslog- tai SIEM-sovelluksessa, jota käytät näiden tietojen käyttämiseen, koska huolitsijat vaihtelevat sovelluksen mukaan.

Vie paikalliseen tiedostoon
Kuva 3: (Englanninkielinen) Vie paikalliseen tiedostoon

Vieminen Syslogiin mahdollistaa suoran yhteyden sisäiseen SIEM- tai Syslog-palvelimeen ympäristössä. Nämä lokit on alustettu yksinkertaiseen muotoon, joka perustuu JSON-paketin RFC-3164:ään. Nämä tiedot tulevat Dell Security Management Serveristä suoraan SIEM- tai Syslog-palvelimeen. Nämä tiedot kerätään ja lähetetään kahden tunnin välein työn avulla.

Vie Syslogiin
Kuva 4: (Englanninkielinen) Vie Syslogiin

Yllä on luettelo Dell Endpoint Security Suite Enterprise -tapahtumatiedoista. Yleensä SaaS lähettää nämä tiedot, jolloin Dell Security Management Server pystyy keräämään nämä tiedot edustajilta heidän kirjautuessaan sisään varastoon ja välittämään ne määritettyyn SIEM- tai Syslog-sovellukseen.

Agentin tapahtumatiedot sisältävät sekä edellä mainitut Dell Endpoint Security Suite Enterprise -tapahtumatiedot että Dell Secure Lifecycle- ja Dell Data Guardian -tiedot. Nämä tiedot tulevat myös tapahtumiin.

Sovellusten hallinta

Tämä vaihtoehto näkyy vain käyttäjille, joilla on sovellushallintaominaisuus käytössä. Sovelluksen ohjausobjektin tapahtumat kuvaavat toimintoja, jotka tapahtuvat, kun laite on sovellusten hallintatilassa. Tämän asetuksen valitseminen lähettää viestin Syslog-palvelimeen aina, kun suoritettavaa tiedostoa yritetään muokata tai kopioida tai kun tiedostoa yritetään suorittaa laitteesta tai verkkosijainnista.

Esimerkkiviesti estää PE-tiedoston muutos
Kuva 5: (Englanninkielinen) Esimerkkiviesti estää PE-tiedoston muutos

Esimerkkiviesti suorituksen estämisestä ulkoisesta asemasta
Kuva 6: (Englanninkielinen) Esimerkkiviesti suorituksen estämisestä ulkoisesta asemasta

Valvontaloki

Tämän vaihtoehdon valitseminen lähettää SaaS: ssa suoritettujen käyttäjän toimintojen tarkastuslokin Syslog-palvelimelle. Valvontalokitapahtumat näkyvät Valvontaloki-näytössä, vaikka tämä asetus olisi poistettu käytöstä.

Esimerkki valvontalokin välittämisestä Syslogiin
Kuva 7: (Englanninkielinen) Esimerkki valvontalokin välittämisestä Syslogiin

Devices

Tämän asetuksen valitseminen lähettää laitetapahtumat Syslog-palvelimeen.

  • Kun uusi laite rekisteröidään, saat kaksi sanomaa tästä tapahtumasta: Rekisteröinti ja SystemSecurity
Huomautus: SystemSecurity-viestit luodaan myös, kun käyttäjä kirjautuu laitteeseen. Tämä viesti voi esiintyä eri aikoina, ei vain rekisteröinnin aikana.

Laitteen rekisteröimän tapahtuman esimerkkiviesti
Kuva 8: (Englanninkielinen) Laitteen rekisteröimän tapahtuman esimerkkiviesti

  • Kun laite poistetaan

Esimerkkiviesti laitteen poistotapahtumasta
Kuva 9: (Englanninkielinen) Esimerkkiviesti laitteen poistotapahtumasta

  • Kun laitteen käytäntö, vyöhyke, nimi tai kirjaustaso on muuttunut.

Laitteen päivitystapahtuman esimerkkiviesti
Kuva 10: (Englanninkielinen) Laitteen päivitystapahtuman esimerkkiviesti

Muistin suojaus

Tämän asetuksen valitseminen kirjaa kaikki muistin hyväksikäyttöyritykset, joita voidaan pitää hyökkäyksenä vuokraajan laitteista Syslog-palvelimeen. Memory Exploit -toimintoja on neljää tyyppiä:

  • Mikään: Sallittu, koska tälle rikkomukselle ei ole määritetty käytäntöä.
  • Sallittuja: Käytännön sallima
  • Estetty: Käytäntö estää suorittamisen
  • Lopettaa: Prosessi on päättynyt.

Esimerkkiviesti muistin suojaustapahtumasta
Kuva 11: (Englanninkielinen) Esimerkkiviesti muistin suojaustapahtumasta

Komentosarjojen hallinta

Tämän asetuksen valitseminen kirjaa kaikki uudet löydetyt komentosarjat Syslog-palvelimeen, jonka Advanced Threat Prevention tuomitsee.

Syslog Script Control -tapahtumat sisältävät seuraavat ominaisuudet:

  • Hälytys: Komentosarja voidaan suorittaa. Komentosarjan ohjaustapahtuma lähetetään konsoliin.
  • Block: Komentosarjaa ei saa suorittaa. Komentosarjan ohjaustapahtuma lähetetään konsoliin.

Raportointitiheys

Kun Script Control -tapahtuma havaitaan ensimmäisen kerran, järjestelmälogia käyttäen lähetetään viesti, jossa on täydelliset tapahtumatiedot. Jokaista seuraavaa tapahtumaa, joka katsotaan kaksoiskappaleeksi, ei lähetetä syslogin avulla jäljellä olevan päivän aikana (SaaS: n palvelinajan perusteella).

Jos tietyn Script Control -tapahtuman laskuri on suurempi kuin yksi, syslogia käyttämällä lähetetään tapahtuma, joka sisältää kaikkien kyseisenä päivänä tapahtuneiden päällekkäisten tapahtumien määrän. Jos laskuri on yksi, syslogia käyttävää lisäviestiä ei lähetetä.

Sen määrittäminen, onko Script Control -tapahtuma kaksoiskappale, käyttää seuraavaa logiikkaa:

  • Katso tärkeimmät tiedot: Laite, hajautusarvo, käyttäjänimi, lohko ja hälytys
  • Aseta päivän ensimmäiselle vastaanotetulle tapahtumalle laskuriarvoksi 1. Blockille ja Alertille on erilliset laskurit.
  • Kaikki myöhemmät tapahtumat, joilla on sama avain, lisäävät laskuria
  • Laskuri nollautuu joka kalenteripäivä SaaS: n palvelinajan mukaan.
Huomautus: Jos komentosarja A suoritetaan laitteessa 1 20.9.2016 klo 23.59 ja sitten uudelleen 21.9.2016 klo 12.05 ja 12.15, tulos on seuraava:
  • Yksi syslog-sanoma lähetetään 20.9.2016 kyseisen päivän Script Control -tapahtumaa varten.
  • Yksi syslog-sanoma lähetetään 21.9.2016 kyseisen päivän kahdesta päällekkäisestä Script Control -tapahtumasta.
Huomautus: Vain yksi syslog-sanoma lähetetään 09-21-2016, koska tapahtumat ovat kaksoiskappaleita tapahtumasta, joka tapahtui 09-20-2016.

Esimerkki komentosarjaohjausobjektin sanomasta
Kuva 12: (Englanninkielinen) Esimerkki komentosarjaohjausobjektin sanomasta

Uhat

Tämän asetuksen valitseminen kirjaa Syslog-palvelimeen kaikki äskettäin löydetyt uhat tai muutokset, jotka on havaittu olemassa olevien uhkien varalta. Muutoksia ovat esimerkiksi uhan poistaminen, karanteeniin asettaminen, siitä luopuminen tai suorittaminen.

Uhkatapahtumatyyppejä on viisi:

  • threat_found: Turvaton-tilasta on löydetty uusi uhka.
  • threat_removed: Olemassa oleva uhka on poistettu.
  • threat_quarantined: Karanteenitilasta on löytynyt uusi uhka.
  • threat_waived: Luopumis-tilasta on löytynyt uusi uhka.
  • threat_changed: Olemassa olevan uhan toiminta on muuttunut (esimerkkejä: Pisteet, karanteenitila, juoksutila)

Uhkaluokitustyyppejä on kuusi:

  • Tiedosto ei käytettävissä: Latausrajoituksen vuoksi (tiedosto on esimerkiksi liian suuri ladattavaksi) tiedostoa ei voi analysoida.
  • Haittaohjelmien: Tiedosto on luokiteltu haittaohjelmaksi.
  • Mahdollinen pentu: Tiedosto voi olla mahdollisesti ei-toivottu ohjelma (PUP).
  • PENIKOIDA: Tiedostoa pidetään mahdollisesti ei-toivottuna ohjelmana (PUP).
  • Luotettu: Tiedostoa pidetään luotettuna.
  • Luokittelematon: ATP ei ole analysoinut tätä tiedostoa.

Esimerkki uhkaustapahtuman viestistä
Kuva 13: (Englanninkielinen) Esimerkki uhkaustapahtuman viestistä

Uhkaluokitukset

Dellin Advanced Threat Prevention luokittelee päivittäin satoja uhkia joko haittaohjelmiksi tai mahdollisesti ei-toivotuiksi ohjelmiksi (PUP).

Valitsemalla tämän vaihtoehdon saat ilmoituksen, kun nämä tapahtumat ilmenevät.

Esimerkki uhkaluokituksen sanomasta
Kuva 14: (Englanninkielinen) Esimerkki uhkaluokituksen sanomasta

Tietoturvatietojen ja tapahtumien hallinta (SIEM)

Määrittää Syslog-palvelimen tai SIEM-palvelimen tyypin, johon tapahtumat lähetetään.

Protokolla

Tämän on vastattava Syslog-palvelimessa määritettyjä asetuksia. Vaihtoehdot ovat UDP tai TCP. TCP on oletusasetus, ja kannustamme asiakkaita käyttämään sitä. UDP:tä ei suositella, koska se ei takaa viestin perillemenoa.

TLS/SSL

Käytettävissä vain, jos määritetty protokolla on TCP. TLS/SSL varmistaa, että Syslog-viesti salataan siirrettäessä sitä Syslog-palvelimeen. Kehotamme asiakkaita valitsemaan tämän vaihtoehdon. Varmista, että Syslog-palvelin on määritetty kuuntelemaan TLS/SSL-viestejä.

IP/verkkotunnus

Määrittää asiakkaan määrittämän Syslog-palvelimen IP-osoitteen tai täydellisen toimialuenimen. Varmista sisäisten verkkojen asiantuntijoilta, että palomuuri- ja toimialueasetukset on määritetty oikein.

Portti

Määrittää niiden koneiden porttinumeron, joiden viestejä Syslog-palvelin kuuntelee. Sen on oltava numero väliltä 1–65535. Tyypillisiä arvoja ovat: 512 UDP:lle, 1235 tai 1468 TCP:lle ja 6514 suojatulle TCP:lle (esimerkiksi: TCP, jossa TLS/SSL käytössä)

Vakavuusaste

Määrittää Syslog-palvelimessa näkyvien viestien vakavuuden (tämä on subjektiivinen kenttä, ja voit asettaa sen haluamallesi tasolle). Vakavuusarvo ei muuta Syslogiin välitettäviä viestejä.

Laitos

Määrittää, minkä tyyppinen sovellus kirjaa viestin. Oletusarvo on sisäinen (tai Syslog). Tätä käytetään luokittelemaan viestit, kun Syslog-palvelin vastaanottaa ne.

Mukautettu tunnus

Jotkin lokien hallintapalvelut, kuten SumoLogic, saattavat tarvita järjestelmälokiviesteihin sisältyvän mukautetun tunnuksen, joka auttaa tunnistamaan, mihin viestien pitäisi mennä. Mukautettu tunnus tarjoaa lokinhallintapalvelusi.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Huomautus: Custom Token -kenttä on käytettävissä kaikissa SIEM- tai Syslog-vaihtoehdoissa, ei vain SumoLogicissa. Syslog-tietoihin voidaan kirjoittaa mitä tahansa tietoja mukautettuna tunnisteena.

Yhteyden testaaminen

Testaa IP-/toimialue-, portti- ja protokolla-asetukset valitsemalla Test Connection. Jos kelvolliset arvot on annettu, onnistumisen vahvistus tulee näkyviin.

Onnistuneen yhteyden banneri
Kuva 15: (Englanninkielinen) Onnistuneen yhteyden banneri

Syslog-palvelinkonsolissa näkyy seuraava Test Connection -sanoma:

Testiyhteyden viesti
Kuva 16: (Englanninkielinen) Testiyhteyden viesti

sl_file_upload

Tapahtuma, joka kertoo järjestelmänvalvojalle, kun tiedosto on ladattu pilvipalveluntarjoajalle.

Tapahtuman luova agentti voi olla yksi tai useampi seuraavista:

  • Mac
  • Windows
  • Android
  • IOS
Hyötykuorma  
Palveluntarjoaja Prosessi, joka suorittaa latauksen.
Tiedosto Tietoja ladattavasta tiedostosta ovat avaintunnus, polku, tiedostonimi ja koko.
Geometria Paikka, jossa tämä tapahtuma pidettiin.
Loggedinuser Käyttäjä, joka on kirjautunut laitteeseen.
Esimerkki:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Tapahtuma, jossa käyttäjä muuttaa kansiokäytäntöä kansionhallintakonsolin kautta.

Tapahtuman luova agentti voi olla yksi tai useampi seuraavista:

  • Mac
  • Windows
  • Android
  • IOS
Hyötykuorma  
Kansion polku Kansio, jossa suojaustasoa on muutettu
Kansion suojaus Suojaustason määrittävä merkkijono: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometria Paikka, jossa tämä tapahtuma pidettiin.
Loggedinuser Käyttäjä, joka on kirjautunut laitteeseen.
Esimerkki:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Tapahtuma, joka kertoo järjestelmänvalvojalle, kun pääsy pilvipalveluntarjoajaan on estetty.

Tapahtuman luova agentti voi olla yksi tai useampi seuraavista:

  • Mac
  • Windows
  • Android
  • IOS
Hyötykuorma  
osoite Prosessi, joka suorittaa latauksen.
Prosessi Tietoja ladattavasta tiedostosta ovat avaintunnus, polku, tiedostonimi ja koko.
Sovellus Prosessin tyyppi, joka yrittää käyttää estettyä pilvipalveluntarjoajaa. Sovellus, välityspalvelin tai selain
Nettoutus Tapahtuman tyyppi. (vain yksi arvo estetty)
Geometria Paikka, jossa tämä tapahtuma pidettiin.
Loggedinuser Käyttäjä, joka on kirjautunut laitteeseen.
Esimerkki:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Tapahtumat, jotka liittyvät Dell Data Guardian -suojattuihin sähköpostiviesteihin.

Tapahtuman luova agentti voi olla yksi tai useampi seuraavista:

  • Mac
  • Windows
  • Android
  • IOS
Hyötykuorma  
sähköpostiviestit Sähköpostiobjektien joukko
keyId Sähköpostin suojaamiseen käytetty avaintunnus.
Aihe Sähköpostin otsikkorivi
muotoon Sähköpostiosoitteet, joihin sähköpostiviesti lähetettiin.
Cc Sähköpostiosoitteet, joihin sähköpostiviesti kopioitiin.
Piilokopio Sähköpostiosoitteet, joihin sähköposti kopioitiin sokeasti.
Alk. Sähköpostin lähettäneen henkilön sähköpostiosoite.
liitteiden Sähköpostiviestiin lisättyjen liitteiden nimet
Toiminto "avattu", "luotu", "vastattu", "lähetetty"
Loggedinuser Käyttäjä, joka on kirjautunut laitteeseen.
Esimerkki:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Tapahtumat, jotka liittyvät Dell Data Guardian -suojattuihin Office-asiakirjoihin.

Tapahtuman luova agentti voi olla yksi tai useampi seuraavista:

  • Mac
  • Windows
  • Android
  • IOS
Hyötykuorma  
Tiedosto Sitä koskevat tiedostotiedot salattiin, purettiin tai poistettiin.
clientType Asennetun asiakkaan tyyppi. Ulkoinen tai sisäinen
Toiminto Luotu, käytetty, muokattu, suojaamaton, AttemptAccess
Liuska Uusi, avoin, päivitetty, pyyhkäisty, vesileimattu, BlockCopy, korjattu peukalointi,
havaittu peukalointi, suojaamaton, poistettu, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometria Paikka, jossa tämä tapahtuma pidettiin.
Alk. Sen tapahtuman aikaleima, kun se alkoi.
muotoon Sen tapahtuman aikaleima, kun tapahtuma päättyi.
Loggedinuser Käyttäjä, joka on kirjautunut laitteeseen.
Appinfo Tietoja sovelluksesta suojatun Office-asiakirjan avulla
Esimerkki:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Tapahtuma, joka tapahtuu, kun tietokone aiheuttaa tapahtuman.

Tapahtuman luova agentti voi olla yksi tai useampi seuraavista:

  • Mac
  • Windows
  • Android
  • IOS
Hyötykuorma  
Toiminto Mitä tietokone tekee esimerkkejä - Login, Logout, PrintScreenBlocked, ProcessBlocked
Geometria Paikka, jossa tämä tapahtuma pidettiin.
clientType Asennetun asiakkaan tyyppi. Ulkoinen tai sisäinen
Loggedinuser Käyttäjä, joka on kirjautunut laitteeseen.
processInfo Tietoa prosessista
Disposition Kuinka prosessi estettiin - lopetettu, estetty, ei mitään.
Nimi Prosessin nimi
Esimerkki:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition -tapahtumat, jotka määrittävät, milloin tiedosto salataan, puretaan tai poistetaan tuetusta pilvipalveluntarjoajasta.

Tapahtuman luova agentti voi olla yksi tai useampi seuraavista:

  • Mac
  • Windows
  • Android
  • IOS
Hyötykuorma  
Tiedosto Sitä koskevat tiedostotiedot salattiin, purettiin tai poistettiin.
clientType Asennetun asiakkaan tyyppi. Ulkoinen tai sisäinen
Toiminto Luotu, käytetty, muokattu, poistettu
Cloudname Pilvipalvelussa olevan tiedoston nimi voi poiketa yllä olevassa tiedostotunnisteessa
Xenaction Kuvaus siitä, mitä pääosasto pyrkii tekemään. Arvot - salaa, pura salaus, poistettu.
Geometria Paikka, jossa tämä tapahtuma pidettiin.
Loggedinuser Käyttäjä, joka on kirjautunut laitteeseen.
Esimerkki:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Additional Information

   

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124929
Article Type: How To
Last Modified: 30 Apr 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.