Manual för Syslog och SIEM för Dell Security Management Server

Summary: I den här artikeln beskrivs integreringsprocessen för säkerhetsinformation och händelsehantering.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Berörda produkter:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Vad är en SIEM-server eller -enhet (Security Information and Event Management)?

SIEM kan importera data och köra regler eller rapporter som baseras på data. Målet är att aggregera data från olika källor, identifiera avvikelser i data och vidta lämpliga åtgärder baserat på data.

Vilka alternativ måste jag skicka till ett SIEM- eller Syslog-program?

Dell Security Management Server och Dell Security Management Server Virtual erbjuder två olika sätt att använda data i ett SIEM- eller Syslog-program.

I 9.2-servern introducerades möjligheten att kommunicera med Advanced Threat Prevention-molnet, vilket gjorde det möjligt att konfigurera Advanced Threat Event-data som ska skickas till ett SIEM-program.

Om du vill konfigurera dessa data i Dell Security Management Server eller Dell Security Management Server Virtuals webbgränssnitt går du till Populations >Enterprise >Advanced Threats (den här fliken visas endast om Advanced Threat Prevention har aktiverats via Management Services Management-uppgiften). >>

På sidan Alternativ finns en kryssruta för Syslog/SIEM som gör att vi kan konfigurera vart data skickas. Dessa data kommer från Advanced Threat Prevention-servrarna som finns i Amazon Web Services.

Om Syslog-integreringen av Avancerat skydd inte kan leverera syslog-meddelanden till servern skickas ett e-postmeddelande till alla administratörer med en bekräftad e-postadress i organisationen, som varnar dem om syslogproblemet.

Om problemet är löst innan tidsperioden på 20 minuter har avslutats fortsätter syslog-meddelanden att levereras. Om problemet är löst efter 20-minutersperioden måste en administratör återaktivera syslog-meddelanden.

Här är ett exempel på en konfiguration av ett externt fullständigt kvalificerat domännamn (FQDN) på extsiem.domain.org via port 5514. Den här konfigurationen förutsätter att extsiem.domain.com har en extern DNS-post som matchar servern i miljön som kör SIEM- eller Syslog-programmet och att port 5514 har vidarebefordrats från miljöns gateway till SIEM- eller Syslog-målprogrammet.

Dell Data Security-konsol
Bild 1: (Endast på engelska) Dell Data Security-konsol

Händelser som kommer via den här funktionen varumärks eftersom de kommer från vår leverantör Cylance.

IP- och värdnamnsinformation för brandväggs- och åtkomständamål

SaaS för Advanced Threat Prevention har flera IP-adresser för varje region. Detta möjliggör expansion utan att avbryta någon syslog-tjänst. Tillåt alla IP-adresser som baseras på din region när du konfigurerar dina regler. Loggar från Cylance-källan från en av dessa IP-adresser och kan ändras slumpmässigt.

Obs! Dessa IP-adresser bör förbli statiska. Det är dock möjligt att Cylance kommer att uppdatera den här listan i framtiden. Ändringar meddelas via e-post till Cylance-konsoladministratörer. Det är nätverksadministratörens ansvar att uppdatera sina regler som svar på ändringar.

USA (my.cylance.com och my-vs2.cylance.com)

52.2.154.63
52.20.244.157 52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com och my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server och Dell Security Management Server Virtual introducerade möjligheten att skicka händelser som tas emot från agenter i 9.7. Detta inkluderar råa, ofiltrerade händelser från Dell Endpoint Security Suite Enterprise och händelser från Dell Secure Lifecycle och Dell Data Guardian.

Serverkonfiguration

Du kan konfigurera Security Management Server för att skicka agenthändelsedata inom Management>Services Management >Event Management. Dessa data kan exporteras till en lokal fil eller Syslog. Här finns två alternativ: Exportera till lokal fil och exportera till Syslog

Hantering av evenemang
Bild 2: (Endast på engelska) Hantering av evenemang

Exportera till lokal fil, uppdaterar audit-export.log-filen så att en universell vidarebefordrare använder den. Den här filens standardplats är C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Den här filen uppdateras varannan timme med data. Den här filen kan hämtas och användas av en speditör. Mer information om vidarebefordrare finns i det specifika Syslog- eller SIEM-program som du använder för att använda dessa data, eftersom vidarebefordrare skiljer sig åt beroende på program.

Exportera till lokal fil
Bild 3: (Endast på engelska) Exportera till lokal fil

Export till Syslog möjliggör direktanslutning till en intern SIEM- eller Syslog-server i miljön. Dessa loggar formateras i ett enkelt format som baseras på RFC-3164 i ett json-paket. Dessa data kommer från Dell Security Management Server och skickas direkt till SIEM- eller Syslog-servern. Dessa data samlas in och skickas varannan timme med hjälp av ett jobb.

Exportera till Syslog
Bild 4: (Endast på engelska) Exportera till Syslog

De Dell Endpoint Security Suite Enterprise-händelsedata som skickas via visas ovan. Vanligtvis skickar SaaS dessa data, vilket gör att Dell Security Management Server kan samla in dessa data från agenterna när de checkar in med lager och vidarebefordra dem till det konfigurerade SIEM- eller Syslog-programmet.

Agenthändelsedata innehåller både tidigare nämnda Dell Endpoint Security Suite Enterprise-händelsedata och Dell Secure Lifecycle- och Dell Data Guardian-data. Dessa data kommer även i händelser.

Programkontroll

Det här alternativet är endast synligt för användare som har funktionen Programkontroll aktiverad. Programkontrollhändelser representerar åtgärder som inträffar när enheten är i programkontrollläge. Om du väljer det här alternativet skickas ett meddelande till Syslog-servern när ett försök görs att ändra, kopiera en körbar fil eller när ett försök görs att köra en fil från en enhet eller nätverksplats.

Exempelmeddelande för att neka ändring av PE-fil
Bild 5: (Endast på engelska) Exempelmeddelande för att neka ändring av PE-fil

Exempelmeddelande för att neka körning från extern enhet
Bild 6: (Endast på engelska) Exempelmeddelande för att neka körning från en extern enhet

Granskningslogg

Om du väljer det här alternativet skickas granskningsloggen för användaråtgärder som utförs i SaaS till Syslog-servern. Granskningslogghändelser visas på skärmen Granskningslogg även när det här alternativet är avmarkerat.

Exempelmeddelande för granskningslogg som vidarebefordras till Syslog
Bild 7: (Endast på engelska) Exempelmeddelande för granskningslogg som vidarebefordras till Syslog

Enheter

Om du väljer det här alternativet skickas enhetshändelser till Syslog-servern.

  • När en ny enhet registreras får du två meddelanden för den här händelsen: Registrering och systemsäkerhet
Obs! SystemSecurity-meddelanden genereras också när en användare loggar in på en enhet. Detta meddelande kan visas vid olika tillfällen, inte bara under registreringen.

Exempelmeddelande för enhetsregistrerad händelse
Bild 8: (Endast på engelska) Exempelmeddelande för enhetsregistrerad händelse

  • När en enhet tas bort

Exempelmeddelande för händelse som tagits bort av enhet
Bild 9: (Endast på engelska) Exempelmeddelande för händelse som tagits bort av enhet

  • När en enhets princip, zon, namn eller loggningsnivå har ändrats.

Exempelmeddelande för enhetsuppdateringshändelse
Bild 10: (Endast på engelska) Exempelmeddelande för enhetsuppdateringshändelse

Minnesskydd

Om du väljer det här alternativet loggas alla försök till minnesexploatering som kan betraktas som en attack från någon av klientorganisationens enheter till Syslog-servern. Det finns fyra typer av minnesutnyttjande:

  • Ingen: Tillåts eftersom ingen princip har definierats för den här överträdelsen.
  • Tillåtet: Tillåtet enligt principen
  • Blockerade: Blockerad från att köras av princip
  • Avslutas: Processen har avslutats.

Exempelmeddelande för minnesskyddshändelse
Bild 11: (Endast på engelska) Exempelmeddelande för minnesskyddshändelse

Skriptkontroll

Om du väljer det här alternativet loggas alla nyligen hittade skript till Syslog-servern som Advanced Threat Protection fångar.

Syslog-skriptkontrollhändelser innehåller följande egenskaper:

  • Varning! Skriptet får köras. En skriptkontrollhändelse skickas till konsolen.
  • Blockera: Skriptet får inte köras. En skriptkontrollhändelse skickas till konsolen.

Rapporteringsfrekvens

Första gången en skriptkontrollhändelse upptäcks skickas ett meddelande med syslog med fullständig händelseinformation. Varje efterföljande händelse som anses vara en dubblett skickas inte med syslog under resten av dagen (baserat på SaaS:s servertid).

Om räknaren för en viss skriptkontrollhändelse är större än en, skickas en händelse med syslog med antalet dubbletthändelser som har inträffat den dagen. Om räknaren är lika med ett skickas inget ytterligare meddelande med syslog.

Följande logik används för att avgöra om en skriptkontrollhändelse är en dubblett:

  • Titta på viktig information: Enhet, hash, användarnamn, blockering och varning
  • För den första händelsen som tas emot under en dag anger du ett räknarvärde till 1. Det finns separata räknare för Blockera och Avisering.
  • Alla efterföljande händelser med samma nyckel ökar räknaren
  • Räknaren återställs varje kalenderdag, enligt SaaS:s servertid.
Obs! Om skript A körs på en enhet 1 kl. 23:59 den 2016-09-20 och sedan igen kl. 12:05 och 12:15 den 2016-09-21 blir resultatet följande:
  • Ett syslog-meddelande skickas 2016-09-20 för skriptkontrollhändelsen för den dagen.
  • Ett syslog-meddelande skickas 2016-09-21 för de två duplicerade skriptkontrollhändelserna för den dagen.
Obs! Endast ett syslog-meddelande skickas 2016-09-21 eftersom händelserna är dubbletter av händelsen som inträffade 2016-09-20.

Exempel på meddelande om skriptkontroll
Bild 12: (Endast på engelska) Exempel på meddelande om skriptkontroll

Hot

Om du väljer det här alternativet loggas alla nyligen upptäckta hot, eller ändringar som observerats för befintliga hot, till Syslog-servern. Ändringar omfattar att ett hot tas bort, sätts i karantän, avstås från eller körs.

Det finns fem typer av hothändelser:

  • threat_found: Ett nytt hot har hittats med statusen Farlig.
  • threat_removed: Ett befintligt hot har tagits bort.
  • threat_quarantined: Ett nytt hot har hittats i karantänstatusen.
  • threat_waived: Ett nytt hot har hittats i statusen Undantagen.
  • threat_changed: Beteendet för ett befintligt hot har ändrats (exempel: Poäng, karantänstatus, körningsstatus)

Det finns sex typer av hotklassificering:

  • Filen är inte tillgänglig: På grund av en uppladdningsbegränsning (till exempel om filen är för stor för att laddas upp) är filen inte tillgänglig för analys.
  • Malware: Filen klassificeras som skadlig kod.
  • Möjligt PUP: Filen kan vara ett potentiellt oönskat program (PUP).
  • PUP: Filen anses vara ett potentiellt oönskat program (PUP).
  • Betrodda: Filen anses vara betrodd.
  • Oklassificerade: ATP har inte analyserat den här filen.

Exempelmeddelande om hothändelse
Bild 13: (Endast på engelska) Exempelmeddelande om hothändelse

Hotklassificeringar

Varje dag klassificerar Dells avancerade hotskydd hundratals hot som antingen skadliga program eller potentiellt oönskade program (PUP).

Genom att välja det här alternativet får du ett meddelande när dessa händelser inträffar.

Exempelmeddelande för hotklassificering
Bild 14: (Endast på engelska) Exempelmeddelande för hotklassificering

SIEM (Security Information and Event Management)

Anger vilken typ av Syslog-server eller SIEM som händelser ska skickas till.

Protokoll

Detta måste stämma överens med vad du har konfigurerat på Syslog-servern. Alternativen är UDP eller TCP. TCP är standard och vi uppmuntrar våra kunder att använda det. UDP rekommenderas inte eftersom det inte garanterar meddelandeleverans.

TLS/SSL

Endast tillgängligt om det angivna protokollet är TCP. TLS/SSL säkerställer att Syslog-meddelandet krypteras under överföringen till Syslog-servern. Vi uppmuntrar kunder att välja det här alternativet. Kontrollera att Syslog-servern är konfigurerad för att lyssna efter TLS/SSL-meddelanden.

IP/Domän

Anger IP-adressen eller det fullständigt kvalificerade domännamnet för den Syslog-server som kunden har konfigurerat. Rådgör med dina interna nätverksexperter för att säkerställa att brandväggs- och domäninställningarna är korrekt konfigurerade.

Port

Anger portnumret på de datorer som Syslog-servern lyssnar efter meddelanden. Det måste vara ett tal mellan 1 och 65535. Typiska värden är: 512 för UDP, 1235 eller 1468 för TCP och 6514 för säker TCP (till exempel: TCP med TLS/SSL aktiverat)

Allvarlighetsgrad

Anger allvarlighetsgraden för de meddelanden som ska visas på Syslog-servern (detta är ett subjektivt fält och du kan ställa in det på vilken nivå du vill). Allvarlighetsgradens värde ändrar inte de meddelanden som vidarebefordras till Syslog.

Anläggning

Anger vilken typ av program som loggar meddelandet. Standardvärdet är Internt (eller Syslog). Detta används för att kategorisera meddelandena när Syslog-servern tar emot dem.

Anpassad token

Vissa logghanteringstjänster, till exempel SumoLogic, kan behöva en anpassad token som ingår i syslog-meddelanden för att identifiera vart dessa meddelanden ska gå. Den anpassade token tillhandahåller din logghanteringstjänst.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Obs! Fältet Anpassad token är tillgängligt med alla SIEM- eller Syslog-alternativ, inte bara SumoLogic. Det går att skriva in vilken information som helst som en anpassad tagg till syslog-informationen.

Testa anslutningen

Klicka på Testa anslutning för att testa inställningarna för IP/domän, port och protokoll. Om giltiga värden anges visas en bekräftelse om att det lyckades.

Banderoll för lyckad anslutning
Bild 15: (Endast på engelska) Banderoll för lyckad anslutning

På Syslog-serverkonsolen får du följande meddelande om testanslutning:

Testa anslutningsmeddelande
Bild 16: (Endast på engelska) Testa anslutningsmeddelande

sl_file_upload

Händelse som talar om för en administratör när en fil har laddats upp till en molnleverantör.

Agenten som genererar händelsen kan vara en eller flera av följande:

  • Mac
  • Windows
  • Android
  • IOS
Nyttolast  
Leverantör Process som gör uppladdningen.
Filen Information om filen som laddas upp inkluderar, keyid, sökväg, filnamn och storlek.
Geometri Platsen där händelsen ägde rum.
Loggedinuser Användare som är inloggade på enheten.
Exempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Händelse som inträffar när en användare ändrar mappprincipen via mapphanteringskonsolen.

Agenten som genererar händelsen kan vara en eller flera av följande:

  • Mac
  • Windows
  • Android
  • IOS
Nyttolast  
Mappsökväg Mapp där skyddsnivån har ändrats
Mappskydd En sträng som definierar en skyddsnivå: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometri Platsen där händelsen ägde rum.
Loggedinuser Användare som är inloggade på enheten.
Exempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Händelse som talar om för en administratör när åtkomst till en molnleverantör har blockerats.

Agenten som genererar händelsen kan vara en eller flera av följande:

  • Mac
  • Windows
  • Android
  • IOS
Nyttolast  
Adress Process som gör uppladdningen.
Process Information om filen som laddas upp inkluderar, keyid, sökväg, filnamn och storlek.
Indicator Typ av process som försöker få åtkomst till en blockerad molnleverantör. App, proxy eller webbläsare
Nätaktion Typ av åtgärd som pågår. (endast ett värde Blockerat)
Geometri Platsen där händelsen ägde rum.
Loggedinuser Användare som är inloggade på enheten.
Exempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Händelser som rör åtgärder som är associerade med Dell Data Guardian-skyddade e-postmeddelanden.

Agenten som genererar händelsen kan vara en eller flera av följande:

  • Mac
  • Windows
  • Android
  • IOS
Nyttolast  
Mejl Matris med e-postobjekt
keyId Nyckel-ID som används för att skydda e-postmeddelandet.
Ämne Ämnesrad från e-post
Till E-postadresser som e-postmeddelandet skickades till.
Cc E-postadresser som e-postmeddelandet kopierades till.
Bcc E-postadresser som e-postmeddelandet blindkopierades till.
Från E-postadressen till den person som skickade e-postmeddelandet.
Bilagor Namn på bifogade filer som har lagts till i e-postmeddelandet
Åtgärd "Öppnat", "Skapat", "Svarat", "Skickat"
Loggedinuser Användare som är inloggade på enheten.
Exempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Händelser som rör åtgärder som är associerade med Dell Data Guardian-skyddade Office-dokument.

Agenten som genererar händelsen kan vara en eller flera av följande:

  • Mac
  • Windows
  • Android
  • IOS
Nyttolast  
Filen Filinformation om som har krypterats, dekrypterats eller tagits bort.
clientType Klienttyp som har installerats. Externt eller internt
Åtgärd Skapad, nådd, ändrad, oskyddad, AttemptAccess
Slaktion Nytt, Öppna, Uppdaterad, Svept, Vattenstämplad, BlockCopy, RepairedTampering,
DetectedTampering, Oskyddad, Borttagen, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometri Platsen där händelsen ägde rum.
Från Tidsstämpel för sammanfattningshändelsen när den började.
Till Tidsstämpel för sammanfattningshändelse när händelsen avslutades.
Loggedinuser Användare som är inloggade på enheten.
Appinfo Information om programmet med hjälp av det skyddade Office-dokumentet
Exempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Händelse som inträffar när datorn utfärdar en händelse.

Agenten som genererar händelsen kan vara en eller flera av följande:

  • Mac
  • Windows
  • Android
  • IOS
Nyttolast  
Åtgärd Exempel på vad datorn gör - Logga in, Logga ut, PrintScreenBlocked, ProcessBlocked
Geometri Platsen där händelsen ägde rum.
clientType Klienttyp som har installerats. Externt eller internt
Loggedinuser Användare som loggade in på enheten.
processInfo Information om processen
Disposition Hur processen blockerades – Avslutad, Blockerad, Ingen.
Namn Processens namn
Exempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition Händelser som anger när en fil krypteras, dekrypteras eller tas bort från en molnleverantör som stöds.

Agenten som genererar händelsen kan vara en eller flera av följande:

  • Mac
  • Windows
  • Android
  • IOS
Nyttolast  
Filen Filinformation om som har krypterats, dekrypterats eller tagits bort.
clientType Klienttyp som har installerats. Externt eller internt
Åtgärd Skapad, nådd, ändrad, borttagen
Molnnamn Namnet på filen i molnet kanske skiljer sig från det i filtaggen ovan
Xenaction Beskrivning av vad generaldirektoratets avdelning försöker göra. Värden – kryptera, dekryptera, borttagna.
Geometri Platsen där händelsen ägde rum.
Loggedinuser Användare som är inloggade på enheten.
Exempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Additional Information

   

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124929
Article Type: How To
Last Modified: 30 Apr 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.