Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

Příručka pro Dell Security Management Server Syslog a SIEM

Summary: Tento článek popisuje proces integrace systému Security Information and Event Management.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Dotčené produkty:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Co je server nebo zařízení SIEM (Security Information and Event Management)?

SIEM může importovat data a spouštět pravidla nebo sestavy, které jsou založené na datech. Cílem je agregovat data z různých zdrojů, identifikovat anomálie v datech a na základě dat přijmout vhodná opatření.

Jaké jsou možnosti odesílání do aplikace SIEM nebo Syslog?

Nástroje Dell Security Management Server a Dell Security Management Server Virtual nabízejí dva různé způsoby přenosu dat do aplikace SIEM nebo Syslog.

Na serveru 9.2 byla zavedena možnost komunikace s cloudem Advanced Threat Prevention, která umožnila konfigurovat data Advanced Threat Event pro odesílání do aplikace SIEM.

Chcete-li tato data nakonfigurovat ve webovém uživatelském rozhraní nástroje Dell Security Management Server nebo Dell Security Management Server Virtual, přejděte do části Populations >>Enterprise Advanced Threats (tato karta je viditelná pouze v případě, že byla > prostřednictvím úlohy Management Services Management Management povolena služba Advanced Threat Prevention). >

Stránka Možnosti obsahuje zaškrtávací políčko pro Syslog/SIEM , které umožňuje nakonfigurovat, kam se mají data odesílat. Tato data pocházejí ze serverů Advanced Threat Prevention hostovaných ve službě Amazon Web Services.

Pokud integrace Syslog funkce Advanced Threat Prevention nemůže úspěšně doručit zprávy syslog na váš server, zašle se e-mailové oznámení všem správcům s potvrzenou e-mailovou adresou v organizaci a upozorní je na problém syslog.

Pokud je problém vyřešen před uplynutím 20minutového časového období, jsou zprávy syslog doručovány i nadále. Pokud je problém vyřešen po uplynutí 20minutového časového období, musí správce znovu povolit zprávy syslog.

Tady je příklad konfigurace externího plně kvalifikovaného názvu domény (FQDN) extsiem.domain.org přes port 5514. Tato konfigurace předpokládá, že extsiem.domain.com má externí položku DNS, která překládá na server v prostředí s aplikací SIEM nebo Syslog, a port 5514 byl přesměrován z brány prostředí do cílové aplikace SIEM nebo Syslog.

Konzole Dell Data Security
Obrázek 1: (Pouze v angličtině) Konzole Dell Data Security

Události přicházející přes tuto funkci jsou označené jako příchozí od našeho dodavatele, společnosti Cylance.

Informace o IP adrese a názvu hostitele pro účely firewallu a přístupu

Služba SaaS pro Advanced Threat Prevention má pro každou oblast několik IP adres. To umožňuje rozšíření bez přerušení služby syslog. Při konfiguraci pravidel povolte všechny IP adresy, které jsou založené na vaší oblasti. Protokoly od společnosti Cylance přichází z jednoho z těchto IP adres a mohou se náhodně měnit.

Poznámka: Tyto IP adresy by měly zůstat statické. je však možné, že Cylance tento seznam v budoucnu aktualizuje. Změny se oznamují prostřednictvím e-mailu správcům konzole Cylance. Je odpovědností správce sítě aktualizovat svá pravidla v reakci na změny.

US (my.cylance.com a my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com a my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Nástroje Dell Security Management Server a Dell Security Management Server Virtual představily možnost odesílat události přijaté od agentů ve verzi 9.7. To zahrnuje nezpracované, nefiltrované události ze sady Dell Endpoint Security Suite Enterprise a události z nástrojů Dell Secure Lifecycle a Dell Data Guardian.

Server Configuration

Server Security Management Server můžete nakonfigurovat tak, aby odesílal data událostí agenta v rámci správy služeb správy>> Event Management. Tato data lze exportovat do místního souboru nebo do protokolu Syslog. K dispozici jsou dvě možnosti: Export do místního souboru a export do syslogu

Organizace akcí
Obrázek 2: (Pouze v angličtině) Events Management

Exportovat do místního souboru, aktualizuje soubor audit-export.log, takže jej využívá server pro univerzální předávání. Výchozí umístění tohoto souboru je C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Tento soubor se aktualizuje každé dvě hodiny pomocí dat. Tento soubor může být vyzvednut a využit serverem pro předávání. Další informace o serverech pro předávání naleznete v konkrétní aplikaci Syslog nebo SIEM, kterou používáte pro tato data, protože servery pro předávání se liší podle aplikace.

Export do místního souboru
Obrázek 3: (Pouze v angličtině) Export to local file

Export do syslogu umožňuje přímé připojení k internímu serveru SIEM nebo Syslog v rámci prostředí. Tyto protokoly jsou formátovány v jednoduchém formátu, který je založen na RFC-3164 v sadě JSON. Tato data pocházejí z nástroje Dell Security Management Server a odesílají se přímo na server SIEM nebo Syslog. Tato data se shromažďují a odesílají každé dvě hodiny pomocí úlohy.

Export do syslogu
Obrázek 4: (Pouze v angličtině) Export to Syslog

Data událostí odesílaná sadou Dell Endpoint Security Suite Enterprise jsou uvedena výše. Tato data obvykle odesílá software SaaS, což nástroji Dell Security Management Server umožňuje shromažďovat tato data od agentů při přihlášení k inventáři a předávat je do nakonfigurované aplikace SIEM nebo Syslog.

Data událostí agenta obsahují výše uvedená data událostí sady Dell Endpoint Security Suite Enterprise a data nástroje Dell Secure Lifecycle a Dell Data Guardian. Tato data jsou také v událostech.

Application Control

Tato možnost je viditelná pouze pro uživatele, kteří mají povolenou funkci Application Control. Události Application Control představují akce, ke kterým dochází, když je zařízení v režimu Application Control. Vyberete-li tuto možnost, odešle se na server Syslog zpráva vždy, když dojde k pokusu o úpravu, zkopírování spustitelného souboru nebo pokusu o spuštění souboru ze zařízení nebo síťového umístění.

Příklad zprávy pro zamítnutí změny souboru PE
Obrázek 5: (Pouze v angličtině) Příklad zprávy pro zamítnutí změny souboru PE

Příklad zprávy pro zamítnutí spuštění z externí jednotky
Obrázek 6: (Pouze v angličtině) Příklad zprávy pro zamítnutí spuštění z externí jednotky

Audit Log

Při výběru této možnosti se odešle protokol auditu uživatelských akcí provedených ve službě SaaS na server Syslog. Události protokolu auditu se zobrazují na obrazovce Audit Log, i když tato možnost není vybrána.

Příklad zprávy pro protokol auditu předávaný do protokolu Syslog
Obrázek 7: (Pouze v angličtině) Příklad zprávy pro přeposílání protokolu auditu do aplikace Syslog

zařízení,

Výběrem této možnosti se události zařízení odešlou na server Syslog.

  • Při registraci nového zařízení obdržíte dvě zprávy pro tuto událost: RegistrationSystemSecurity
Poznámka: Zprávy SystemSecurity se rovněž generují, když se uživatel přihlásí k zařízení. Tato zpráva se může objevit v různých časech, nejen během registrace.

Příklad zprávy pro událost zaregistrovanou v zařízení
Obrázek 8: (Pouze v angličtině) Příklad zprávy pro událost registrace zařízení

  • Po odebrání zařízení.

Příklad zprávy pro událost
Obrázek 9: (Pouze v angličtině) Příklad zprávy pro událost odebrání zařízení

  • Když se změní zásada, zóna, název nebo úroveň protokolování zařízení.

Příklad zprávy pro událost aktualizace zařízení
Obrázek 10: (Pouze v angličtině) Příklad zprávy pro událost aktualizace zařízení

Memory Protection

Výběrem této možnosti se zaprotokolují všechny pokusy o zneužití paměti, které by mohly být považovány za útok z některé zařízení nájemce nebo na server Syslog. Existují čtyři typy akcí zneužití paměti:

  • None: Povoleno, protože pro toto porušení nebyla definována žádná zásada.
  • Allowed: Povoleno zásadou.
  • Blokované: Spuštění zablokováno zásadou.
  • Terminated: Proces byl ukončen.

Příklad zprávy o události ochrany paměti
Obrázek 11: (Pouze v angličtině) Příklad zprávy pro událost ochrany paměti

Script Control

Výběr této možnosti zaprotokoluje všechny nově nalezené skripty na server Syslog, které software Advanced Threat Prevention vychytá.

Události Syslog Script Control obsahují následující vlastnosti:

  • Alert: Spuštění skriptu je povoleno. Do konzole se odešle událost řízení skriptu.
  • Block: Spuštění skriptu je zakázáno. Do konzole se odešle událost řízení skriptu.

Frekvence reportingu

Při prvním zjištění události Script Control se odešle zpráva pomocí syslog s kompletními informacemi o události. Každá další událost, která je považována za duplicitní, nebude po zbytek dne odeslána pomocí syslogu (na základě času serveru SaaS).

Pokud je počítadlo pro konkrétní událost Script Control větší než jedna, odešle se událost pomocí syslog s počtem všech duplicitních událostí, které byly tento den zaznamenány. Pokud je počítadlo jedna, není pomocí syslog odeslána žádná další zpráva.

Určení, zda je událost Script Control duplicitní, používá následující logiku:

  • Podívejte se na klíčové informace: Device, Hash, Username, Block a Alert.
  • Pro první přijatou událost dne nastavte hodnotu počítadla na 1. Pro Block a Alert jsou k dispozici samostatná počítadla.
  • Všechny následující události se stejným klíčem zvyšují počítadlo.
  • Počítadlo se vynuluje každý kalendářní den podle času serveru SaaS.
Poznámka: Pokud se skript A spustí na zařízení 1 20. 9. 2016 ve 23:59 a poté znovu 21. 9. 2016 v 0:05 a 0:15, následuje výsledek:
  • Dne 20. 9. 2016 se odešle jedna zpráva syslog pro událost správy skriptů pro daný den.
  • Jedna zpráva syslog je odeslána 21. 9. 2016 pro dvě duplicitní události Script Control pro daný den.
Poznámka: 21. 9. 2016 se odešle pouze jedna zpráva syslog, protože události jsou duplikáty události, ke které došlo 20. 9. 2016.

Příklad zprávy správy skriptů
Obrázek 12: (Pouze v angličtině) Příklad zprávy Script Control

Threats

Výběrem této možnosti se všechny nově nalezené hrozby nebo změny zjištěné u jakékoli stávající hrozby zaprotokolují na server Syslog. Mezi změny patří odstranění hrozby, umístění do karantény, vypuštění nebo spuštění.

Existuje pět typů událostí hrozeb:

  • threat_found: Byla nalezena nová hrozba ve stavu Unsafe.
  • threat_removed: Stávající hrozba byla odstraněna.
  • threat_quarantined: Byla nalezena nová hrozba ve stavu Quarantine.
  • threat_waived: Byla nalezena nová hrozba ve stavu Waived.
  • threat_changed: Chování hrozby bylo změněno (příklady: Skóre, stav karantény, stav běhu)

Existuje šest typů klasifikace hrozeb:

  • File Unavailable: Z důvodu omezení nahrávání (například soubor je příliš velký na to, aby se dal nahrát) není soubor k dispozici pro analýzu.
  • Malware: Soubor je klasifikován jako malware.
  • Possible PUP: Soubor může být potenciálně nežádoucím programem (PUP).
  • PUP: Soubor je považován za potenciálně nežádoucí program (PUP).
  • Trusted: Soubor je považován za důvěryhodný.
  • Unclassified: ATP tento soubor neanalyzovalo.

Příklad zprávy o události hrozby
Obrázek 13: (Pouze v angličtině) Příklad zprávy o události hrozby

Threat Classifications

Služba Advanced Threat Prevention společnosti Dell každý den klasifikuje stovky hrozeb jako malware nebo potenciálně nežádoucí programy (PUP).

Výběrem této možnosti budete upozorněni na výskyt těchto událostí.

Příklad zprávy o klasifikaci hrozeb
Obrázek 14: (Pouze v angličtině) Příklad zprávy o klasifikaci hrozby

Security Information and Event Management (SIEM)

Určuje typ serveru Syslog nebo SIEM, kam mají být události odeslány.

Protokol

Musí odpovídat nastavení nakonfigurovému na serveru Syslog. Možnosti jsou UDP nebo TCP. Výchozí nastavení je TCP a doporučujeme zákazníkům, aby jej používali. Protokol UDP se nedoporučuje, jelikož nezaručuje doručení zpráv.

TLS/SSL

K dispozici pouze při výběru protokolu TCP. Protokol TLS/SSL zajišťuje šifrování zprávy Syslog při přenosu na server Syslog. Zákazníkům doporučujeme vybrat tuto možnost. Ujistěte se, že server Syslog je nakonfigurován tak, aby poslouchal zprávy TLS/SSL.

IP/Domain

Určuje IP adresu nebo plně kvalifikovaný název domény serveru Syslog, který zákazník nastavil. Poraďte se s interními odborníky na síť, abyste se ujistili, že nastavení firewallu a domény jsou správně nakonfigurována.

Port

Určuje číslo portu na počítačích, na kterých server Syslog poslouchá zprávy. Musí se jednat o číslo mezi 1 a 65535. Typické hodnoty jsou: 512 pro UDP, 1235 nebo 1468 pro TCP a 6514 pro zabezpečené TCP (například: TCP s povoleným protokolem TLS/SSL)

Závažnost

Určuje závažnost zpráv, které se mají zobrazovat na serveru Syslog (toto pole je subjektivní a můžete jej nastavit na libovolnou úroveň). Hodnota závažnosti nemění zprávy přeposílané do aplikace Syslog.

Facility

Určuje, jaký typ aplikace protokoluje zprávu. Výchozí hodnota je Internal (nebo Syslog). Slouží ke kategorizaci zpráv, když je server Syslog obdrží.

Custom Token

Některé služby správy protokolů, například SumoLogic, mohou vyžadovat vlastní token, který je součástí zpráv syslog, aby bylo možné zjistit, kam se tyto zprávy mají zařadit. Vlastní token poskytuje službu správy protokolů.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Poznámka: Pole Vlastní token je k dispozici u všech možností SIEM nebo Syslog, nejen u SumoLogic. Do informací syslog je možné zadat jakékoli informace jako vlastní štítek.

Testování připojení

Kliknutím na tlačítko Test Connection otestujete nastavení možností IP/Domain, Port a Protocol. Pokud jsou zadány platné hodnoty, zobrazí se potvrzení o úspěšném provedení.

Banner pro úspěšné připojení
Obrázek 15: (Pouze v angličtině) Banner úspěšného připojení

V konzoli serveru Syslog se zobrazí následující zpráva o testu připojení:

Zpráva Test connection
Obrázek 16: (Pouze v angličtině) Zpráva o testu připojení

sl_file_upload

Událost, která informuje správce, když byl soubor odeslán poskytovateli cloudu.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

  • Mac
  • Windows
  • Android
  • iOS
Datová část  
Poskytovatel Proces, který provádí nahrávání.
Soubor Informace o nahrávaném souboru zahrnují keyid, cestu, název souboru a velikost.
Geometrie Místo, kde se tato událost odehrála.
Loggedinuser Uživatel přihlášený k zařízení.
Příklad:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Událost, ke které dojde, když uživatel změní zásadu složky prostřednictvím konzole pro správu složek.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

  • Mac
  • Windows
  • Android
  • iOS
Datová část  
Folderpath Složka, ve které byla změněna úroveň ochrany.
Ochrana složek Řetězec, který definuje úroveň ochrany: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometrie Místo, kde se tato událost odehrála.
Loggedinuser Uživatel přihlášený k zařízení.
Příklad:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Událost, která informuje správce, že byl zablokován přístup k poskytovateli cloudu.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

  • Mac
  • Windows
  • Android
  • iOS
Datová část  
Adresa Proces, který provádí nahrávání.
Proces Informace o nahrávaném souboru zahrnují keyid, cestu, název souboru a velikost.
Aplikace Typ procesu, který se pokouší získat přístup k zablokovanému poskytovateli cloudu. App, Proxy nebo Browser
Čistá akce Typ probíhající akce. (pouze hodnota Blocked)
Geometrie Místo, kde se tato událost odehrála.
Loggedinuser Uživatel přihlášený k zařízení.
Příklad:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Události, které se týkají akcí souvisejících s e-mailovými zprávami chráněnými softwarem Dell Data Guardian.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

  • Mac
  • Windows
  • Android
  • iOS
Datová část  
Email messages Pole objektů e-mailů.
keyId ID klíče použitého k ochraně e-mailu.
Předmět Předmět e-mailu.
na E-mailové adresy, na které byl e-mail odeslán.
cc E-mailové adresy, na které byl e-mail zkopírován.
Skrytá E-mailové adresy, na které byl e-mail skrytě zkopírován.
Z E-mailová adresa osoby, která e-mail odeslala.
Přílohy Názvy příloh přidaných do e-mailu.
Akce "Otevřeno", "Vytvořeno", "Zodpovězeno", "Odesláno"
Loggedinuser Uživatel přihlášený k zařízení.
Příklad:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Události, které se týkají akcí souvisejících s dokumenty sady Office chráněnými softwarem Dell Data Guardian.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

  • Mac
  • Windows
  • Android
  • iOS
Datová část  
Soubor Informace o souboru, který byl šifrován, dešifrován nebo odstraněn.
clientType Typ klienta, který byl nainstalován. Externí nebo interní.
Akce Created, Accessed, Modified, Unprotected, AttemptAccess
Slaction New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering,
DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometrie Místo, kde se tato událost odehrála.
Z Časové razítko pro souhrnnou událost, když začala.
na Časové razítko souhrnné události, kdy událost skončila.
Loggedinuser Uživatel přihlášený k zařízení.
Informace o aplikaci Informace o aplikaci používající chráněný dokument sady Office.
Příklad:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Událost, ke které dojde, když počítač vydá událost.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

  • Mac
  • Windows
  • Android
  • iOS
Datová část  
Akce Příklady toho, co počítač dělá – přihlášení, odhlášení, tisk obrazovky, zablokování procesu
Geometrie Místo, kde se tato událost odehrála.
clientType Typ klienta, který byl nainstalován. Externí nebo interní
Loggedinuser Uživatel, který se přihlásil k zařízení.
processInfo Informace o procesu
Dispozice Jak byl proces zablokován – Ukončeno, Blokováno, Žádné.
Název Název procesu.
Příklad:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition Události, které určují, kdy má být soubor zašifrován, dešifrován nebo odstraněn z podporovaného poskytovatele cloudu.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

  • Mac
  • Windows
  • Android
  • iOS
Datová část  
Soubor Informace o souboru, který byl šifrován, dešifrován nebo odstraněn.
clientType Typ klienta, který byl nainstalován. Externí nebo interní.
Akce Created, Accessed, Modified, Deleted
Název mraku Název souboru v cloudu se může lišit od názvu ve výše uvedeném tagu souboru.
Xenakce Popis toho, co se služba DG snaží udělat. Hodnoty – Encrypt, Decrypt, Deleted.
Geometrie Místo, kde se tato událost odehrála.
Loggedinuser Uživatel přihlášený k zařízení.
Příklad:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Additional Information

   

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124929
Article Type: How To
Last Modified: 30 Apr 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.