SIEM может импортировать данные и запускать основанные на них правила или отчеты. Цель состоит в том, чтобы агрегировать данные из различных источников, выявить аномалии в данных и принять соответствующие меры на основе этих данных.
Dell Security Management Server и Dell Security Management Server Virtual предлагают два разных способа использования данных в приложениях SIEM или Syslog.
На сервере 9.2 была реализована возможность связи с облаком Advanced Threat Prevention, что позволило настроить отправку данных об угрозах повышенной сложности в приложение SIEM.
Чтобы настроить эти данные в веб-интерфейсе Dell Security Management Server или Dell Security Management Server Virtual, перейдите в раздел Populations>Enterprise >Advanced Threats (эта вкладка отображается, только если Advanced Threat Prevention включена с помощью > задачи «Management Services Management»). >
На странице «Options» имеется флажок Syslog/SIEM , который позволяет настроить, куда должны отправляться данные. Эти данные поступают с серверов Advanced Threat Prevention, размещенных в сервисе Amazon Web Services.
Если интеграция Advanced Threat Prevention Syslog Integration не может успешно доставить сообщения системного журнала на сервер, всем администраторам с подтвержденным адресом электронной почты в организации отправляется уведомление о проблеме с системными журналами.
Если проблема устранена до окончания 20-минутного периода, отправка сообщений системного журнала будет продолжена. Если проблема устранена после завершения 20-минутного периода времени, администратору потребуется повторно включить отправку сообщений системного журнала.
Ниже приведен пример конфигурации внешнего полного доменного имени (FQDN) extsiem.domain.org через порт 5514. Такая конфигурация предполагает, что у extsiem.domain.com есть внешняя запись DNS, которая взаимодействует с сервером в среде, где запущено приложение SIEM или Syslog, а порт 5514 перенаправлен из шлюза среды в приложение SIEM или Syslog назначения.
Рис. 1. Dell Data Security Console (только на английском языке)
События, полученные в рамках использования этой функции, имеют фирменное оформление, поскольку поступают от нашего поставщика, Cylance.
ПО как услуга (SaaS) для Advanced Threat Prevention имеет несколько IP-адресов для каждого региона. Это позволяет выполнять расширение, не прерывая работу каких-либо сервисов syslog. Разрешите все IP-адреса на основе вашего региона при настройке правил. Журналы от Cylance поступают с одного из этих IP-адресов и могут изменяться случайным образом.
52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49
52.63.15.218
52.65.4.232
52.28.219.170
52.29.102.181
52.29.213.11
Dell Security Management Server и Dell Security Management Server Virtual предоставляют возможность отправлять события, полученные от операторов, в 9.7. К ним относятся необработанные неотфильтрованные события из Dell Endpoint Security Suite Enterprise, а также события из Dell Secure Lifecycle и Dell Data Guardian.
Сервер Security Management Server можно настроить для отправки данных событий агента в>разделе «Management Services Event >Management». Эти данные можно экспортировать в локальный файл или системный журнал. Доступны два варианта: Экспорт в локальный файл и экспорт в системный журнал
Рис. 2. Управление событиями (только на английском языке)
Экспорт в локальный файл обновляет файл audit-export.log таким образом, чтобы он использовался универсальным сервером пересылки. По умолчанию этот файл находится в следующей папке: C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.
Этот файл обновляется каждые два часа данными. Этот файл может быть обнаружен и использован сервером пересылки. Для получения дополнительной информации о серверах пересылки см. определенное приложение Syslog или SIEM, которое применяется для использования этих данных, поскольку серверы пересылки различаются в зависимости от приложения.
Рис. 3. Экспорт в локальный файл (только на английском языке)
Экспорт в Syslog обеспечивает прямое подключение к внутреннему серверу SIEM или Syslog в среде. Эти журналы имеют простой формат, основанный на RFC-3164 в пакете JSON. Эти данные поступают с сервера Dell Security Management Server и отправляются непосредственно на сервер SIEM или Syslog. Эти данные собираются и отправляются каждые два часа с помощью задания.
Рис. 4. Экспорт в системный журнал (только на английском языке)
Отправляемые данные о событиях Dell Endpoint Security Suite Enterprise перечислены выше. Как правило, SaaS отправляет эти данные, позволяя Dell Security Management Server собирать эти данные от агентов во время их регистрации с помощью инвентаризации и пересылать их в настроенное приложение SIEM или Syslog.
Данные о событиях агента содержат как ранее упомянутые данные о событиях Dell Endpoint Security Suite Enterprise, так и данные Dell Secure Lifecycle и Dell Data Guardian. Эти данные также включены в события.
Этот параметр доступен только пользователям, у которых включена функция «Application Control». События управления приложениями представляют собой действия, которые выполняются, когда устройство находится в режиме «Application Control». При выборе этого параметра на сервер Syslog отправляется сообщение при каждой попытке изменения, копирования исполняемого файла или запуска файла с устройства или сети.
Рис. 5. Пример сообщения об отклонении запроса на изменение переносимого исполняемого файла (PE) (только на английском языке)
Рис. 6. (Только на английском языке) Пример сообщения для deny execution с внешнего диска
При выборе этого параметра журнал аудита действий пользователя, выполняемых в ПО как услуга (SaaS), отправляется на сервер Syslog. События журнала аудита отображаются на экране «Audit Log», даже если этот параметр отключен.
Рис. 7. Пример сообщения для журнала аудита, перенаправляемого в Syslog (только на английском языке)
При выборе этого параметра события устройства отправляются на сервер Syslog.
Рис. 8. Пример сообщения для события регистрации устройства (только на английском языке)
Рис. 9. Пример сообщения для события удаления устройства (только на английском языке)
Рис. 10. Пример сообщения для события обновления устройства (только на английском языке)
При выборе этого параметра регистрируются все попытки использования памяти, которые могут рассматриваться как атака с любого из устройств пользователя на сервер Syslog. Существует четыре типа действий по использованию памяти.
Рис. 11. Пример сообщения о событии защиты памяти (только на английском языке)
При выборе этого параметра все вновь найденные сценарии, обнаруженные функцией Advanced Threat Prevention, записываются на сервер Syslog.
События управления сценариями Syslog содержат следующие свойства.
При первом обнаружении события управления сценариями отправляется сообщение системного журнала с полной информацией о событии. Последующие события, которые считаются дубликатами, не будут вызывать отправку сообщений системного журнала в течение текущего дня (в соответствии с временем сервера ПО как услуга (SaaS)).
Если счетчик определенного события управления сценариями регистрирует повторное событие, выполняется отправка системного журнала с указанием количества всех событий-дубликатов, которые были переданы в этот день. Если счетчик регистрирует одно событие, дополнительное сообщение системного журнала не отправляется.
Для определения того, является ли событие управления сценарием дубликатом, используется следующая логика.
Рис. 12. Пример сообщения управления сценариями (только на английском языке)
При выборе этого параметра на сервере Syslog регистрируются все обнаруженные угрозы или изменения, наблюдаемые в связи с существующей угрозой. К изменениям относятся удаление угрозы, помещение ее в карантин, отклонение или запуск.
Существует пять типов событий угроз.
Существует шесть типов классификации угроз.
Рис. 13. Пример сообщения о событии угрозы (только на английском языке)
Каждый день Dell Advanced Threat Prevention классифицирует сотни угроз как вредоносные или потенциально нежелательные программы (PUP).
При выборе этого параметра вы будете получать уведомления о возникновении этих событий.
Рис. 14. Пример сообщения о классификации угроз (только на английском языке)
Указывает тип сервера Syslog или SIEM, на который будут отправляться события.
Этот параметр должно совпадать с настройками сервера Syslog. Возможные варианты: UDP или TCP. TCP — это протокол по умолчанию, и мы рекомендуем клиентам использовать его. Протокол UDP не рекомендуется для использования, так как он не гарантирует доставку сообщений.
Доступно только в случае выбора протокола TCP. Протоколы TLS/SSL обеспечивают шифрование сообщений системного журнала при передаче на сервер Syslog. Мы рекомендуем клиентам выбирать этот параметр. Убедитесь, что сервер Syslog настроен на прослушивание сообщений TLS/SSL.
Указывает IP-адрес или полное доменное имя сервера Syslog, настроенного заказчиком. Проконсультируйтесь со специалистами по внутренним сетям, чтобы убедиться межсетевой экран и домен настроены правильно.
Указывает номер порта на компьютерах, который сервер Syslog использует для прослушивания сообщений. В качестве значения могут использоваться числа от 1 до 65535. Типичные значения: 512 для UDP, 1235 или 1468 для TCP и 6514 для Secure TCP (например: TCP с включенным TLS/SSL)
Определяет серьезность сообщений, которые должны отображаться на сервере Syslog (это субъективное поле, и вы можете задать для него любой уровень). Значение уровня серьезности не изменяет сообщения, которые пересылаются в Syslog.
Указывает, какой тип приложения регистрирует сообщение. Значение по умолчанию — «Internal» (или («Syslog»). Используется для классификации сообщений при их получении сервером Syslog.
Для некоторых сервисов управления журналами, таких как SumoLogic, может потребоваться специальный токен, который включается в сообщения системного журнала, чтобы определить, куда должны отправляться эти сообщения. Пользовательский токен предоставляет сервис управления журналами.
4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Нажмите кнопку «Test Connection», чтобы проверить настройки IP/домена, порта и протокола. При вводе допустимых значений отображается сообщение об успешном выполнении операции.
Рис. 15. Баннер с сообщением об успешном подключении (только на английском языке)
На консоли сервера Syslog отображается следующее сообщение о проверке подключения.
Рис. 16. Сообщение о проверке подключения (только на английском языке)
Событие, которое сообщает администратору, когда файл был загружен и предоставлен поставщику облачных решений.
Операторы, создающие событие, представлены ниже.
Полезная нагрузка | |
---|---|
Поставщик | Процесс, выполняющий пересылку. |
Файл | Информация о загружаемом файле включает в себя идентификатор ключа, путь, имя файла и размер. |
Геометрии | Место, где произошло это событие. |
Loggedinuser | Пользователь, выполнивший вход в устройство. |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "provider":"Sync Provider", "file": { "keyid": "Test Key Id", "path": "Test Path", "filename": "Original Name", "size": 1234 } ""loggedinuser"":""test@domain.org"" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": " sl_file_upload", "version":1 }
Событие, которое происходит, когда пользователь изменяет политику папок с помощью консоли управления папками.
Операторы, создающие событие, представлены ниже.
Полезная нагрузка | |
---|---|
Путь к папке | Папка, в которой была изменена степень защиты. |
Защита папок | Строка, определяющая уровень защиты: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed |
Геометрии | Место, где произошло это событие. |
Loggedinuser | Пользователь, выполнивший вход в устройство. |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "folderpath":"Folder Path", "folderprotection:"ForceProtect" ""loggedinuser"":""test@domain.org"" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": " sl_file_overrride", "version":1 }
Событие, сообщающее администратору о блокировке доступа к поставщику облачных решений.
Операторы, создающие событие, представлены ниже.
Полезная нагрузка | |
---|---|
Адрес | Процесс, выполняющий пересылку. |
Процесс | Информация о загружаемом файле включает в себя идентификатор ключа, путь, имя файла и размер. |
Приложение | Тип процесса, который пытается получить доступ к заблокированному поставщику облачных решений. Значения «App», «Proxy» или «Browser» |
Сетевое действие | Тип действия. (только одно значение «Blocked») |
Геометрии | Место, где произошло это событие. |
Loggedinuser | Пользователь, выполнивший вход в устройство. |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "address":"www.yahoo.com", "process":"process.exe", "application":"Proxy", "netaction":"Blocked", ""loggedinuser"":""test@domain.org"" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": " sl_net_info", "version":1 }
События, имеющие отношение к действиям, связанным с сообщениями электронной почты, защищенными Dell Data Guardian.
Операторы, создающие событие, представлены ниже.
Полезная нагрузка | |
---|---|
Сообщения электронной почты | Массив объектов электронной почты. |
keyId | Идентификатор ключа, используемый для защиты сообщений электронной почты. |
тема, | Тема письма. |
На | Адреса электронной почты, на которые было отправлено письмо. |
cc | Адреса электронной почты, на которые было скопировано письмо. |
Bcc | Адреса электронной почты, на которые было выполнено слепое копирование. |
От | Адрес электронной почты пользователя, отправившего письмо. |
просмотр | Имена вложений, добавленных в сообщение электронной почты. |
Действие | «Открыт», «Создан», «Ответил», «Отправлено» |
Loggedinuser | Пользователь, выполнивший вход в устройство. |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { ""emails": [{ "keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "subject": "Test Subject", "from":"dvader@empire.net", "to": ["myemail@yahoo.com", "anotheremail@gmail.com"], "cc": ["myemail@yahoo.com", "anotheremail@gmail.com"], "bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"], "attachments": ["myDocx.docx", "HelloWorld.txt"], "action": "Open" }], ""loggedinuser"":""test@domain.org"" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": "sl_protected_email", "version":1 }
События, имеющие отношение к действиям, связанным с документами Office, защищенными Dell Data Guardian.
Операторы, создающие событие, представлены ниже.
Полезная нагрузка | |
---|---|
Файл | Информация о зашифрованном, дешифрованном или удаленном файле. |
clientType | Тип установленного клиента: «External» или «Internal». |
Действие | «Created», «Accessed», «Modified», «Unprotected», «AttemptAccess». |
Расщепление | «New», «Open», «Updated», «Swept», «Watermarked», «BlockCopy», «RepairedTampering», «DetectedTampering», «Unprotected», «Deleted», «RequestAccess», «GeoBlocked», «RightClickProtected», «PrintBlocked». |
Геометрии | Место, где произошло это событие. |
От | Временная метка для суммарного события, когда оно началось. |
На | Временная метка для суммарного события, когда оно закончилось. |
Loggedinuser | Пользователь, выполнивший вход в устройство. |
Информация о приложении | Информация о приложении, получаемая с помощью защищенного документа Office. |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "from":1234567 "to":1234567 "file": { "keyid": "Test Key Id", "path": "Test Path", "filename": "Original Name", "size": 1234 }, "clientType": "internal", "action": "Accessed", "slaction":"Open" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": "sl_protected_file", "version":1 } ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""TestPath"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Created"" ""slaction"":""New"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"", ""slaction"":""Open"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" , ""slaction"":""Updated"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"", ""slaction"":""Swept"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"", ""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"", ""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"", ""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"", ""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"", ""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"": ""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"", ""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked while protected PDF open."" },""loggedinuser"":""test@domain.org""}
Событие, которое происходит, когда компьютер инициирует событие.
Операторы, создающие событие, представлены ниже.
Полезная нагрузка | |
---|---|
Действие | Примеры выполнения действий компьютера: Login, Logout, PrintScreenBlocked, ProcessBlocked |
Геометрии | Место, где произошло это событие. |
clientType | Тип установленного клиента: Внешний или внутренний |
Loggedinuser | Пользователь, выполнивший вход на устройстве. |
processInfo | Информация о процессе |
Расположение | Как процесс был заблокирован - Прекращено, Заблокировано, Нет. |
Имя | Название процесса. |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "action":"login","clientType":"external","loggedinuser":"test@domain.org", }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": "sl_system", "version":1 } "payload": {"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"} "payload": { "action": "processblocked","clientType": "external","loggedinuser": "test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}
Cloud Edition События, которые указывают, когда файл зашифрован, расшифрован или удален из поддерживаемого облачного провайдера.
Операторы, создающие событие, представлены ниже.
Полезная нагрузка | |
---|---|
Файл | Информация о зашифрованном, дешифрованном или удаленном файле. |
clientType | Тип установленного клиента: «External» или «Internal». |
Действие | «Created», «Accessed», «Modified» или «Deleted». |
Имя облака | Имя файла в облаке может отличаться от имени в приведенном выше теге файла |
Ксенэкшн | Описание действия сервиса DG. Значения: «Encrypt», «Decrypt» и «Deleted». |
Геометрии | Место, где произошло это событие. |
Loggedinuser | Пользователь, выполнивший вход в устройство. |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "file": { "keyid": "Test Key Id", "path": "Test Path", "filename": "Original Name", "size": 1234 }, "clientType": "internal", "action": "Created", "cloudname":"Cloud Name", "xenaction":"Encrypt", ""loggedinuser"":""test@domain.org"" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": "sl_xen_file", "version":1 }
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.