Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Security Management Server Sistem Günlüğü ve SIEM rehberi

Summary: Bu makalede, Güvenlik Bilgileri ve Olay Yönetimi entegrasyonu süreci açıklanmaktadır.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Etkilenen Ürünler:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sunucusu veya cihazı nedir?

SIEM, verileri içeri aktarabilir ve verilere dayalı kurallar veya raporlar çalıştırabilir. Amaç, çeşitli kaynaklardan veri toplamak, verilerdeki anormallikleri belirlemek ve verilere dayalı olarak uygun eylemi gerçekleştirmektir.

Verileri SIEM veya Sistem Günlüğü uygulamasına hangi yollarla gönderebilirim?

Dell Security Management Server ve Dell Security Management Server Virtual, bir SIEM veya Syslog uygulamasında veri tüketmek için iki farklı yol sunar.

9.2 sunucusunda Advanced Threat Prevention bulutu ile iletişim kurma özelliği kullanıma sunulmuştur. Bu sayede Advanced Threat olay verileri bir SIEM uygulamasına gönderilecek şekilde yapılandırılabilir.

Bu verileri Dell Security Management Server veya Dell Security Management Server Virtual ın WebUI'sinde yapılandırmak için Populations >Enterprise >Advanced Threats (bu sekme yalnızca Advanced Threat Prevention Yönetim Hizmetleri Yönetimi görevi aracılığıyla > etkinleştirilmişse görünür) >Options bölümüne gidin.

Options sayfasında, verilerin nereye gönderileceğini yapılandırmamıza olanak tanıyan bir Syslog/SIEM onay kutusu bulunur. Bu veriler, Amazon Web Services'ta barındırılan Advanced Threat Prevention sunucularından gelir.

Advanced Threat Prevention Sistem Günlüğü entegrasyonu, sistem günlüğü mesajlarını sunucunuza başarıyla teslim edemezse kuruluşta onaylanmış bir e-posta adresi bulunan tüm yöneticilere sistem günlüğü sorunu konusunda bir e-posta bildirimi gönderilir.

Sorun 20 dakikadan önce çözülürse sistem günlüğü mesajları teslim edilmeye devam edilir. 20 dakika geçtikten sonra sorun çözülürse yöneticinin sistem günlüğü mesajlarını yeniden etkinleştirmesi gerekir.

Burada, 5514 numaralı bağlantı noktası üzerinden extsiem.domain.org harici tam nitelikli etki alanı adının (FQDN) örnek bir yapılandırması verilmiştir. Bu yapılandırmada, extsiem.domain.com'un SIEM veya Sistem Günlüğü uygulamasını çalıştıran ortamdaki sunucuda çözümlenen harici bir DNS girişine sahip olduğu ve 5514 numaralı bağlantı noktasının, ortamın ağ geçidinden hedef SIEM veya Sistem Günlüğü uygulamasına yönlendirildiği varsayılmaktadır.

Dell Data Security konsolu
Şekil 1: (Yalnızca İngilizce) Dell Data Security Console

Bu işlev aracılığıyla gelen olaylar, tedarikçimiz Cylance tarafından iletilmesi nedeniyle markalıdır.

Güvenlik duvarı ve erişim amaçları için IP ve ana bilgisayar adı bilgileri

Advanced Threat Prevention için SaaS, her bölgede birkaç IP adresine sahiptir. Bu, herhangi bir sistem günlüğü hizmetini kesintiye uğratmadan genişletmeye izin verir. Kurallarınızı yapılandırırken bölgenizi temel alan tüm IP adreslerine izin verin. Cylance kaynağından gelen günlükler bu IP'lerden birinden alınır ve rastgele olarak değişebilir.

Not: Bu IP adresleri statik kalmalıdır; ancak Cylance'in gelecekte bu listeyi güncellemesi olası. Yapılan değişiklikler e-posta aracılığıyla Cylance konsol yöneticilerine bildirilir. Değişikliklere yanıt olarak kurallarını güncellemek ağ yöneticisinin sorumluluğundadır.

ABD (my.cylance.com ve my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

Avustralya (my-au.cylance.com)

52.63.15.218
52.65.4.232

AB (my-vs0-euc1.cylance.com ve my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server ve Dell Security Management Server Virtual'da, 9.7 sürümündeki aracılardan alınan olayları gönderme özelliği kullanıma sunulmuştur. Dell Endpoint Security Suite Enterprise'dan gelen ham, filtrelenmemiş olaylar ile Dell Secure Lifecycle ve Dell Data Guardian'dan gelen olaylar buna dahildir.

Sunucu Yapılandırması

Security Management Server'ı, Management>Services Management Olay > Yönetimi içinde Aracı Olay Verileri gönderecek şekilde yapılandırabilirsiniz. Bu veriler yerel bir dosyaya veya sistem günlüğüne aktarılabilir. Bunun için şu iki seçenek mevcuttur: Yerel dosyaya dışa aktarma ve Sistem günlüğüne dışa aktarma

Etkinlik Yönetimi
Şekil 2: (Yalnızca İngilizce) Olay Yönetimi

Yerel Dosyaya Dışa Aktar, audit-export.log dosyasını evrensel bir ileticinin kullanması için güncelleştirir. Bu dosyanın varsayılan konumu C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\ dizinidir.

Bu dosya her iki saatte bir verilerle güncellenir. Bu dosya bir iletici tarafından alınabilir ve kullanılabilir. İleticiler uygulamaya göre farklılık göstermektedir. İleticiler hakkında daha fazla bilgi edinmek isterseniz bu verileri kullanmak üzere yararlandığınız belirli Sistem Günlüğü veya SIEM uygulamasına bakın.

Yerel dosyaya dışa aktar
Şekil 3: (Yalnızca İngilizce) Yerel dosyaya aktar

Sistem Günlüğüne Dışa Aktarma , ortamdaki dahili bir SIEM veya Sistem Günlüğü sunucusuna doğrudan bağlantı sağlar. Bu günlükler, bir json paketinde RFC-3164'ü temel alan basit bir biçimde biçimlendirilir. Bu veriler Dell Security Management Server'dan gelir ve doğrudan SIEM veya Syslog sunucusuna gönderilir. Bu veriler bir iş kullanılarak her iki saatte bir toplanır ve gönderilir.

Sistem Günlüğüne Dışa Aktar
Şekil 4: (Yalnızca İngilizce) Sistem günlüğüne aktar

Gönderilen Dell Endpoint Security Suite Enterprise olay verileri yukarıda listelenmiştir. SaaS genellikle bu verileri göndererek Dell Security Management Server'ın, envanterleri kontrol ederken aracılardan bu verileri toplayabilmesini ve yapılandırılmış SIEM veya Syslog uygulamasına iletebilmesini sağlar.

Aracı olay verileri, hem daha önce bahsedilen Dell Endpoint Security Suite Enterprise olay verilerini hem de Dell Secure Lifecycle ve Dell Data Guardian verilerini içerir. Bu veriler olaylarla da sunulur.

Uygulama Kontrolü

Bu seçenek yalnızca Application Control (Uygulama Kontrolü) özelliğini etkinleştirmiş olan kullanıcılar tarafından görüntülenebilir. Uygulama Kontrolü olayları, aygıt Uygulama Kontrolü modundayken gerçekleşen eylemleri gösterir. Bu seçeneğin belirlenmesi, yürütülebilir bir dosyayı değiştirme veya kopyalama girişiminde bulunulduğunda veya bir aygıt veya ağ konumundan dosya çalıştırma girişiminde bulunulduğunda Syslog sunucusuna bir mesaj gönderir.

PE dosyası değişikliğini reddetmek için örnek mesaj
Şekil 5: (Yalnızca İngilizce) PE dosyası değişikliğini reddetmek için örnek mesaj

Harici sürücüden yürütmeyi reddetmek için örnek mesaj
Şekil 6: (Yalnızca İngilizce) Harici bir sürücüden yürütmeyi reddetmek için örnek mesaj

Denetleme Günlüğü

Bu seçenek belirlendiğinde, SaaS'de gerçekleştirilen kullanıcı eylemlerinin denetim günlüğü Sistem Günlüğü sunucusuna gönderilir. Denetim günlüğü olayları, bu seçenek temizlenmiş olsa bile Denetim Günlüğü ekranında gösterilir.

Sistem Günlüğüne iletilen denetim günlüğü için örnek mesaj
Şekil 7: (Yalnızca İngilizce) Sistem günlüğüne iletilen denetim günlüğü için örnek mesaj

Aygıtlar

Bu seçenek belirlendiğinde, aygıt olayları Sistem Günlüğü sunucusuna gönderilir.

  • Yeni bir aygıt kaydedildiğinde bu olay için iki mesaj alırsınız: Registration (Kayıt) ve SystemSecurity (Sistem Güvenliği)
Not: SystemSecurity (Sistem Güvenliği) mesajları, kullanıcı bir aygıtta oturum açtığında da oluşturulur. Bu mesaj sadece kayıt sırasında değil, farklı zamanlarda da ortaya çıkabilir.

Aygıt kayıtlı olayı için örnek mesaj
Şekil 8: (Yalnızca İngilizce) Aygıt kaydedildi olayı için örnek mesaj

  • Aygıt kaldırıldığında gösterilir.

Cihaz kaldırıldı olayı için örnek mesaj
Şekil 9: (Yalnızca İngilizce) Aygıt kaldırıldı olayı için örnek mesaj

  • Aygıtın politikası, bölgesi, adı veya günlüğe kaydetme düzeyi değiştirildiğinde gösterilir.

Cihaz güncelleştirildi olayı için örnek mesaj
Şekil 10: (Yalnızca İngilizce) Aygıt güncelleştirildi olayı için örnek mesaj

Bellek Koruması

Bu seçenek belirlendiğinde, herhangi bir kiracı aygıtından gelen, saldırı olarak değerlendirilebilecek belleği kötü amaçlı kullanma girişimlerini Sistem Günlüğü sunucusuna kaydedilir. Belleği kötü amaçlı kullanma girişimleri için dört farklı eylem uygulanır:

  • None (Yok): Bu ihlal için hiçbir politika tanımlanmadığından izin verilir.
  • Allowed (İzin verildi): Politika tarafından izin verilir.
  • Blocked (Engellendi): Çalıştırılması politika tarafından engellenir.
  • Terminated (Sonlandırıldı): İşlem sonlandırıldı.

Bellek koruma olayı örnek mesajı
Şekil 11: (Yalnızca İngilizce) Bellek koruma olayı için örnek mesaj

Komut Dosyası Kontrolü

Bu seçenek belirlendiğinde, yeni bulunan tüm komut dosyaları Advanced Threat Prevention tarafından onaylanan Syslog sunucusuna kaydedilir.

Sistem Günlüğü Komut Dosyası Kontrolü olayları aşağıdaki özellikleri içerir:

  • Uyarı: Komut dosyasının çalıştırılmasına izin verilir. Konsola bir komut dosyası kontrol olayı gönderilir.
  • Engelleme: Komut dosyasının çalıştırılmasına izin verilmez. Konsola bir komut dosyası kontrol olayı gönderilir.

Raporlama Sıklığı

Komut Dosyası Kontrolü olayı ilk kez algılandığında, sistem günlüğü kullanılarak olaya ilişkin tüm bilgileri içeren bir mesaj gönderilir. Yinelenen olay olarak değerlendirilen sonraki her olay, günün geri kalanında (SaaS'nin sunucu saatine göre) sistem günlüğü kullanılarak gönderilmez.

Belirli bir Komut Dosyası Kontrolü olayının sayacı birden büyükse sistem günlüğü kullanılarak, söz konusu gün gerçekleşmiş tüm yinelenen olayların sayısını içerecek şekilde bir olay gönderilir. Sayaç bire eşitse sistem günlüğü kullanılarak ek mesaj gönderilmez.

Komut Dosyası Kontrolü olayının yinelenen bir olay olup olmadığı belirlenirken aşağıdaki mantık kullanılır:

  • Anahtar bilgilerine bakılır: Aygıt, Karma, Kullanıcı Adı, Engelleme ve Uyarı
  • Belirli bir günde alınan ilk olay için sayaç değeri 1 olarak ayarlanır. Engelleme ve Uyarı özellikleri için ayrı sayaçlar vardır.
  • Aynı anahtara sahip sonraki tüm olaylar sayacı artırır
  • Sayaç, SaaS'nin sunucu saatine göre her takvim günü sıfırlanır.
Not: Komut Dosyası A, Aygıt 1'de 20.09.2016 saat 23.59'da ve ardından 21.09.2016 saat 12:05 ve 12:15'de çalıştırılırsa sonuç aşağıdaki gibi olur:
  • 20.09.2016 tarihinde o günün Komut Dosyası Denetimi olayı için bir sistem günlüğü mesajı gönderilir.
  • 21.09.2016 tarihinde söz konusu gün için yinelenen iki Komut Dosyası Kontrolü olayına ilişkin bir sistem günlüğü mesajı gönderilir.
Not: Olaylar 20.09.2016 tarihinde meydana gelen olayın kopyaları olduğundan 21.09.2016 tarihinde yalnızca bir sistem günlüğü mesajı gönderilir.

Komut dosyası denetimi örnek mesajı
Şekil 12: (Yalnızca İngilizce) Komut dosyası kontrolü için örnek mesaj

Tehditler

Bu seçenek belirlendiğinde, yeni bulunan tüm tehditler veya mevcut herhangi bir tehdit ile ilgili gözlemlenen değişiklikler Sistem Günlüğü sunucusuna kaydeder. Değişiklikler arasında, bir tehdidin kaldırılması, karantinaya alınması, silinmesi veya çalıştırılması sayılabilir.

Beş Tehdit Olayı türü vardır:

  • threat_found: Unsafe (Güvensiz) durumunda yeni bir tehdit bulundu.
  • threat_removed: Mevcut bir tehdit kaldırıldı.
  • threat_quarantined: Quarantine (Karantina) durumunda yeni bir tehdit bulundu.
  • threat_waived: Waived (Silindi) durumunda yeni bir tehdit bulundu.
  • threat_changed: Mevcut bir tehdidin davranışı değişti (örnekler: Puan, karantina durumu, çalışma durumu)

Altı Tehdit Sınıflandırma türü vardır:

  • File Unavailable (Dosya Kullanılamıyor): Karşıya yükleme kısıtlaması nedeniyle (örneğin, dosyanın karşıya yüklenemeyecek kadar büyük olması) dosya, analiz için kullanılamıyor.
  • Malware (Kötü Amaçlı Yazılım): Dosya kötü amaçlı yazılım olarak sınıflandırılır.
  • Possible PUP (Olası PUP): Dosya, potansiyel olarak istenmeyen program (PUP) olabilir.
  • PUP: Dosya, potansiyel olarak istenmeyen program (PUP) kabul edilir.
  • Trusted (Güvenilir): Dosya güvenilir kabul edilir.
  • Unclassified (Sınıflandırılmadı): ATP bu dosyayı analiz etmemiştir.

Tehdit olayının örnek mesajı
Şekil 13: (Yalnızca İngilizce) Tehdit olayı için örnek mesaj

Tehdit Sınıflandırmaları

Dell Advanced Threat Prevention her gün yüzlerce tehdidi Kötü Amaçlı Yazılım veya Potansiyel Olarak İstenmeyen Program (PUP) şeklinde sınıflandırmaktadır.

Bu seçenek belirlenirse bu olaylar meydana geldiğinde bilgilendirilirsiniz.

Tehdit sınıflandırması örnek mesajı
Şekil 14: (Yalnızca İngilizce) Tehdit sınıflandırması için örnek mesaj

Güvenlik Bilgileri ve Olay Yönetimi (SIEM)

Olayların gönderileceği Sistem Günlüğü sunucusunun veya SIEM'in türünü belirtir.

Protocol (Protokol)

Bu, Sistem Günlüğü sunucunuzda yapılandırdığınız değerle eşleşmelidir. Seçenekler UDP veya TCP'dir. TCP varsayılan değer olup müşterilerin bunu kullanmasını öneririz. UDP, mesaj teslimini garanti etmediği için önerilmez.

TLS/SSL

Yalnızca belirtilen protokol TCP ise kullanılabilir. TLS/SSL, Sistem Günlüğü mesajının Sistem Günlüğü sunucusuna aktarılırken şifrelenmesini sağlar. Müşterilerin bu seçeneği belirlemesini öneririz. Sistem Günlüğü sunucunuzun TLS/SSL mesajlarını dinleyecek şekilde yapılandırıldığından emin olun.

IP/Domain (IP/Etki Alanı)

Müşterinin ayarladığı Sistem Günlüğü sunucusunun IP adresini veya tam etki alanı adını belirtir. Güvenlik duvarı ve etki alanı ayarlarının doğru şekilde yapılandırıldığından emin olmak için şirket içi ağ uzmanlarınıza danışın.

Port (Bağlantı Noktası)

Sistem Günlüğü sunucusunun mesajları dinlediği makinelerdeki bağlantı noktası numarasını belirtir. 1 ile 65535 arasında bir sayı olmalıdır. Yaygın değerler şunlardır: UDP için 512, TCP için 1235 veya 1468 ve Güvenli TCP için 6514 (örneğin: TLS/SSL etkin TCP)

Önem Derecesi

Syslog sunucusunda görünmesi gereken mesajların önem derecesini belirtir (bu öznel bir alandır ve istediğiniz düzeye ayarlayabilirsiniz). Önem derecesi değeri, Sistem Günlüğüne iletilen mesajları değiştirmez.

Facility (Tür)

Ne tür bir uygulamanın mesajı günlüğe kaydettiğini belirtir. Varsayılan değer Internal (Dahili) veya Syslog (Sistem Günlüğü) şeklindedir. Sistem Günlüğü sunucusu tarafından teslim alınan mesajları sınıflandırmak için kullanılır.

Custom Token (Özel Belirteç)

SumoLogic gibi bazı günlük yönetimi hizmetleri, sistem günlüğü mesajlarının nereye gitmesi gerektiğini belirlemeye yardımcı olmak için bu mesajlara dahil edilecek özel bir belirtece ihtiyaç duyabilir. Özel belirteç, günlük yönetimi hizmeti sunar.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Not: Özel Belirteç alanı, yalnızca SumoLogic ile değil, tüm SIEM veya Syslog seçenekleriyle kullanılabilir. Sistem günlüğü bilgilerine herhangi bir bilgiyi özel etiket olarak yazmak mümkündür.

Bağlantıyı Test Etme

IP/Etki Alanı, Bağlantı Noktası ve Protokol ayarlarını test etmek için Test Connection (Bağlantıyı Test Et) seçeneğine tıklayın. Geçerli değerler girilirse işlemin başarılı olduğuna dair bir onay görüntülenir.

Successful connection banner
Şekil 15: (Yalnızca İngilizce) Bağlantı başarılı başlığı

Sistem Günlüğü sunucusu konsolunda aşağıdaki Test Connection (Bağlantıyı Test Et) mesajını alırsınız:

Bağlantı mesajını test et
Şekil 16: (Yalnızca İngilizce) Bağlantıyı test et mesajı

sl_file_upload

Dosyanın, bulut sağlayıcısına yüklendiğini yöneticiye bildiren olay.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

  • Mac
  • Windows
  • Android
  • iOS
Yük  
Sağlayıcı Yüklemeyi gerçekleştiren işlem.
Dosya Yüklenen dosyayla ilgili bilgiler arasında keyid, yol, dosya adı ve boyut yer alır.
Geometri Bu olayın gerçekleştiği yer.
Oturum Açma Kullanıcısı Cihazda oturum açmış kullanıcı.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Kullanıcı, klasör yönetimi konsolu üzerinden klasör politikasını değiştirdiğinde gerçekleşen olay.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

  • Mac
  • Windows
  • Android
  • iOS
Yük  
Klasör yolu Koruma düzeyinin değiştirildiği klasör.
Klasör koruması Koruma düzeyini tanımlayan bir dize: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometri Bu olayın gerçekleştiği yer.
Oturum Açma Kullanıcısı Cihazda oturum açmış kullanıcı.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Bulut sağlayıcıya erişimin engellenmiş olduğunu yöneticiye bildiren olay.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

  • Mac
  • Windows
  • Android
  • iOS
Yük  
Adres Yüklemeyi gerçekleştiren işlem.
İşlem Yüklenen dosyayla ilgili bilgiler arasında keyid, yol, dosya adı ve boyut yer alır.
Uygulama Engellenmiş bir bulut sağlayıcıya erişmeye çalışan işlem türü Uygulama, Proxy veya Tarayıcı
Ağ Aksiyonu Gerçekleşen eylem türü. Sadece Blocked (Engellendi) değeri kullanılır.
Geometri Bu olayın gerçekleştiği yer.
Oturum Açma Kullanıcısı Cihazda oturum açmış kullanıcı.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Dell Data Guardian korumalı e-posta mesajlarıyla ilişkili eylemler hakkındaki olaylar.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

  • Mac
  • Windows
  • Android
  • iOS
Yük  
E-posta mesajları E-posta nesneleri dizisi
keyId E-postayı korumak için kullanılan anahtar kimliği.
Subject (Konu) E-postadaki konu satırı
Şunu yapmak için: E-postanın gönderildiği e-posta adresleri.
Cc E-postanın kopyalandığı e-posta adresleri.
Gizli E-postanın kör kopyalandığı e-posta adresleri.
Kaynak E-postayı gönderen kişinin e-posta adresi.
Ekler E-postaya dahil edilen eklerin adları
İşlem "Açıldı", "Oluşturuldu", "Yanıtladı", "Gönderildi"
Oturum Açma Kullanıcısı Cihazda oturum açmış kullanıcı.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Dell Data Guardian korumalı Office belgeleriyle ilişkili eylemler hakkındaki olaylar.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

  • Mac
  • Windows
  • Android
  • iOS
Yük  
Dosya Dosya bilgileri. Encrypted (Şifrelendi), Decrypted (Şifresi Çözüldü) veya Deleted (Silindi).
clientType Yüklenen istemci türü. External (Harici) veya Internal (Dahili)
İşlem Created (Oluşturuldu), Accessed (Erişildi), Modified (Değiştirildi), Unprotected (Korumasız), AttemptAccess (Erişim Girişimi)
Slaction (Slaction) New (Yeni), Open (Açık), Updated (Güncelleştirildi), Swept (Süpürüldü), Watermarked (Filigran Eklendi), BlockCopy (Kopyalama Engellendi), RepairedTampering (Kurcalama Onarıldı),
DetectedTampering (Kurcalama Algılandı), Unprotected (Koruma Kaldırıldı), Deleted (Silindi), RequestAccess (Erişim İsteği), GeoBlocked (Coğrafi Konuma Göre Engellendi), RightClickProtected (Sağ Tıklama Koruması Uygulandı), PrintBlocked (Yazdırma Engellendi)
Geometri Bu olayın gerçekleştiği yer.
Kaynak Özet olayın başladığı zaman damgası.
Şunu yapmak için: Etkinliğin sona erdiği özet olay için zaman damgası.
Oturum Açma Kullanıcısı Cihazda oturum açmış kullanıcı.
Appinfo Korumalı Office belgesini kullanan uygulama hakkında bilgiler.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Bilgisayar bir olay yayınladığında gerçekleşen olay.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

  • Mac
  • Windows
  • Android
  • iOS
Yük  
İşlem Bilgisayar ne yapıyor örnekleri - Oturum Açma, Oturumu Kapatma, PrintScreenBlocked, ProcessBlocked
Geometri Bu olayın gerçekleştiği yer.
clientType Yüklenen istemci türü. Harici veya dahili
Oturum Açma Kullanıcısı Cihazda oturum açan kullanıcı.
processInfo Süreç hakkında bilgi
Disposition İşlem nasıl engellendi - Sonlandırıldı, Engellendi, Yok.
Ad İşlemin adı.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Bir dosyanın ne zaman şifrelendiğini, şifresinin çözüldüğünü veya desteklenen bir bulut sağlayıcısından ne zaman silindiğini belirten Cloud Edition Events.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

  • Mac
  • Windows
  • Android
  • iOS
Yük  
Dosya Dosya bilgileri. Encrypted (Şifrelendi), Decrypted (Şifresi Çözüldü) veya Deleted (Silindi).
clientType Yüklenen istemci türü. External (Harici) veya Internal (Dahili)
İşlem Created (Oluşturuldu), Accessed (Erişildi), Modified (Değiştirildi), Deleted (Silindi)
Cloudname Buluttaki dosyanın adı, yukarıdaki dosya etiketinde yer alan addan farklı olabilir
Xenaction DG hizmetinin yapmaya çalıştığı işlemin açıklaması. Değerler: Encrypt (Şifrele), Decrypt (Şifresini Çöz), Deleted (Silindi).
Geometri Bu olayın gerçekleştiği yer.
Oturum Açma Kullanıcısı Cihazda oturum açmış kullanıcı.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.

Additional Information

   

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124929
Article Type: How To
Last Modified: 30 Apr 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.