Příručka pro Dell Security Management Server Syslog a SIEM

Na serveru 9.2 byla zavedena možnost komunikace s cloudem Advanced Threat Prevention, která umožnila konfigurovat data Advanced Threat Event pro odesílání do aplikace SIEM.

Chcete-li tato data nakonfigurovat ve webovém uživatelském rozhraní nástroje Dell Security Management Server nebo Dell Security Management Server Virtual, přejděte do části Populations >>Enterprise Advanced Threats (tato karta je viditelná pouze v případě, že byla > prostřednictvím úlohy Management Services Management Management povolena služba Advanced Threat Prevention). >

Stránka Možnosti obsahuje zaškrtávací políčko pro Syslog/SIEM , které umožňuje nakonfigurovat, kam se mají data odesílat. Tato data pocházejí ze serverů Advanced Threat Prevention hostovaných ve službě Amazon Web Services.

Pokud integrace Syslog funkce Advanced Threat Prevention nemůže úspěšně doručit zprávy syslog na váš server, zašle se e-mailové oznámení všem správcům s potvrzenou e-mailovou adresou v organizaci a upozorní je na problém syslog.

Pokud je problém vyřešen před uplynutím 20minutového časového období, jsou zprávy syslog doručovány i nadále. Pokud je problém vyřešen po uplynutí 20minutového časového období, musí správce znovu povolit zprávy syslog.

Tady je příklad konfigurace externího plně kvalifikovaného názvu domény (FQDN) extsiem.domain.org přes port 5514. Tato konfigurace předpokládá, že extsiem.domain.com má externí položku DNS, která překládá na server v prostředí s aplikací SIEM nebo Syslog, a port 5514 byl přesměrován z brány prostředí do cílové aplikace SIEM nebo Syslog.

Obrázek 1: (Pouze v angličtině) Konzole Dell Data Security

Události přicházející přes tuto funkci jsou označené jako příchozí od našeho dodavatele, společnosti Cylance.

Informace o IP adrese a názvu hostitele pro účely firewallu a přístupu

Služba SaaS pro Advanced Threat Prevention má pro každou oblast několik IP adres. To umožňuje rozšíření bez přerušení služby syslog. Při konfiguraci pravidel povolte všechny IP adresy, které jsou založené na vaší oblasti. Protokoly od společnosti Cylance přichází z jednoho z těchto IP adres a mohou se náhodně měnit.

US (my.cylance.com a my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com a my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Nástroje Dell Security Management Server a Dell Security Management Server Virtual představily možnost odesílat události přijaté od agentů ve verzi 9.7. To zahrnuje nezpracované, nefiltrované události ze sady Dell Endpoint Security Suite Enterprise a události z nástrojů Dell Secure Lifecycle a Dell Data Guardian.

Server Configuration

Server Security Management Server můžete nakonfigurovat tak, aby odesílal data událostí agenta v rámci správy služeb správy>> Event Management. Tato data lze exportovat do místního souboru nebo do protokolu Syslog. K dispozici jsou dvě možnosti: Export do místního souboru a export do syslogu

Obrázek 2: (Pouze v angličtině) Events Management

Exportovat do místního souboru, aktualizuje soubor audit-export.log, takže jej využívá server pro univerzální předávání. Výchozí umístění tohoto souboru je C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Tento soubor se aktualizuje každé dvě hodiny pomocí dat. Tento soubor může být vyzvednut a využit serverem pro předávání. Další informace o serverech pro předávání naleznete v konkrétní aplikaci Syslog nebo SIEM, kterou používáte pro tato data, protože servery pro předávání se liší podle aplikace.

Obrázek 3: (Pouze v angličtině) Export to local file

Export do syslogu umožňuje přímé připojení k internímu serveru SIEM nebo Syslog v rámci prostředí. Tyto protokoly jsou formátovány v jednoduchém formátu, který je založen na RFC-3164 v sadě JSON. Tato data pocházejí z nástroje Dell Security Management Server a odesílají se přímo na server SIEM nebo Syslog. Tato data se shromažďují a odesílají každé dvě hodiny pomocí úlohy.

Obrázek 4: (Pouze v angličtině) Export to Syslog

Data událostí odesílaná sadou Dell Endpoint Security Suite Enterprise jsou uvedena výše. Tato data obvykle odesílá software SaaS, což nástroji Dell Security Management Server umožňuje shromažďovat tato data od agentů při přihlášení k inventáři a předávat je do nakonfigurované aplikace SIEM nebo Syslog.

Data událostí agenta obsahují výše uvedená data událostí sady Dell Endpoint Security Suite Enterprise a data nástroje Dell Secure Lifecycle a Dell Data Guardian. Tato data jsou také v událostech.

Application Control

Tato možnost je viditelná pouze pro uživatele, kteří mají povolenou funkci Application Control. Události Application Control představují akce, ke kterým dochází, když je zařízení v režimu Application Control. Vyberete-li tuto možnost, odešle se na server Syslog zpráva vždy, když dojde k pokusu o úpravu, zkopírování spustitelného souboru nebo pokusu o spuštění souboru ze zařízení nebo síťového umístění.

Obrázek 5: (Pouze v angličtině) Příklad zprávy pro zamítnutí změny souboru PE

Obrázek 6: (Pouze v angličtině) Příklad zprávy pro zamítnutí spuštění z externí jednotky

Audit Log

Při výběru této možnosti se odešle protokol auditu uživatelských akcí provedených ve službě SaaS na server Syslog. Události protokolu auditu se zobrazují na obrazovce Audit Log, i když tato možnost není vybrána.

Obrázek 7: (Pouze v angličtině) Příklad zprávy pro přeposílání protokolu auditu do aplikace Syslog

zařízení,

Výběrem této možnosti se události zařízení odešlou na server Syslog.

• Při registraci nového zařízení obdržíte dvě zprávy pro tuto událost: Registration a SystemSecurity

Obrázek 8: (Pouze v angličtině) Příklad zprávy pro událost registrace zařízení

• Po odebrání zařízení.

Obrázek 9: (Pouze v angličtině) Příklad zprávy pro událost odebrání zařízení

• Když se změní zásada, zóna, název nebo úroveň protokolování zařízení.

Obrázek 10: (Pouze v angličtině) Příklad zprávy pro událost aktualizace zařízení

Memory Protection

Výběrem této možnosti se zaprotokolují všechny pokusy o zneužití paměti, které by mohly být považovány za útok z některé zařízení nájemce nebo na server Syslog. Existují čtyři typy akcí zneužití paměti:

• None: Povoleno, protože pro toto porušení nebyla definována žádná zásada.
• Allowed: Povoleno zásadou.
• Blokované: Spuštění zablokováno zásadou.
• Terminated: Proces byl ukončen.

Obrázek 11: (Pouze v angličtině) Příklad zprávy pro událost ochrany paměti

Script Control

Výběr této možnosti zaprotokoluje všechny nově nalezené skripty na server Syslog, které software Advanced Threat Prevention vychytá.

Události Syslog Script Control obsahují následující vlastnosti:

• Alert: Spuštění skriptu je povoleno. Do konzole se odešle událost řízení skriptu.
• Block: Spuštění skriptu je zakázáno. Do konzole se odešle událost řízení skriptu.

Frekvence reportingu

Při prvním zjištění události Script Control se odešle zpráva pomocí syslog s kompletními informacemi o události. Každá další událost, která je považována za duplicitní, nebude po zbytek dne odeslána pomocí syslogu (na základě času serveru SaaS).

Pokud je počítadlo pro konkrétní událost Script Control větší než jedna, odešle se událost pomocí syslog s počtem všech duplicitních událostí, které byly tento den zaznamenány. Pokud je počítadlo jedna, není pomocí syslog odeslána žádná další zpráva.

Určení, zda je událost Script Control duplicitní, používá následující logiku:

• Podívejte se na klíčové informace: Device, Hash, Username, Block a Alert.
• Pro první přijatou událost dne nastavte hodnotu počítadla na 1. Pro Block a Alert jsou k dispozici samostatná počítadla.
• Všechny následující události se stejným klíčem zvyšují počítadlo.
• Počítadlo se vynuluje každý kalendářní den podle času serveru SaaS.

Obrázek 12: (Pouze v angličtině) Příklad zprávy Script Control

Threats

Výběrem této možnosti se všechny nově nalezené hrozby nebo změny zjištěné u jakékoli stávající hrozby zaprotokolují na server Syslog. Mezi změny patří odstranění hrozby, umístění do karantény, vypuštění nebo spuštění.

Existuje pět typů událostí hrozeb:

• threat_found: Byla nalezena nová hrozba ve stavu Unsafe.
• threat_removed: Stávající hrozba byla odstraněna.
• threat_quarantined: Byla nalezena nová hrozba ve stavu Quarantine.
• threat_waived: Byla nalezena nová hrozba ve stavu Waived.
• threat_changed: Chování hrozby bylo změněno (příklady: Skóre, stav karantény, stav běhu)

Existuje šest typů klasifikace hrozeb:

• File Unavailable: Z důvodu omezení nahrávání (například soubor je příliš velký na to, aby se dal nahrát) není soubor k dispozici pro analýzu.
• Malware: Soubor je klasifikován jako malware.
• Possible PUP: Soubor může být potenciálně nežádoucím programem (PUP).
• PUP: Soubor je považován za potenciálně nežádoucí program (PUP).
• Trusted: Soubor je považován za důvěryhodný.
• Unclassified: ATP tento soubor neanalyzovalo.

Obrázek 13: (Pouze v angličtině) Příklad zprávy o události hrozby

Threat Classifications

Služba Advanced Threat Prevention společnosti Dell každý den klasifikuje stovky hrozeb jako malware nebo potenciálně nežádoucí programy (PUP).

Výběrem této možnosti budete upozorněni na výskyt těchto událostí.

Obrázek 14: (Pouze v angličtině) Příklad zprávy o klasifikaci hrozby

Security Information and Event Management (SIEM)

Určuje typ serveru Syslog nebo SIEM, kam mají být události odeslány.

Protokol

Musí odpovídat nastavení nakonfigurovému na serveru Syslog. Možnosti jsou UDP nebo TCP. Výchozí nastavení je TCP a doporučujeme zákazníkům, aby jej používali. Protokol UDP se nedoporučuje, jelikož nezaručuje doručení zpráv.

TLS/SSL

K dispozici pouze při výběru protokolu TCP. Protokol TLS/SSL zajišťuje šifrování zprávy Syslog při přenosu na server Syslog. Zákazníkům doporučujeme vybrat tuto možnost. Ujistěte se, že server Syslog je nakonfigurován tak, aby poslouchal zprávy TLS/SSL.

IP/Domain

Určuje IP adresu nebo plně kvalifikovaný název domény serveru Syslog, který zákazník nastavil. Poraďte se s interními odborníky na síť, abyste se ujistili, že nastavení firewallu a domény jsou správně nakonfigurována.

Port

Určuje číslo portu na počítačích, na kterých server Syslog poslouchá zprávy. Musí se jednat o číslo mezi 1 a 65535. Typické hodnoty jsou: 512 pro UDP, 1235 nebo 1468 pro TCP a 6514 pro zabezpečené TCP (například: TCP s povoleným protokolem TLS/SSL)

Závažnost

Určuje závažnost zpráv, které se mají zobrazovat na serveru Syslog (toto pole je subjektivní a můžete jej nastavit na libovolnou úroveň). Hodnota závažnosti nemění zprávy přeposílané do aplikace Syslog.

Facility

Určuje, jaký typ aplikace protokoluje zprávu. Výchozí hodnota je Internal (nebo Syslog). Slouží ke kategorizaci zpráv, když je server Syslog obdrží.

Custom Token

Některé služby správy protokolů, například SumoLogic, mohou vyžadovat vlastní token, který je součástí zpráv syslog, aby bylo možné zjistit, kam se tyto zprávy mají zařadit. Vlastní token poskytuje službu správy protokolů.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

Testování připojení

Kliknutím na tlačítko Test Connection otestujete nastavení možností IP/Domain, Port a Protocol. Pokud jsou zadány platné hodnoty, zobrazí se potvrzení o úspěšném provedení.

Obrázek 15: (Pouze v angličtině) Banner úspěšného připojení

V konzoli serveru Syslog se zobrazí následující zpráva o testu připojení:

Obrázek 16: (Pouze v angličtině) Zpráva o testu připojení

sl_file_upload

Událost, která informuje správce, když byl soubor odeslán poskytovateli cloudu.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

• Mac
• Windows
• Android
• iOS

Datová část
Poskytovatel	Proces, který provádí nahrávání.
Soubor	Informace o nahrávaném souboru zahrnují keyid, cestu, název souboru a velikost.
Geometrie	Místo, kde se tato událost odehrála.
Loggedinuser	Uživatel přihlášený k zařízení.

Příklad:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Událost, ke které dojde, když uživatel změní zásadu složky prostřednictvím konzole pro správu složek.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

• Mac
• Windows
• Android
• iOS

Datová část
Folderpath	Složka, ve které byla změněna úroveň ochrany.
Ochrana složek	Řetězec, který definuje úroveň ochrany: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometrie	Místo, kde se tato událost odehrála.
Loggedinuser	Uživatel přihlášený k zařízení.

Příklad:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Událost, která informuje správce, že byl zablokován přístup k poskytovateli cloudu.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

• Mac
• Windows
• Android
• iOS

Datová část
Adresa	Proces, který provádí nahrávání.
Proces	Informace o nahrávaném souboru zahrnují keyid, cestu, název souboru a velikost.
Aplikace	Typ procesu, který se pokouší získat přístup k zablokovanému poskytovateli cloudu. App, Proxy nebo Browser
Čistá akce	Typ probíhající akce. (pouze hodnota Blocked)
Geometrie	Místo, kde se tato událost odehrála.
Loggedinuser	Uživatel přihlášený k zařízení.

Příklad:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Události, které se týkají akcí souvisejících s e-mailovými zprávami chráněnými softwarem Dell Data Guardian.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

• Mac
• Windows
• Android
• iOS

Datová část
Email messages	Pole objektů e-mailů.
keyId	ID klíče použitého k ochraně e-mailu.
Předmět	Předmět e-mailu.
na	E-mailové adresy, na které byl e-mail odeslán.
cc	E-mailové adresy, na které byl e-mail zkopírován.
Skrytá	E-mailové adresy, na které byl e-mail skrytě zkopírován.
Z	E-mailová adresa osoby, která e-mail odeslala.
Přílohy	Názvy příloh přidaných do e-mailu.
Akce	"Otevřeno", "Vytvořeno", "Zodpovězeno", "Odesláno"
Loggedinuser	Uživatel přihlášený k zařízení.

Příklad:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Události, které se týkají akcí souvisejících s dokumenty sady Office chráněnými softwarem Dell Data Guardian.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

• Mac
• Windows
• Android
• iOS

Datová část
Soubor	Informace o souboru, který byl šifrován, dešifrován nebo odstraněn.
clientType	Typ klienta, který byl nainstalován. Externí nebo interní.
Akce	Created, Accessed, Modified, Unprotected, AttemptAccess
Slaction	New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering, DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometrie	Místo, kde se tato událost odehrála.
Z	Časové razítko pro souhrnnou událost, když začala.
na	Časové razítko souhrnné události, kdy událost skončila.
Loggedinuser	Uživatel přihlášený k zařízení.
Informace o aplikaci	Informace o aplikaci používající chráněný dokument sady Office.

Příklad:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Událost, ke které dojde, když počítač vydá událost.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

• Mac
• Windows
• Android
• iOS

Datová část
Akce	Příklady toho, co počítač dělá – přihlášení, odhlášení, tisk obrazovky, zablokování procesu
Geometrie	Místo, kde se tato událost odehrála.
clientType	Typ klienta, který byl nainstalován. Externí nebo interní
Loggedinuser	Uživatel, který se přihlásil k zařízení.
processInfo	Informace o procesu
Dispozice	Jak byl proces zablokován – Ukončeno, Blokováno, Žádné.
Název	Název procesu.

Příklad:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition Události, které určují, kdy má být soubor zašifrován, dešifrován nebo odstraněn z podporovaného poskytovatele cloudu.

Agent, který událost vygeneruje, může být jedním nebo více z následujících:

• Mac
• Windows
• Android
• iOS

Datová část
Soubor	Informace o souboru, který byl šifrován, dešifrován nebo odstraněn.
clientType	Typ klienta, který byl nainstalován. Externí nebo interní.
Akce	Created, Accessed, Modified, Deleted
Název mraku	Název souboru v cloudu se může lišit od názvu ve výše uvedeném tagu souboru.
Xenakce	Popis toho, co se služba DG snaží udělat. Hodnoty – Encrypt, Decrypt, Deleted.
Geometrie	Místo, kde se tato událost odehrála.
Loggedinuser	Uživatel přihlášený k zařízení.

Příklad:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}