Dell Security Management Server Syslog- und SIEM-Handbuch)

Auf dem Server 9.2 wurde die Fähigkeit zur Kommunikation mit der Advanced Threat Prevention-Cloud eingeführt, wodurch die Konfiguration dazu ermöglicht wurde, Advanced Threat Event-Daten an eine SIEM-Anwendung zu senden.

Um diese Daten in der WebUI von Dell Security Management Server oder Dell Security Management Server Virtual zu konfigurieren, gehen Sie zu Populations >Enterprise >Advanced Threats (diese Registerkarte ist nur sichtbar, wenn Advanced Threat Prevention über die Aufgabe Management >Services Management aktiviert wurde) >Options.

Die Seite "Options" verfügt über ein Kontrollkästchen für Syslog/SIEM, mit dem wir konfigurieren können, wohin die Daten gesendet werden. Diese Daten stammen von den Advanced Threat Prevention-Servern, die in Amazon Web Services gehostet werden.

Wenn die Advanced Threat Prevention Syslog-Integration Syslog-Nachrichten nicht erfolgreich an Ihren Server senden kann, wird eine E-Mail-Benachrichtigung an alle AdministratorInnen mit einer bestätigten E-Mail-Adresse im Unternehmen gesendet, die sie über das Syslog-Problem informiert.

Wenn das Problem vor Ende des 20-Minuten-Zeitraums behoben wurde, werden weiterhin Syslog-Meldungen versendet. Wenn das Problem nach Ende des 20-Minuten-Zeitraums behoben wurde, müssen AdministratorInnen die syslog-Meldungen erneut aktivieren.

Hier ist eine Beispielkonfiguration eines externen vollqualifizierten Domänennamens (FQDN) von extsiem.domain.org über Port 5514. Bei dieser Konfiguration wird davon ausgegangen, dass extsiem.domain.com über einen externen DNS-Eintrag verfügt, der auf den Server innerhalb der Umgebung aufgelöst wird, auf dem die SIEM- oder Syslog-Anwendung ausgeführt wird, und Port 5514 vom Gateway der Umgebung an das Ziel-SIEM oder die Syslog-Anwendung weitergeleitet wurde.

Abbildung 1: (Nur in englischer Sprache) Dell Data Security-Konsole

Ereignisse, die über diese Funktion kommen, erhalten ein Branding von unserem Anbieter Cylance.

IP- und Hostnameninformationen für Firewall- und Zugriffszwecke

Das SaaS für Advanced Threat Prevention verfügt über mehrere IP-Adressen für jede Region. Dies ermöglicht eine Erweiterung ohne Unterbrechung eines Syslog-Services. Lassen Sie bei der Konfiguration Ihrer Regeln alle IP-Adressen zu, die auf Ihrer Region basieren. Protokolle von einer Cylance-Quelle von einer dieser IP-Adressen können sich zufällig ändern.

USA (my.cylance.com and my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com and my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Für Dell Security Management Server und Dell Security Management Server Virtual wurde in Version 9.7 die Möglichkeit eingeführt, von Agents empfangene Ereignisse zu senden. Dies umfasst die unverarbeiteten, ungefilterten Ereignisse von Dell Endpoint Security Suite Enterprise und Ereignisse von Dell Secure Lifecycle und Dell Data Guardian.

Serverkonfiguration

Sie können Security Management Server so konfigurieren, dass Agent-Ereignisdaten innerhalb von Management>Services Management Event >Management gesendet werden. Diese Daten können in eine lokale Datei oder ein Syslog exportiert werden. Zwei Optionen stehen zur Verfügung: In lokale Datei exportieren und in Syslog exportieren

Abbildung 2: (Nur in englischer Sprache) Ereignismanagement

In lokale Datei exportieren aktualisiert die audit-export.log Datei, sodass sie von einer universellen Weiterleitung verwendet wird. Der Standardspeicherort dieser Datei ist C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Diese Datei wird alle zwei Stunden mit Daten aktualisiert. Diese Datei kann von einer Weiterleitung aufgenommen und genutzt werden. Weitere Informationen zu Weiterleitungen finden Sie in der spezifischen Syslog- oder SIEM-Anwendung, die Sie zur Aufnahme dieser Daten nutzen, da Weiterleitungen je nach Anwendung unterschiedlich sind.

Abbildung 3: (Nur in englischer Sprache) In lokale Datei exportieren

Der Export in Syslog ermöglicht die direkte Verbindung zu einem internen SIEM- oder Syslog-Server innerhalb der Umgebung. Diese Protokolle werden in einem einfachen Format formatiert, das auf RFC-3164 in einem JSON-Bundle basiert. Diese Daten stammen vom Dell Security Management Server und werden direkt an den SIEM- oder Syslog-Server gesendet. Diese Daten werden alle zwei Stunden mithilfe eines Jobs erfasst und gesendet.

Abbildung 4: (Nur in englischer Sprache) In Syslog exportieren

Die Ereignisdaten von Dell Endpoint Security Suite Enterprise, die gesendet werden, sind oben aufgeführt. In der Regel sendet SaaS diese Daten, sodass der Dell Security Management Server diese Daten von den Agenten erfassen kann, während diese die Bestände überprüfen und an die konfigurierte SIEM- oder Syslog-Anwendung weiterleiten.

Agent-Ereignisdaten enthalten sowohl die zuvor erwähnten Ereignisdaten von Dell Endpoint Security Suite Enterprise als auch Daten von Dell Secure Lifecycle und Dell Data Guardian. Diese Daten werden auch in Ereignissen angezeigt.

Anwendungskontrolle

Diese Option ist nur für NutzerInnen sichtbar, für die die Anwendungssteuerungsfunktion aktiviert ist. Anwendungssteuerungsereignisse stellen Aktionen dar, die auftreten, wenn sich das Gerät im Anwendungssteuerungsmodus befindet. Wenn Sie diese Option auswählen, wird eine Meldung an den Syslog-Server gesendet, wenn versucht wird, eine ausführbare Datei zu ändern, zu kopieren oder wenn versucht wird, eine Datei von einem Gerät oder Netzwerkspeicherort auszuführen.

Abbildung 5: (Nur in englischer Sprache) Beispielmeldung für „Deny PE File Change“

Abbildung 6: (Nur Englisch) Beispielmeldung für "deny execution from a external drive"

Auditprotokoll

Wenn Sie diese Option auswählen, wird das Auditprotokoll der im SaaS durchgeführten Nutzeraktionen an den Syslog-Server gesendet. Auditprotokollereignisse werden auf dem Bildschirm „Audit Log“ angezeigt, selbst wenn diese Option deaktiviert ist.

Abbildung 7: (Nur in englischer Sprache) Beispielmeldung für Auditprotokoll, das an Syslog weitergeleitet wird

Geräte

Wenn Sie diese Option auswählen, werden Geräteereignisse an den Syslog-Server gesendet.

• Wenn ein neues Gerät registriert ist, erhalten Sie zwei Meldungen für dieses Ereignis: Registration und SystemSecurity

Abbildung 8: (Nur in englischer Sprache) Beispielmeldung für Ereignis „Gerät registriert“

• Wenn ein Gerät entfernt wird

Abbildung 9: (Nur in englischer Sprache) Beispielmeldung für Ereignis „Gerät entfernt“

• Wenn sich die Richtlinie, die Zone, der Name oder die Protokollierungsebene eines Geräts geändert hat.

Abbildung 10: (Nur in englischer Sprache) Beispielmeldung für Ereignis „Gerät aktualisiert“

Schutz des Arbeitsspeichers

Wenn Sie diese Option auswählen, werden alle Arbeitsspeicher-Exploit-Versuche auf dem Syslog-Server protokolliert, die als Angriff von einem beliebigen Gerät des Mandanten betrachtet werden können. Es gibt vier Arten von Arbeitsspeicher-Exploit-Aktionen:

• None: Zulässig, weil keine Policy für diesen Verstoß definiert wurde.
• Allowed: Zulässig gemäß Policy
• Blocked: Ausführung durch Policy blockiert
• Terminated: Der Prozess wurde beendet.

Abbildung 11: (Nur in englischer Sprache) Beispielmeldung für das Ereignis „Arbeitsspeicherschutz“

Skriptkontrolle

Wenn Sie diese Option auswählen, werden alle neu gefundenen Skripte auf dem Syslog-Server protokolliert, die von Advanced Threat Prevention überführt werden.

Syslog Skriptkontrollereignisse enthalten die folgenden Eigenschaften:

• Achtung: Das Skript kann ausgeführt werden. Ein Skriptkontrollereignis wird an die Konsole gesendet.
• Block: Das Skript darf nicht ausgeführt werden. Ein Skriptkontrollereignis wird an die Konsole gesendet.

Reporting-Häufigkeit

Wenn zum ersten Mal ein Skriptkontrollereignis erkannt wird, wird eine Nachricht über Syslog mit vollständigen Ereignisinformationen gesendet. Jedes nachfolgende Ereignis, das als Duplikat betrachtet wird, wird für den Rest des Tages (basierend auf der SaaS-Serverzeit) nicht mit Syslog gesendet.

Wenn der Zähler für ein bestimmtes Skriptkontrollereignis größer als eins ist, wird über Syslog ein Ereignis mit der Anzahl aller doppelten Ereignisse gesendet, die an diesem Tag aufgetreten sind. Wenn der Zähler gleich eins ist, wird keine zusätzliche Meldung über Syslog gesendet.

Ob ein Skriptkontrollereignis ein Duplikat ist, wird mit folgender Logik ermittelt:

• Wichtigste Informationen betrachten: Gerät, Hash, Nutzername, Block und Warnmeldung
• Für das erste Ereignis, das an einem Tag empfangen wurde, einen Zählerwert von 1 festlegen. Es gibt separate Zähler für Block und Alert.
• Alle nachfolgenden Ereignisse mit demselben Schlüssel erhöhen den Zähler
• Der Zähler wird jeden Kalendertag gemäß der SaaS-Serverzeit zurückgesetzt.

Abbildung 12: (Nur in englischer Sprache) Beispielmeldung der Skriptkontrolle

Bedrohungen

Bei Auswahl dieser Option werden alle neu gefundenen Bedrohungen oder Änderungen, die für eine vorhandene Bedrohung beobachtet wurden, auf dem Syslog-Server protokolliert. Zu den Änderungen gehört, dass eine Bedrohung entfernt, unter Quarantäne gestellt, freigegeben oder ausgeführt wird.

Es gibt fünf Bedrohungsereignistypen:

• threat_found: Eine neue Bedrohung wurde im Status Unsafe gefunden.
• threat_removed: Eine vorhandene Bedrohung wurde entfernt.
• threat_quarantined: Eine neue Bedrohung wurde im Status Quarantine gefunden.
• threat_waived: Eine neue Bedrohung wurde im Status Waived gefunden.
• threat_changed: Das Verhalten einer vorhandenen Bedrohung hat sich geändert (Beispiele: Bewertung, Quarantänestatus, Ausführungsstatus)

Es gibt sechs Bedrohungsklassifizierungstypen:

• File Unavailable: Aufgrund einer Uploadbeschränkung (z. B. Datei ist zu groß zum Hochladen) ist die Datei nicht für die Analyse verfügbar.
• Malware: Die Datei wurde als Malware klassifiziert.
• Possible PUP: Die Datei kann ein potenziell unerwünschtes Programm (PUP) sein.
• PUP: Die Datei wird als potenziell unerwünschtes Programm (PUP) betrachtet.
• Trusted: Die Datei gilt als vertrauenswürdig.
• Unclassified: ATP hat diese Datei nicht analysiert.

Abbildung 13: (Nur in englischer Sprache) Beispielmeldung eines Bedrohungsereignisses

Bedrohungsklassifizierungen

Jeden Tag stuft Dell Advanced Threat Prevention Hunderte von Bedrohungen entweder als Malware oder potenziell unerwünschte Programme (PUPs) ein.

Wenn Sie diese Option auswählen, werden Sie benachrichtigt, wenn diese Ereignisse auftreten.

Abbildung 14: (Nur in englischer Sprache) Beispielmeldung zur Bedrohungsklassifizierung

SIEM (Security Information and Event Management)

Gibt den Typ des Syslog-Servers oder SIEM an, an den Ereignisse gesendet werden sollen.

Protokoll

Dies muss mit dem übereinstimmen, was Sie auf Ihrem Syslog-Server konfiguriert haben. Die Auswahlmöglichkeiten sind UDP oder TCP. TCP ist die Standardeinstellung und wir empfehlen KundInnen, sie zu verwenden. UDP wird nicht empfohlen, da die Nachrichtenbereitstellung nicht garantiert ist.

TLS/SSL

Nur verfügbar, wenn das angegebene Protokoll TCP ist. TLS/SSL stellt sicher, dass die Syslog-Meldung während der Übertragung an den Syslog-Server verschlüsselt wird. Wir empfehlen KundInnen, diese Option auszuwählen. Stellen Sie sicher, dass Ihr Syslog-Server so konfiguriert ist, dass er auf TLS-/SSL-Nachrichten überwacht.

IP/Domain

Gibt die IP-Adresse oder den vollständig qualifizierten Domainnamen des Syslog-Servers an, den die KundInnen eingerichtet haben. Wenden Sie sich an Ihre internen NetzwerkexpertInnen, um sicherzustellen, dass die Firewall- und Domaineinstellungen ordnungsgemäß konfiguriert sind.

Schnittstelle

Gibt die Portnummer auf den Maschinen an, die der Syslog-Server auf Meldungen überwacht. Muss eine Zahl zwischen 1 und 65535 sein. Typische Werte sind: 512 für UDP, 1235 oder 1468 für TCP und 6514 für Secured TCP (z. B.: TCP mit aktiviertem TLS/SSL)

Schweregrad

Gibt den Schweregrad der Meldungen an, die auf dem Syslog-Server angezeigt werden sollen (dies ist ein subjektives Feld und Sie können es auf eine beliebige Stufe einstellen). Der Wert des Schweregrads ändert nicht die Nachrichten, die an Syslog weitergeleitet werden.

Anlage

Gibt an, welche Art von Anwendung die Meldung protokolliert. Der Standardwert ist Internal (oder Syslog). Dies wird verwendet, um die Meldungen zu kategorisieren, wenn der Syslog-Server sie empfängt.

Benutzerdefiniertes Token

Einige Protokollverwaltungsservices, wie SumoLogic, benötigen möglicherweise ein benutzerdefiniertes Token, das in Syslog-Meldungen enthalten ist, um zu ermitteln, wohin diese Meldungen gehen sollen. Das benutzerdefinierte Token stellt Ihren Protokollverwaltungsservice bereit.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

Testen der Verbindung

Klicken Sie auf „Test Connection“, um die IP-/Domain-, Port- und Protokolleinstellungen zu testen. Wenn gültige Werte eingegeben werden, wird eine Erfolgsbestätigung angezeigt.

Abbildung 15: (Nur in englischer Sprache) Banner „Verbindung erfolgreich“

In der Syslog-Serverkonsole erhalten Sie die folgende Testverbindungsmeldung:

Abbildung 16: (Nur in englischer Sprache) Meldung „Verbindung testen“

sl_file_upload

Ereignis, das AdministratorInnen darüber informiert, wann eine Datei zu einem Cloud-Anbieter hochgeladen wurde.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

• Mac
• Windows
• Android
• iOS

Payload
Anbieter	Prozess, der den Upload durchführt.
Datei	Informationen über die hochgeladene Datei umfassen Schlüssel-ID, Pfad, Dateiname und Größe.
Geometrie	Der Ort, an dem diese Veranstaltung stattgefunden hat.
Loggedinuser	Nutzer, der beim Gerät angemeldet ist.

Beispiel:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Ereignis, das auftritt, wenn NutzerInnen die Ordner-Policy über die Ordnerverwaltungskonsole ändern.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

• Mac
• Windows
• Android
• iOS

Payload
Ordnerpfad	Ordner, in dem das Schutzlevel geändert wurde
Ordnerschutz	Eine Zeichenfolge, die ein Schutzlevel definiert: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometrie	Der Ort, an dem diese Veranstaltung stattgefunden hat.
Loggedinuser	Nutzer, der beim Gerät angemeldet ist.

Beispiel:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Ereignis, das einen Administrator darüber informiert, wenn der Zugriff auf einen Cloud-Anbieter blockiert wurde.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

• Mac
• Windows
• Android
• iOS

Payload
Adresse	Prozess, der den Upload durchführt.
Prozess	Informationen über die hochgeladene Datei umfassen Schlüssel-ID, Pfad, Dateiname und Größe.
Anwendung	Art des Prozesses, der versucht, auf einen blockierten Cloud-Anbieter zuzugreifen. App, Proxy oder Browser
Netaction	Art der ausgeführten Aktion. (Nur ein Wert „Blocked“)
Geometrie	Der Ort, an dem diese Veranstaltung stattgefunden hat.
Loggedinuser	Nutzer, der beim Gerät angemeldet ist.

Beispiel:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Ereignisse, die sich auf Aktionen beziehen, die im Zusammenhang mit durch Dell Data Guardian geschützten E-Mail-Nachrichten stehen.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

• Mac
• Windows
• Android
• iOS

Payload
E-Mail-Nachrichten	Array von E-Mail-Objekten
keyId	Schlüssel-ID, die zum Schutz der E-Mail verwendet wird.
Betreff	Betreffzeile der E-Mail
Zu:	E-Mail-Adressen, an die die E-Mail gesendet wurde.
cc	E-Mail-Adressen, an die die E-Mail kopiert wurde.
Bcc	E-Mail-Adressen, an die die E-Mail blind kopiert wurde.
Von	E-Mail-Adresse der Person, die die E-Mail gesendet hat.
Anlagen	Namen von Anhängen, die der E-Mail hinzugefügt wurden.
Aktion	"Geöffnet", "erstellt", "geantwortet", "gesendet"
Loggedinuser	Nutzer, der beim Gerät angemeldet ist.

Beispiel:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Ereignisse, die sich auf Aktionen beziehen, die im Zusammenhang mit durch Dell Data Guardian geschützten Office-Dokumenten stehen.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

• Mac
• Windows
• Android
• iOS

Payload
Datei	Dateiinformationen dazu wurden Encrypted, Decrypted oder Deleted.
clientType	Clienttyp, der installiert wurde. External oder Internal
Aktion	Created, Accessed, Modified, Unprotected, AttemptAccess
Slaction	New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering, DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometrie	Der Ort, an dem diese Veranstaltung stattgefunden hat.
Von	Zeitstempel für das zusammenfassende Ereignis zu Beginn des Ereignisses.
Zu:	Zeitstempel für das zusammenfassende Ereignis, wann das Ereignis beendet wurde.
Loggedinuser	Nutzer, der beim Gerät angemeldet ist.
Appinfo	Informationen über die Anwendung, die das geschützte Office-Dokument verwendet.

Beispiel:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Ereignis, das auftritt, wenn der Computer ein Ereignis ausgibt.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

• Mac
• Windows
• Android
• iOS

Payload
Aktion	Was der Computer tut, Beispiele: Anmeldung, Abmeldung, PrintScreenBlocked, ProcessBlocked
Geometrie	Der Ort, an dem diese Veranstaltung stattgefunden hat.
clientType	Clienttyp, der installiert wurde. Extern oder intern
Loggedinuser	Nutzer, der sich beim Gerät angemeldet hat.
processInfo	Informationen zum Prozess
Disposition	Wie der Prozess blockiert wurde – beendet, blockiert, Keine.
Name	Name des Prozesses

Beispiel:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition-Ereignisse, die angeben, wann eine Datei von einem unterstützten Cloud-Anbieter verschlüsselt, entschlüsselt oder gelöscht wird.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

• Mac
• Windows
• Android
• iOS

Payload
Datei	Dateiinformationen dazu wurden Encrypted, Decrypted oder Deleted.
clientType	Clienttyp, der installiert wurde. External oder Internal
Aktion	Created, Accessed, Modified, Deleted
Cloud-Name	Der Name der Datei in der Cloud unterscheidet sich möglicherweise von dem im obigen Datei-Tag
Xenaction	Beschreibung, was der DG-Service zu tun versucht. Werte: Encrypt, Decrypt, Deleted.
Geometrie	Der Ort, an dem diese Veranstaltung stattgefunden hat.
Loggedinuser	Nutzer, der beim Gerät angemeldet ist.

Beispiel:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}