Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

Guía de Syslog y SIEM de Dell Security Management Server

Summary: En este artículo, se describe el proceso de integración de Gestión de eventos e información de seguridad.

This article applies to   This article does not apply to 
Check out resources for

Instructions

Productos afectados:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

¿Qué es un servidor o dispositivo de administración de eventos e información de seguridad (SIEM)?

SIEM puede importar datos y ejecutar reglas o informes que se basan en los datos. El objetivo es agregar datos de diversos orígenes, identificar anomalías en los datos y tomar las medidas adecuadas en función de los datos.

¿Qué opciones debo enviar a una aplicación SIEM o Syslog?

Dell Security Management Server y Dell Security Management Server Virtual ofrecen dos formas diferentes de consumir datos en una aplicación SIEM o Syslog.

En el servidor 9.2, se agregó la capacidad de comunicarse con la nube de Advanced Threat Prevention, lo que permitió configurar los datos de eventos de amenazas avanzadas para que se envíen a una aplicación SIEM.

Para configurar estos datos dentro de la interfaz de usuario web de Dell Security Management Server o Dell Security Management Server Virtual, vaya a Populations >Enterprise >Advanced Threats (esta pestaña solo está visible si Advanced Threat Prevention se habilitó a través de la tarea Management> Services Management). >

La página Options tiene una casilla de verificación para Syslog/SIEM que nos permite configurar a dónde se envían los datos. Estos datos provienen de los servidores de Advanced Threat Prevention que están alojados en Amazon Web Services.

Si la integración de syslog de Advanced Threat Prevention no puede entregar correctamente los mensajes de syslog al servidor, se envía una notificación por correo electrónico a los administradores con una dirección de correo electrónico confirmada en la organización y se les alerta sobre el problema de syslog.

Si el problema se resuelve antes de que finalice el período de 20 minutos, se seguirán entregando mensajes de syslog. Si el problema se resuelve después del período de 20 minutos, un administrador debe volver a activar los mensajes de syslog.

Este es un ejemplo de configuración de un nombre de dominio calificado (FQDN) externo de extsiem.domain.org por el puerto 5514. Esta configuración supone que extsiem.domain.com tiene una entrada de DNS externa que se resuelve en el servidor dentro del entorno que ejecuta la aplicación SIEM o syslog, y el puerto 5514 se reenvía desde la puerta de enlace del entorno a la aplicación SIEM o Syslog de destino.

Consola de Dell Data Security
Figura 1: Dell Data Security Console (solo en inglés)

Los eventos que vienen a través de esta funcionalidad son de marca, ya que provienen de nuestro proveedor, Cylance.

Información de dirección IP y nombre de host para fines de firewall y acceso

El SaaS de Advanced Threat Prevention tiene varias direcciones IP para cada región. Esto permite la expansión sin interrumpir ningún servicio de registro del sistema. Permita todas las direcciones IP que se basan en su región cuando configure las reglas. Se crean registros de Cylance desde una de estas direcciones IP y esto puede cambiar aleatoriamente.

Nota: Estas direcciones IP deben permanecer estáticas; sin embargo, es posible que Cylance actualice esta lista en el futuro. Los cambios se comunican mediante un correo electrónico a los administradores de la consola de Cylance. Es responsabilidad del administrador de red actualizar sus reglas en respuesta a los cambios.

EE. UU. (my.cylance.com y my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

Australia (my-au.cylance.com)

52.63.15.218
52.65.4.232

UE (my-vs0-euc1.cylance.com y my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server y Dell Security Management Server Virtual agregaron la capacidad de enviar eventos recibidos de agentes en la versión 9.7. Esto incluye los eventos crudos sin filtrar de Dell Endpoint Security Suite Enterprise y los eventos de Dell Secure Lifecycle y Dell Data Guardian.

Configuración del servidor

Puede configurar Security Management Server para que envíe datos de eventos del agente dentro de Administraciónde eventos de administración >de servicios de administración>. Estos datos se pueden exportar a un archivo local o syslog. Para esto, existen dos opciones: Exportar a archivo local y exportar a syslog

Administración de eventos
Figura 2: (Solo en inglés) Administración de eventos

Exportar a archivo local, actualiza el archivo audit-export.log para que lo consuma un reenviador universal. La ubicación predeterminada de este archivo es C:\Archivos de programa\Dell\Enterprise Edition\Security Server\logs\siem\.

Este archivo se actualiza cada dos horas con datos. Un reenviador puede recoger y consumir este archivo. Para obtener más información acerca de los reenviadores, consulte la aplicación Syslog o SIEM específica que está usando para consumir estos datos, ya que los reenviadores difieren según la aplicación.

Exportar a archivo local
Figura 3: (Solo en inglés) Export to Local File

La exportación a Syslog permite la conexión directa a un servidor SIEM o Syslog interno dentro del entorno. Estos registros se formatean en un formato simple basado en RFC-3164 en un paquete json. Estos datos provienen de Dell Security Management Server y se envían directamente al SIEM o al servidor Syslog. Estos datos se recopilan y se envían cada dos horas mediante un trabajo.

Exportar a Syslog
Figura 4: (Solo en inglés) Export to Syslog

Los datos de eventos de Dell Endpoint Security Suite Enterprise que se envían se mencionaron anteriormente. Por lo general, SaaS envía estos datos, lo que permite que Dell Security Management Server pueda recopilar estos datos de los agentes a medida que se registran con los inventarios y reenviarlos a la aplicación SIEM o Syslog configurada.

Los datos de eventos del agente contienen los datos de eventos de Dell Endpoint Security Suite Enterprise mencionados anteriormente, así como los datos de Dell Secure Lifecycle y Dell Data Guardian. Estos datos también vienen en eventos.

Application Control (Control de aplicaciones)

Esta opción solo es visible para los usuarios que tienen habilitada la función de control de aplicaciones. Los eventos control de aplicaciones representan acciones que se producen cuando el dispositivo está en el modo Application Control. Al seleccionar esta opción, se envía un mensaje al servidor Syslog cada vez que se intenta modificar, copiar un archivo ejecutable o ejecutar un archivo desde un dispositivo o una ubicación de red.

Mensaje de ejemplo para denegar el cambio del archivo PE
Figura 5: (Solo en inglés) Mensaje de ejemplo de denegación del cambio de archivo PE

Mensaje de ejemplo para denegar la ejecución desde una unidad externa
Figura 6: (Solo en inglés) Mensaje de ejemplo para denegar la ejecución desde una unidad externa

Registro de auditoría

Cuando se selecciona esta opción, se envía el registro de auditoría de las acciones de usuario que se realizan en el SaaS al servidor syslog. Los eventos del registro de auditoría aparecen en la pantalla Audit Log, incluso cuando se borra esta opción.

Mensaje de ejemplo para el registro de auditoría que se reenvía al registro del sistema
Figura 7: (Solo en inglés) Mensaje de ejemplo de reenvío de registro de auditoría a syslog

Dispositivos

Si selecciona esta opción, se envían eventos de dispositivo al servidor syslog.

  • Cuando se registra un nuevo dispositivo, recibe dos mensajes de este evento: Registration y SystemSecurity
Nota: Los mensajes de SystemSecurity también se generan cuando un usuario inicia sesión en un dispositivo. Este mensaje puede enviarse varias veces, no solo durante el registro.

Mensaje de ejemplo para el evento registrado del dispositivo
Figura 8: (Solo en inglés) Mensaje de ejemplo de evento de registro de dispositivo

  • Cuando se quita un dispositivo

Mensaje de ejemplo para un evento de dispositivo eliminado
Figura 9: (Solo en inglés) Mensaje de ejemplo de evento de extracción de dispositivo

  • Cuando la política, la zona, el nombre o el nivel de registro de un dispositivo ha cambiado.

Mensaje de ejemplo para un evento de actualización de dispositivo
Figura 10: (Solo en inglés) Mensaje de ejemplo de evento de actualización de dispositivo

Memory Protection (Protección de la memoria)

Si selecciona esta opción, se registra cualquier intento de infringir la seguridad de la memoria que podría considerarse un ataque desde cualquiera de los dispositivos del grupo de usuarios al servidor syslog. Hay cuatro tipos de acciones para infringir la seguridad de la memoria:

  • None: Permitida porque no se definió ninguna política para esta infracción.
  • Allowed: Permitida por la política
  • Blocked: Bloqueo de ejecución debido a la política
  • Terminated: El proceso finalizó.

Mensaje de ejemplo de evento de protección de memoria
Figura 11: (Solo en inglés) Mensaje de ejemplo de evento de protección de memoria

Control de scripts

Al seleccionar esta opción, se registran los scripts recién encontrados en el servidor de registro del sistema que Advanced Threat Prevention condena.

Los eventos de Syslog de control de script contienen las siguientes propiedades:

  • Alerta: El script puede ejecutarse. Se envía un evento de control de script a la consola.
  • Block: No se permite ejecutar el script. Se envía un evento de control de script a la consola.

Frecuencia de generación de informes

La primera vez que se detecta un evento de control de script, se envía un mensaje syslog con la información completa del evento. Cada evento subsiguiente que se considere un duplicado no se envía mediante syslog durante el resto del día (según la hora del servidor SaaS).

Si el contador de un evento de control de script específico es mayor que uno, se envía un evento mediante syslog con el conteo de todos los eventos duplicados que han ocurrido ese día. Si el contador es igual a uno, no se envía ningún mensaje adicional mediante syslog.

Para determinar si un evento de control de script es un duplicado se utiliza la siguiente lógica:

  • Se observa la información clave: Dispositivo, hash, nombre de usuario, bloqueos y alertas
  • Para el primer evento recibido en un día, se establece el valor del contador en 1. Hay contadores independientes para los bloqueos y alertas.
  • Todos los eventos subsiguientes con la misma tecla incrementan el contador
  • El contador se restablece cada día civil, según la hora del servidor SaaS.
Nota: Si el Script A se ejecuta en un Dispositivo 1 a las 11:59 p. m. del 20 de septiembre del 2016 y vuelve a ejecutarse a las 12:05 a. m. y a las 12:15 a. m. del 21 de septiembre del 2016, el resultado será el siguiente:
  • Se envía un mensaje de registro del sistema el 20/09/2016 para el evento de Script Control de ese día.
  • Se envía un mensaje de syslog el 21 de septiembre del 2016 por los dos eventos duplicados de control de script de ese día.
Nota: Solo se envía un mensaje de syslog el 21 de septiembre del 2016 porque los eventos son duplicados del evento que ocurrió el 20 de septiembre del 2016.

Mensaje de ejemplo de control de script
Figura 12: (Solo en inglés) Mensaje de ejemplo de control de script

Amenazas

Si selecciona esta opción, se registra cualquier amenaza encontrada recientemente, o los cambios observados de cualquier amenaza existente, en el servidor syslog. Los cambios incluyen la eliminación, cuarentena, exención o ejecución de una amenaza.

Hay cinco tipos de eventos de amenaza:

  • threat_found: Se encontró una nueva amenaza en un estado Unsafe.
  • threat_removed: Se eliminó una amenaza existente.
  • threat_quarantined: Se encontró una nueva amenaza en el estado Quarantine.
  • threat_waived: Se encontró una nueva amenaza en el estado Waived.
  • threat_changed: El comportamiento de una amenaza existente ha cambiado (ejemplos: Puntuación, estado de cuarentena, estado en ejecución)

Hay seis tipos de clasificación de amenazas:

  • File Unavailable: Debido a una restricción de carga (por ejemplo, el archivo es demasiado grande para cargarlo), este no está disponible para análisis.
  • Malware: El archivo se clasifica como malware.
  • Possible PUP: El archivo puede ser un programa potencialmente no deseado (PUP).
  • PUP: El archivo se considera un programa potencialmente no deseado (PUP).
  • Trusted: El archivo se considera de confianza.
  • Unclassified: ATP no analizó este archivo.

Ejemplo de mensaje de evento de amenaza
Figura 13: (Solo en inglés) Mensaje de ejemplo de evento de amenaza

Clasificaciones de amenazas

Cada día, Advanced Threat Prevention de Dell clasifica cientos de amenazas como malware o programas potencialmente no deseados (PUP).

Si selecciona esta opción, se lo notificará cuando se produzcan estos eventos.

Mensaje de ejemplo de clasificación de amenazas
Figura 14: (Solo en inglés) Mensaje de ejemplo de clasificación de amenazas

Gestión de eventos e información de seguridad (SIEM)

Especifica el tipo de servidor syslog o SIEM al que se enviarán los eventos.

Protocolo

Debe coincidir con lo que configuró en el servidor syslog. Las opciones son UDP o TCP. TCP es el valor predeterminado y alentamos a los clientes a utilizarlo. UDP no se recomienda, ya que no garantiza la entrega de mensajes.

TLS/SSL

Solo está disponible si el protocolo especificado es TCP. TLS/SSL garantiza que el mensaje de syslog se cifre en tránsito al servidor syslog. Alentamos a los clientes a seleccionar esta opción. Asegúrese de que el servidor syslog esté configurado para escuchar mensajes de TLS/SSL.

IP/Dominio

Especifica la dirección IP o el nombre de dominio calificado del servidor syslog que el cliente configuró. Consulte con sus expertos en redes internos para confirmar que los ajustes de firewall y dominio sean correctos.

Puerto

Especifica el número de puerto en las máquinas en las que el servidor de Syslog escucha mensajes. Debe ser un número entre 1 y 65535. Los valores típicos son los siguientes: 512 para UDP, 1235 o 1468 para TCP y 6514 para TCP seguro (por ejemplo: TCP con TLS/SSL habilitado)

Gravedad

Especifica la gravedad de los mensajes que deben aparecer en el servidor Syslog (este es un campo subjetivo y puede configurarlo en el nivel que desee). El valor de gravedad no cambia los mensajes que se reenvían al servidor syslog.

Instalación

Especifica qué tipo de aplicación está registrando el mensaje. El valor predeterminado es Internal (o Syslog). Se utiliza para categorizar los mensajes cuando el servidor syslog los recibe.

Token personalizado

Es posible que algunos servicios de administración de registros, como SumoLogic, necesiten un token personalizado que se incluya con los mensajes de syslog para ayudar a identificar a dónde deben ir esos mensajes. El token personalizado proporciona el servicio de administración de registros.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Nota: El campo Token personalizado está disponible con todas las opciones de SIEM o Syslog, no solo con SumoLogic. Se puede escribir cualquier información como una etiqueta personalizada para la información de syslog.

Prueba de la conexión

Haga clic en Test Connection para probar la configuración de IP/dominio, puerto y protocolo. Si se ingresan valores válidos, se mostrará una confirmación de ejecución correcta.

Anuncio de conexión correcta
Figura 15: (Solo en inglés) Anuncio de conexión correcta

En la consola del servidor syslog, recibirá el siguiente mensaje de conexión de prueba:

Mensaje de conexión de prueba
Figura 16: (Solo en inglés) Mensaje de conexión de prueba

sl_file_upload

Evento que le indica a un administrador cuándo se cargó un archivo en un proveedor de servicio en la nube.

El agente que genera el evento puede ser uno o más de los siguientes:

  • Mac
  • Windows
  • Android
  • iOS
Carga  
Proveedor Proceso que está realizando la carga.
File (Archivo) La información sobre el archivo que se está cargando incluye keyid, ruta, nombre de archivo y tamaño.
Geometría El lugar donde tuvo lugar este evento.
Usuario registrado El usuario que inició sesión en el dispositivo.
Ejemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Evento que sucede cuando un usuario cambia la política de carpetas a través de la consola de administración de carpetas.

El agente que genera el evento puede ser uno o más de los siguientes:

  • Mac
  • Windows
  • Android
  • iOS
Carga  
Folderpath Carpeta en la que se cambió el nivel de protección
Protección de carpetas Una cadena que define un nivel de protección: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometría El lugar donde tuvo lugar este evento.
Usuario registrado El usuario que inició sesión en el dispositivo.
Ejemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Evento que le indica a un administrador cuándo se bloqueó el acceso a un proveedor de servicio en la nube.

El agente que genera el evento puede ser uno o más de los siguientes:

  • Mac
  • Windows
  • Android
  • iOS
Carga  
Dirección Proceso que está realizando la carga.
Proceso La información sobre el archivo que se está cargando incluye keyid, ruta, nombre de archivo y tamaño.
Aplicación Tipo de proceso que intenta acceder a un proveedor de servicio en la nube bloqueado. App, Proxy o Browser
Acción de red Tipo de acción que ocurre. (solo un valor en estado Blocked)
Geometría El lugar donde tuvo lugar este evento.
Usuario registrado El usuario que inició sesión en el dispositivo.
Ejemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Eventos relacionados con las acciones asociadas con los mensajes de correo electrónico protegidos de Dell Data Guardian.

El agente que genera el evento puede ser uno o más de los siguientes:

  • Mac
  • Windows
  • Android
  • iOS
Carga  
Mensajes de correo electrónico Arreglo de objetos de correo electrónico
keyId ID de clave utilizado para proteger el correo electrónico.
Asunto Línea de asunto del correo electrónico
Para Direcciones de correo electrónico a las que se envió el correo electrónico.
cc Direcciones de correo electrónico en las que se copió el correo electrónico.
Bcc Direcciones de correo electrónico en las que se copió de forma oculta el correo electrónico.
De Dirección de correo electrónico de la persona que envió el correo electrónico.
Accesorios Nombres de archivos adjuntos que se agregaron en el correo electrónico
Acción "Abierto", "Creado", "Respondió", "Enviado"
Usuario registrado El usuario que inició sesión en el dispositivo.
Ejemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Eventos relacionados con las acciones asociadas con los documentos de Office protegidos por Dell Data Guardian.

El agente que genera el evento puede ser uno o más de los siguientes:

  • Mac
  • Windows
  • Android
  • iOS
Carga  
File (Archivo) Información sobre el archivo que se cifró, descifró o eliminó.
clientType Tipo de cliente que se instaló. External o Internal
Acción Created, Accessed, Modified, Unprotected, AttemptAccess
Slaction New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering,
DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometría El lugar donde tuvo lugar este evento.
De Registro de fecha y hora del evento de resumen cuando comenzó.
Para Registro de fecha y hora para el evento de resumen cuando finalizó el evento.
Usuario registrado El usuario que inició sesión en el dispositivo.
Información de la aplicación Información sobre la aplicación mediante el documento de Office protegido
Ejemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Evento que ocurre cuando la computadora emite un evento.

El agente que genera el evento puede ser uno o más de los siguientes:

  • Mac
  • Windows
  • Android
  • iOS
Carga  
Acción Ejemplos de lo que está haciendo la computadora: inicio de sesión, cierre de sesión, PrintScreenBlocked, ProcessBlocked
Geometría El lugar donde tuvo lugar este evento.
clientType Tipo de cliente que se instaló. Externo o interno
Usuario registrado El usuario que inició sesión en el dispositivo.
processInfo Información sobre el proceso
Disposición Cómo se bloqueó el proceso: Finalizado, Bloqueado, Ninguno.
Nombre Nombre del proceso
Ejemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Eventos de Cloud Edition que especifican cuándo un archivo se cifra, descifra o elimina de un proveedor de servicio en la nube compatible.

El agente que genera el evento puede ser uno o más de los siguientes:

  • Mac
  • Windows
  • Android
  • iOS
Carga  
File (Archivo) Información sobre el archivo que se cifró, descifró o eliminó.
clientType Tipo de cliente que se instaló. External o Internal
Acción Created, Accessed, Modified, Deleted
Nombre de nube El nombre del archivo en la nube puede ser diferente al de la etiqueta de archivo anterior
Xenacción Descripción de lo que el servicio DG está intentando hacer. Valores: Encrypt, Decrypt, Deleted.
Geometría El lugar donde tuvo lugar este evento.
Usuario registrado El usuario que inició sesión en el dispositivo.
Ejemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Additional Information

   

Affected Products

Dell Encryption