Guida a Syslog e SIEM di Dell Security Management Server

Nella versione 9.2 del server è stata introdotta la possibilità di comunicare con il cloud Advanced Threat Prevention, che consentiva di configurare l'invio di dati di eventi di minacce avanzate a un'applicazione SIEM.

Per configurare questi dati nell'interfaccia utente web di Dell Security Management Server o Dell Security Management Server Virtual, passare a Populations >Enterprise >Advanced Threats (questa scheda è visibile solo se Advanced Threat Prevention è stato abilitato tramite l'attività Management >Services Management). >

La pagina Options contiene una casella di controllo per Syslog/SIEM che consente di configurare la posizione in cui vengono inviati i dati. Questi dati provengono dai server Advanced Threat Prevention in hosting all'interno di Amazon Web Services.

Se l'integrazione Syslog di Advanced Threat Prevention non è in grado di distribuire i messaggi Syslog al server, viene inviata una notifica e-mail a qualsiasi amministratore con un indirizzo e-mail confermato nell'organizzazione, avvisandoli del problema con Syslog.

Se il problema viene risolto entro 20 minuti, i messaggi Syslog continuano a essere distribuiti. Se il problema viene risolto dopo 20 minuti, un amministratore deve riabilitare i messaggi Syslog.

Di seguito è riportato un esempio di configurazione: quella di un nome di dominio completo (FQDN) esterno di extsiem.domain.org sulla porta 5514. Questa configurazione presuppone che extsiem.domain.com disponga di una voce DNS esterna risolvibile nel server all'interno dell'ambiente che esegue l'applicazione SIEM o Syslog e che la porta 5514 sia stata inoltrata dal gateway dell'ambiente all'applicazione SIEM o Syslog di destinazione.

Figura 1. Dell Data Security Console (solo in inglese)

Gli eventi generati da questa funzionalità hanno il marchio Cylance, un nostro fornitore.

Informazioni su IP e nome host per firewall e per scopi di accesso

SaaS for Advanced Threat Prevention dispone di diversi indirizzi IP per ogni area geografica. Ciò consente l'espansione senza interrompere alcun servizio syslog. Consentire tutti gli indirizzi IP basati sulla propria area durante la configurazione delle regole. I registri con origine Cylance da uno di questi IP possono cambiare in modo casuale.

Stati Uniti (my.cylance.com and my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

Australia (my-au.cylance.com)

52.63.15.218
52.65.4.232

Unione Europea (my-vs0-euc1.cylance.com and my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server e Dell Security Management Server Virtual hanno introdotto la possibilità di inviare eventi ricevuti dagli agent nella versione 9.7. Sono inclusi gli eventi non elaborati e non filtrati di Dell Endpoint Security Suite Enterprise e gli eventi di Dell Secure Lifecycle e Dell Data Guardian.

Configurazione server

È possibile configurare Security Management Server per l'invio dei dati degli eventi dell'agent all'interno di Management>Services Management >Event Management. Questi dati possono essere esportati in un file locale o in Syslog. Qui sono disponibili due opzioni: Esporta in file locale ed esporta in Syslog

Figura 2. Events Management (solo in inglese)

Esporta in file locale, aggiorna il file audit-export.log in modo che un server di inoltro universale lo utilizzi. Il percorso predefinito di questo file è C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Questo file viene aggiornato ogni due ore con i dati. Questo file può essere prelevato e utilizzato da un server d'inoltro. Per ulteriori informazioni sui server d'inoltro, vedere l'applicazione Syslog o SIEM specifica scelta per utilizzare questi dati, in quanto i server d'inoltro differiscono in base all'applicazione.

Figura 3. Export to Local File (solo in inglese)

Esporta in Syslog consente la connessione diretta a un server SIEM o Syslog interno all'interno dell'ambiente. Questi registri sono formattati in un formato semplice basato su RFC-3164 in un pacchetto json. Questi dati provengono da Dell Security Management Server e vengono inviati direttamente al server SIEM o Syslog. Questi dati vengono raccolti e inviati ogni due ore utilizzando un lavoro.

Figura 4. Export to Syslog (solo in inglese)

I dati degli eventi di Dell Endpoint Security Suite Enterprise inviati sono elencati in precedenza. In genere, SaaS invia questi dati, consentendo a Dell Security Management Server di raccogliere questi dati dagli agenti mentre eseguono il check-in con gli inventari e li inoltrano all'applicazione SIEM o Syslog configurata.

I dati degli eventi dell'agent contengono sia i dati degli eventi Dell Endpoint Security Suite Enterprise menzionati in precedenza, sia i dati di Dell Secure Lifecycle e Dell Data Guardian. Questi dati sono inclusi anche negli eventi.

Application Control

Questa opzione è visibile solo agli utenti con la funzione Application Control abilitata. Gli eventi Application Control rappresentano azioni che si verificano quando il dispositivo è in modalità Application Control. Se si seleziona questa opzione, viene inviato un messaggio al server Syslog ogni volta che si tenta di modificare o copiare un file eseguibile o quando si tenta di eseguire un file da un dispositivo o da un percorso di rete.

Figura 5. Messaggio di esempio per modifica del file PE negata (solo in inglese)

Figura 6. (solo in inglese) Messaggio di esempio per l'esecuzione negata da un unità esterna

Audit Log

Se si seleziona questa opzione, viene inviato l'audit log delle azioni dell'utente eseguite in SaaS al server Syslog. Gli eventi Audit Log vengono visualizzati nella schermata Audit Log, anche quando questa opzione è deselezionata.

Figura 7. Messaggio di esempio per audit log inoltrato a Syslog (solo in inglese)

Devices

Se si seleziona questa opzione, gli eventi dei dispositivi vengono inviati al server Syslog.

• Quando viene registrato un nuovo dispositivo, vengono visualizzati due messaggi per questo evento: Registration e SystemSecurity

Figura 8. Messaggio di esempio per evento di dispositivo registrato (solo in inglese)

• Quando un dispositivo viene rimosso

Figura 9. Messaggio di esempio per evento di dispositivo rimosso (solo in inglese)

• In caso di modifica di livello di registrazione, policy, zona o nome di un dispositivo.

Figura 10. Messaggio di esempio per evento di dispositivo aggiornato (solo in inglese)

Memory Protection

La selezione di questa opzione registra eventuali tentativi di exploit della memoria che potrebbero essere considerati come un attacco da uno qualsiasi dei dispositivi del tenant al server Syslog. Esistono quattro tipi di azioni di exploit della memoria:

• None: consentito poiché non è stata definita alcuna policy per questa violazione.
• Allowed: consentito dalla policy.
• Blocked: bloccato dall'esecuzione dalla policy.
• Terminated: Il processo è stato terminato.

Figura 11. Messaggio di esempio per evento di protezione della memoria (solo in inglese)

Controllo mediante script

Selezionando questa opzione, tutti gli script appena trovati vengono registrati nel server Syslog giudicati condannati da Advanced Threat Prevention.

Gli eventi Script Control di Syslog contengono le seguenti proprietà:

• avviso l'esecuzione dello script è consentita. Viene inviato un evento Script Control alla console.
• Block: l'esecuzione dello script non è consentita. Viene inviato un evento Script Control alla console.

Frequenza di reporting

Al primo rilevamento di un evento Script Control viene inviato un messaggio mediante Syslog con le informazioni complete relative all'evento. Ogni evento successivo considerato duplicato non viene inviato mediante Syslog per il resto del giorno (in base all'ora del server SaaS).

Se il contatore di uno specifico evento Script Control è maggiore di uno, viene inviato un evento mediante Syslog con il numero di tutti gli eventi duplicati scaduti in quel giorno. Se il contatore corrisponde a uno, non viene inviato alcun messaggio aggiuntivo mediante Syslog.

Per determinare se un evento Script Control è un duplicato, si utilizza la seguente logica:

• Osservare le informazioni sulla chiave: Device, Hash, Username, Block e Alert.
• Per il primo evento ricevuto in un giorno, impostare un valore di contatore su 1. Sono disponibili contatori distinti per Block e Alert.
• Tutti gli eventi successivi con la stessa chiave incrementano il contatore
• Il contatore viene reimpostato ogni giorno di calendario, in base all'ora del server SaaS.

Figura 12. Messaggio di esempio di Script Control (solo in inglese)

Minacce

La selezione di questa opzione registra le nuove minacce rilevate, o le modifiche riscontrate per una minaccia esistente, nel server Syslog. Le modifiche includono la rimozione, la messa in quarantena, l'annullamento o l'esecuzione di una minaccia.

Sono disponibili cinque tipi di evento di minaccia:

• threat_found: è stata rilevata una nuova minaccia in stato Unsafe.
• threat_removed: una minaccia esistente è stata rimossa.
• threat_quarantined: è stata rilevata una nuova minaccia in stato Quarantine.
• threat_waived: è stata rilevata una nuova minaccia in stato Waived.
• threat_changed: il comportamento di una minaccia esistente è cambiato (esempi: Punteggio, stato di quarantena, stato di esecuzione

Esistono sei tipi di classificazione delle minacce:

• File Unavailable: A causa di un vincolo di caricamento (ad esempio, il file è troppo grande per essere caricato), il file non è disponibile per l'analisi.
• Malware: il file è stato classificato come malware.
• Possible PUP: il file potrebbe essere un programma potenzialmente indesiderato.
• PUP: il file è considerato un programma potenzialmente indesiderato.
• Trusted: il file è considerato attendibile.
• Unclassified: ATP non ha analizzato questo file.

Figura 13. Messaggio di esempio di evento di minaccia (solo in inglese)

Threat Classifications

Ogni giorno, Dell Advanced Threat Prevention classifica centinaia di minacce come malware o programmi potenzialmente indesiderati.

Selezionando questa opzione, si riceve una notifica quando si verificano questi eventi.

Figura 14: Messaggio di esempio di classificazione delle minacce (solo in inglese)

Security Information and Event Management (SIEM)

Specifica il tipo di server Syslog o SIEM a cui inviare gli eventi.

Protocollo

Deve corrispondere alla configurazione nel server Syslog. Le scelte sono UDP o TCP. TCP è l'impostazione predefinita e consigliata ai clienti. UDP non è consigliata, in quanto non garantisce la consegna dei messaggi.

TLS/SSL

Disponibile solo se il protocollo specificato è TCP. TLS/SSL garantisce che il messaggio Syslog venga crittografato in transito verso il server Syslog. Si consiglia ai clienti di selezionare questa opzione. Assicurarsi che il server Syslog sia configurato per l'ascolto dei messaggi TLS/SSL.

IP/Domain

Specifica l'indirizzo IP o il nome di dominio completo del server Syslog configurato dal cliente. Contattare gli esperti della rete interna per assicurarsi che le impostazioni del firewall e del dominio siano configurate correttamente.

Porta

Specifica il numero di porta sui computer in cui il server Syslog è in ascolto dei messaggi. Deve essere un numero compreso tra 1 e 65.535. I valori tipici sono: 512 per UDP, 1235 o 1468 per TCP e 6514 per TCP protetto (ad esempio: TCP con TLS/SSL abilitato)

Gravità

Specifica la gravità dei messaggi che devono essere visualizzati nel server Syslog (si tratta di un campo soggettivo ed è possibile impostarlo sul livello desiderato). Il valore di gravità non modifica i messaggi che vengono inoltrati a Syslog.

Facility

Specifica il tipo di applicazione che registra il messaggio. L'impostazione predefinita è Internal (o Syslog). Viene utilizzata per classificare i messaggi quando il server Syslog li riceve.

Custom Token

Alcuni servizi di gestione dei registri, come SumoLogic, potrebbero richiedere un token personalizzato incluso nei messaggi Syslog per identificare la destinazione di questi messaggi. Il token personalizzato fornisce il servizio di gestione dei registri.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

Test della connessione

Cliccare su Test Connection per testare le impostazioni IP/Domain, Port e Protocol. Se vengono inseriti valori validi, viene visualizzata una conferma di operazione riuscita.

Figura 15. Banner di connessione riuscita (solo in inglese)

Nella console del server Syslog viene visualizzato il seguente messaggio di test della connessione:

Figura 16. Messaggio di test della connessione (solo in inglese)

sl_file_upload

Evento che indica a un amministratore quando un file è stato sottoposto ad upload su un provider di cloud.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

• Mac
• Windows
• Android
• IOS

Payload
Provider	Processo che esegue il caricamento.
File	Le informazioni sul file caricato includono keyid, percorso, nome file e dimensioni.
Geometria	Il luogo in cui si è svolto l'evento.
Utente loggato	Utente che ha effettuato l'accesso al dispositivo.

Esempio:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Evento che si verifica quando un utente modifica la policy di cartella tramite la console di gestione delle cartelle.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

• Mac
• Windows
• Android
• IOS

Payload
Folderpath	cartella in cui è stato modificato il livello di protezione
Protezione cartelle	Stringa che definisce un livello di protezione: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometria	Il luogo in cui si è svolto l'evento.
Utente loggato	Utente che ha effettuato l'accesso al dispositivo.

Esempio:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Evento che indica a un amministratore quando è stato bloccato l'accesso a un provider di cloud.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

• Mac
• Windows
• Android
• IOS

Payload
Indirizzo	Processo che esegue il caricamento.
Processo	Le informazioni sul file caricato includono keyid, percorso, nome file e dimensioni.
Application	tipo di processo che tenta di accedere a un provider di cloud bloccato: App, Proxy o Browser.
Netazione	tipo di azione in corso (solo un valore Blocked).
Geometria	Il luogo in cui si è svolto l'evento.
Utente loggato	Utente che ha effettuato l'accesso al dispositivo.

Esempio:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Eventi relativi alle azioni associate ai messaggi e-mail protetti di Dell Data Guardian.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

• Mac
• Windows
• Android
• IOS

Payload
Messaggi e-mail	array di oggetti e-mail
keyId	ID chiave utilizzato per proteggere l'e-mail.
Subject	oggetto dell'e-mail
Per	Indirizzi e-mail a cui è stata inviata l'e-mail.
cc	Indirizzi e-mail in cui è stata copiata l'e-mail.
Ccn	Indirizzi e-mail per i quali l'e-mail è stata copiata alla cieca.
Da	Indirizzo e-mail della persona che ha inviato l'e-mail.
Allegati	nomi degli allegati aggiunti all'e-mail
Action	"Aperto", "Creato", "Risposto", "Inviato"
Utente loggato	Utente che ha effettuato l'accesso al dispositivo.

Esempio:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Eventi relativi alle azioni associate ai documenti Office protetti di Dell Data Guardian.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

• Mac
• Windows
• Android
• IOS

Payload
File	informazioni sul file crittografate, decrittografate o eliminate.
clientType	tipo di client installato: External o Internal
Action	Created, Accessed, Modified, Unprotected, AttemptAccess
Slaction	New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering, DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometria	Il luogo in cui si è svolto l'evento.
Da	Timestamp per l'evento di riepilogo quando è iniziato.
Per	Timestamp per l'evento di riepilogo quando l'evento è terminato.
Utente loggato	Utente che ha effettuato l'accesso al dispositivo.
Appinfo	informazioni sull'applicazione che utilizza il documento Office protetto.

Esempio:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Evento che si verifica quando il computer genera un evento.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

• Mac
• Windows
• Android
• IOS

Payload
Action	Esempi di operazioni eseguite dal computer: Login, Logout, PrintScreenBlocked, ProcessBlocked
Geometria	Il luogo in cui si è svolto l'evento.
clientType	tipo di client installato: Esterno o interno
Utente loggato	Utente che ha effettuato l'accesso al dispositivo.
processInfo	Informazioni sul processo
Disposizione	Modalità di blocco del processo - Terminato, Bloccato, Nessuno.
Name	nome del processo

Esempio:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition Eventi che specificano quando un file viene crittografato, decrittografato o eliminato da un provider di cloud supportato.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

• Mac
• Windows
• Android
• IOS

Payload
File	informazioni sul file crittografate, decrittografate o eliminate.
clientType	tipo di client installato: External o Internal
Action	Created, Accessed, Modified, Deleted
Nome cloud	Il nome del file nel cloud potrebbe essere diverso da quello nel tag file riportato sopra.
Xenaction	descrizione dell'operazione tentata dal servizio DG: Values - Encrypt, Decrypt, Deleted.
Geometria	Il luogo in cui si è svolto l'evento.
Utente loggato	Utente che ha effettuato l'accesso al dispositivo.

Esempio:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}