Dell Security Management ServerのSyslogおよびSIEMガイド
Summary: この記事では、Security Information and Event Managementの統合プロセスについて説明します。
This article applies to
This article does not apply to
Instructions
対象製品:
- Dell Security Management Server
- Dell Security Management Server Virtual
- Dell Endpoint Security Suite Enterprise
セキュリティ情報およびイベント管理(SIEM)サーバーまたはアプライアンスとは何ですか?
SIEMは、データをインポートし、そのデータに基づいてルールまたはレポートを実行できます。その目的は、さまざまなソースからデータを集約し、データの異常を特定し、データに基づいて適切なアクションを実行することです。
SIEMまたはSyslogアプリケーションに送信するオプション
Dell Security Management ServerとDell Security Management Server Virtualはそれぞれ、SIEMまたはSyslogアプリケーションにデータを送信する2つの異なる方法を提供します。
9.2サーバーでは、Advanced Threat Preventionクラウドと通信する機能が導入されました。これにより、高度な脅威イベントのデータをSIEMアプリケーションに送信するように構成できます。
Dell Security Management ServerまたはDell Security Management Server VirtualのWebUI内でこのデータを設定するには、ポピュレーションエンタープライズ >>の高度な脅威(このタブは、管理>サービス管理タスクを介して高度な脅威対策が有効になっている場合にのみ表示されます) >オプションの順に移動します。
[Options]ページには 、[Syslog/SIEM ]のチェックボックスがあり、データの送信先を構成できます。このデータは、Amazon Web ServicesでホストされているAdvanced Threat Preventionサーバーから取得されます。
Advanced Threat PreventionとSyslogを統合してもSyslogメッセージをサーバーに正常に送信できない場合は、組織内で認証済みのEメール アドレスを持つ管理者にEメール通知が送信され、Syslogの問題を警告します。
20分以内に問題が解決された場合、Syslogメッセージは引き続き送信されます。問題が解決されるまで20分以上かかった場合、管理者はSyslogメッセージを再度有効にする必要があります。
ここでは、ポート5514を介した extsiem.domain.org の外部完全修飾ドメイン名(FQDN)の構成例を示します。この構成では、extsiem.domain.comにSIEMまたはSyslogアプリケーションを実行している環境内のサーバーに解決する外部DNSエントリーがあり、ポート5514が環境のゲートウェイから宛先SIEMまたはSyslogアプリケーションに転送されていることを前提としています。
図1: (英語のみ)Dell Data Security Console
この機能を介して発生するイベントは、当社のベンダーCylanceから提供されています。
ファイアウォールおよびアクセス用のIPおよびホスト名情報
Advanced Threat PreventionのSaaSには、地域ごとに複数のIPアドレスがあります。これにより、Syslogサービスを中断することなく拡張できます。ルールを構成するときに、リージョンに基づくすべてのIPアドレスを許可します。これらのIPのいずれかのCylanceソースからログを取得し、ランダムに変更できます。
注:これらの IP アドレスは静的にしておく必要があります。ただし、Cylanceが将来このリストを更新する可能性があります。変更は、Cylanceコンソール管理者にEメールで通知されます。変更に応じてルールを更新するのは、ネットワーク管理者の責任です。
米国(my.cylance.comおよびmy-vs2.cylance.com)
52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49
オーストラリア(my-au.cylance.com)
52.63.15.218
52.65.4.232
ヨーロッパ(my-vs0-euc1.cylance.comおよびmy-vs1-euc1.cylance.com)
52.28.219.170
52.29.102.181
52.29.213.11
Dell Security Management ServerとDell Security Management Server Virtualは、9.7でエージェントから受信したイベントを送信する機能を導入しました。これには、Dell Endpoint Security Suite Enterpriseからの未フォーマットのフィルタリングされていないイベント、およびDell Secure LifecycleおよびDell Data Guardianからのイベントが含まれます。
サーバー構成
Management>Services Management >Event Management内でエージェント イベント データを送信するようにSecurity Management Serverを設定できます。このデータは、ローカル ファイルまたはSyslogにエクスポートできます。2つのオプション:ローカル ファイルへのエクスポートと Syslogへのエクスポート
図2:(英語のみ)[Events Management]タブ
ローカル ファイルにエクスポート:ユニバーサル フォワーダーが使用できるようにaudit-export.logファイルを更新します。このファイルのデフォルトの場所は、C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\です。
このファイルは、データとともに2時間ごとに更新されます。このファイルはフォワーダーによって取得および使用できます。フォワーダーはアプリケーションによって異なるため、フォワーダーの詳細については、このデータを使用するために活用している特定のSyslogまたはSIEMアプリケーションを参照してください。
図3:(英語のみ)[Export to Local File]オプション
Syslogにエクスポート すると、環境内の内部SIEMまたはSyslogサーバーに直接接続できます。これらのログは、JSONバンドルのRFC-3164に基づくシンプルな形式でフォーマットされます。このデータはDell Security Management Serverから取得され、SIEMまたはSyslogサーバーに直接送信されます。このデータは、ジョブを使用して2時間ごとに収集および送信されます。
図4:(英語のみ)[Export to Syslog]オプション
送信されるDell Endpoint Security Suite Enterpriseイベント データは、上記のとおりです。通常、SaaSはこのデータを送信し、Dell Security Management Serverはインベントリーを使用してチェックインするときにエージェントからこのデータを収集し、構成済みのSIEMまたはSyslogアプリケーションに転送できます。
エージェント イベント データには、前述のDell Endpoint Security Suite Enterpriseイベント データと、Dell Secure LifecycleおよびDell Data Guardianデータの両方が含まれます。このデータはイベントにも含まれます。
アプリケーション制御
このオプションは、アプリケーション制御機能が有効になっているユーザーにのみ表示されます。アプリケーション制御イベントは、デバイスがアプリケーション制御モードのときに発生するアクションを示します。このオプションを選択すると、実行可能ファイルの変更、コピー、またはデバイスまたはネットワーク上の場所からのファイルの実行が試行されるたびに、Syslogサーバーにメッセージが送信されます。
図5:(英語のみ)PEファイル変更を拒否するメッセージの例
図6:(英語のみ)外部ドライブからの実行を拒否するメッセージの例
監査ログ
このオプションを選択すると、SaaSで実行されたユーザー アクションの監査ログがSyslogサーバーに送信されます。監査ログ イベントは、このオプションがオフの場合でも、[Audit Log]画面に表示されます。
図7:(英語のみ)Syslogに監査ログが転送されたメッセージの例
デバイス
このオプションを選択すると、デバイス イベントがSyslogサーバーに送信されます。
- 新しいデバイスが登録されると、このイベントに対して「Registration」と「SystemSecurity」の2つのメッセージを受け取ります。
注:ユーザーがデバイスにログインしたときにも、「SystemSecurity」メッセージが生成されます。このメッセージは、登録時だけでなく、さまざまなタイミングで発生する場合があります。
図8:(英語のみ)デバイス登録イベントのメッセージ例
- デバイスが取り外された場合
図9:(英語のみ)デバイス取り外しイベントのメッセージ例
- デバイスのポリシー、ゾーン、名前、ログ レベルが変更された場合。
図10:(英語のみ)デバイス アップデート イベントのメッセージ例
メモリー保護
このオプションを選択すると、テナントのいずれかのデバイスからSyslogサーバーへの攻撃と見なされる可能性のあるメモリー悪用の試行がログに記録されます。メモリー悪用アクションには、次の4つのタイプがあります。
- None:この違反に対してポリシーが定義されていないため、許可されます。
- Allowed:ポリシーで許可されています。
- Blocked:ポリシーにより実行がブロックされています。
- Terminated:プロセスが終了しました。
図11:(英語のみ)メモリー保護イベントのメッセージ例
スクリプト制御
このオプションを選択すると、新しく検出されたスクリプトが、Advanced Threat Preventionによって検出されたSyslogサーバーに記録されます。
Syslogスクリプト制御イベントには、次のプロパティが含まれています。
- 警告: スクリプトの実行が許可されます。スクリプト制御イベントがコンソールに送信されます。
- ブロック:スクリプトの実行は許可されません。スクリプト制御イベントがコンソールに送信されます。
レポート頻度
スクリプト制御イベントが初めて検出されたときに、Syslogを使用して完全なイベント情報と共にメッセージが送信されます。重複と見なされた後続の各イベントは、その日の残りの期間(SaaSのサーバー時間に基づく)にSyslogを使用して送信されません。
特定のスクリプト制御イベントのカウンターが1以上の場合、その日に発生したすべての重複イベントの数を含むイベントがSyslogを使用して送信されます。カウンターが1である場合、Syslogを使用して追加のメッセージは送信されません。
スクリプト制御イベントが重複しているかどうかを判断するには、次のロジックを使用します。
- 主要な情報:デバイス、ハッシュ、ユーザー名、ブロック、アラートを確認します。
- 1日のうちに最初に受信したイベントは、カウンター値を1に設定します。ブロックとアラートには別々のカウンターがあります。
- 同じキーを持つ後続のすべてのイベントは、カウンターをインクリメントします
- カウンターは、SaaSのサーバー時間に応じて、各暦日をリセットします。
注:2016年9月20日午後11時59分にデバイス1でスクリプトAが実行され、次に2016年9月21日の午前12時5分と午前12時15分に実行された場合、結果は次のようになります。
- 2016 年 9 月 20 日に、その日のスクリプト制御イベントに対して 1 つの syslog メッセージが送信されます。
- その日の2つの重複するスクリプト制御イベントについて、2016年9月21日に1つのSyslogメッセージが送信されます。
注:イベントが2016年9月20日に発生したイベントの重複であるため、2016年9月21日に送信されるSyslogメッセージは1つのみです。
図12:(英語のみ)スクリプト制御のメッセージ例
Threats
このオプションを選択すると、新しく検出された脅威、または既存の脅威に対して観察された変更がSyslogサーバーに記録されます。変更には、脅威の削除、隔離、免除、実行が含まれます。
脅威イベントには、次の5つのタイプがあります。
- threat_found:新しい脅威が「Unsafe」ステータスで検出されました。
- threat_removed:既存の脅威が削除されました。
- threat_quarantined:新しい脅威が「Quarantine」ステータスで検出されました。
- threat_waived:新しい脅威が「Waived」ステータスで見つかりました。
- threat_changed:既存の脅威の動作が変更されました(例:スコア、検疫ステータス、実行中ステータス)
脅威の分類には、次の6つのタイプがあります。
- File Unavailable:アップロードの制約(ファイルが大きすぎてアップロードできないなど)のため、ファイルは分析に使用できません。
- [Malware]:ファイルはマルウェアとして分類されています。
- Possible PUP:このファイルは、迷惑プログラム(PUP)である可能性があります。
- PUP:このファイルは、迷惑プログラム(PUP)と見なされます。
- Trusted:このファイルは信頼済みと見なされます。
- Unclassified:ATPはこのファイルを分析していません。
図13:(英語のみ)脅威イベントのメッセージ例
脅威の分類
DellのAdvanced Threat Preventionは、毎日、数百もの脅威をマルウェアまたは迷惑プログラム(PUP)として分類しています。
このオプションを選択すると、これらのイベントが発生したときに通知を受け取ります。
図14:(英語のみ)脅威の分類メッセージの例
Security Information and Event Management (SIEM)
イベントの送信先となるSyslogサーバーまたはSIEMのタイプを指定します。
プロトコル
これは、Syslogサーバーで構成した内容と一致する必要があります。選択肢はUDPまたはTCPです。TCPはデフォルトで、お客様に使用することをお勧めします。UDPはメッセージ配信を保証しないため、推奨されません。
TLS/SSL
指定されたプロトコルがTCPの場合にのみ使用できます。TLS/SSLを使用すると、SyslogメッセージがSyslogサーバーへの転送中に暗号化されます。このオプションを選択することをお勧めします。必ずSyslogサーバーがTLS/SSLメッセージをリスンするように構成してください。
IP/ドメイン
お客様がセットアップしたSyslogサーバーのIPアドレスまたは完全修飾ドメイン名を指定します。ファイアウォールとドメインの設定が正しく構成されていることを確認するには、社内ネットワークのエキスパートに相談してください。
ポート
Syslogサーバーがメッセージをリスンするマシンのポート番号を指定します。1~65535の数値である必要があります。一般的な値は、UDPの場合は512、TCPの場合は1235または1468、セキュアTCPの場合は6514(例: TLS/SSLが有効なTCP)
重大度
Syslogサーバーに表示されるメッセージの重大度を指定します(これは主観的なフィールドであり、任意のレベルに設定できます)。重大度の値は、Syslogに転送されるメッセージを変更しません。
ファシリティー
メッセージをログに記録するアプリケーションのタイプを指定します。デフォルトは、Internal(またはSyslog)です。これは、Syslogサーバーがメッセージを受信したときにメッセージを分類するために使用されます。
カスタム トークン
SumoLogicなどの一部のログ管理サービスでは、Syslogメッセージに含まれるカスタム トークンが必要になる場合があります。このトークンは、これらのメッセージの送信先を特定するのに役立ちます。カスタム トークンは、ログ管理サービスを提供します。
4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
注:[Custom Token]フィールドは、SumoLogicだけでなく、すべてのSIEMまたはSyslogオプションで使用できます。任意の情報をカスタム タグとしてSyslog情報に入力できます。
接続のテスト
[Test Connection]をクリックして、IP/ドメイン、ポート、プロトコルの設定をテストします。有効な値を入力すると、成功を示すメッセージが表示されます。
図15:(英語のみ)接続の成功を示すバナー
Syslogサーバー コンソールには、次の接続テスト メッセージが表示されます。
図16:(英語のみ)接続テスト メッセージ
sl_file_upload
クラウド プロバイダーにファイルがアップロードされたときに管理者に通知するイベント。
イベントを生成するエージェントは、次のいずれかまたは複数になる可能性があります。
- Mac
- Windows
- Android
- iOS
| ペイロード | |
|---|---|
| プロバイダ | アップロードを実行しているプロセス。 |
| ファイル | アップロードされるファイルに関する情報には、キーID、パス、ファイル名、サイズが含まれます。 |
| ジオメトリ | このイベントが発生した場所。 |
| loggedinuser | デバイスにログインしているユーザー。 |
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}
sl_folder_override
ユーザーがフォルダー管理コンソールを使用してフォルダー ポリシーを変更した場合に発生するイベント。
イベントを生成するエージェントは、次のいずれかまたは複数になる可能性があります。
- Mac
- Windows
- Android
- iOS
| ペイロード | |
|---|---|
| フォルダーパス | 保護レベルが変更されたフォルダー |
| フォルダー保護 | 保護レベルを定義する文字列。UsePolicy、ForceAllow、ForceProtect、PreExisting_ForceAllow、PreExisting_ForceAllow_Confirmed |
| ジオメトリ | このイベントが発生した場所。 |
| loggedinuser | デバイスにログインしているユーザー。 |
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}
sl_net_info
クラウド プロバイダーへのアクセスがブロックされたときに管理者に通知するイベント。
イベントを生成するエージェントは、次のいずれかまたは複数になる可能性があります。
- Mac
- Windows
- Android
- iOS
| ペイロード | |
|---|---|
| アドレス | アップロードを実行しているプロセス。 |
| プロセス | アップロードされるファイルに関する情報には、キーID、パス、ファイル名、サイズが含まれます。 |
| アプリケーション | ブロックされたクラウド プロバイダーにアクセスしようとしているプロセスのタイプ。アプリケーション、プロキシ、またはブラウザー。 |
| ネットアクション | 発生しているアクションのタイプ(ブロックされた値は1つのみ)。 |
| ジオメトリ | このイベントが発生した場所。 |
| loggedinuser | デバイスにログインしているユーザー。 |
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}
sl_protected_email
Dell Data Guardianで保護されたEメール メッセージに関連付けられているアクションを処理するイベント。
イベントを生成するエージェントは、次のいずれかまたは複数になる可能性があります。
- Mac
- Windows
- Android
- iOS
| ペイロード | |
|---|---|
| Eメール メッセージ | 一連のEメール オブジェクト。 |
| keyId | Eメールを保護するために使用されるキーID。 |
| 件名 | Eメールの件名 |
| 終了 | Eメールの送信先のEメール アドレス。 |
| cc | Eメールのコピー先のEメール アドレス。 |
| Bcc | EメールがブラインドコピーされたEメール アドレス。 |
| 開始 | Eメールを送信したユーザーのEメール アドレス。 |
| 添付ファイル | Eメールに追加された添付ファイルの名前。 |
| 動作 | 「Opened」、「Created」、「Responded」、「Sent」 |
| loggedinuser | デバイスにログインしているユーザー。 |
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}
sl_protected_file
Dell Data Guardianで保護されたOffice文書に関連付けられているアクションを処理するイベント。
イベントを生成するエージェントは、次のいずれかまたは複数になる可能性があります。
- Mac
- Windows
- Android
- iOS
| ペイロード | |
|---|---|
| ファイル | 暗号化、復号化、または削除されたファイルの情報。 |
| clientType | インストールされているクライアント タイプ(「External」または「Internal」)。 |
| 動作 | Created、Accessed、Modified、Unprotected、AttemptAccess |
| スラクション | New、Open、Updated、Swept、Watermarked、BlockCopy、RepairedTampering、 DetectedTampering、Unprotected、Deleted、RequestAccess、GeoBlocked、RightClickProtected、PrintBlocked |
| ジオメトリ | このイベントが発生した場所。 |
| 開始 | サマリー イベントが開始されたときのタイムスタンプ。 |
| 終了 | イベント終了時のサマリー イベントのタイムスタンプ。 |
| loggedinuser | デバイスにログインしているユーザー。 |
| Appinfo | 保護対象Office文書を使用しているアプリケーションに関する情報。 |
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}
""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}
""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}
""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}
""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}
""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}
""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}
""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}
""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}
""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}
""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}
sl_system
コンピューターがイベントを発行したときに発生するイベント。
イベントを生成するエージェントは、次のいずれかまたは複数になる可能性があります。
- Mac
- Windows
- Android
- iOS
| ペイロード | |
|---|---|
| 動作 | コンピューターが実行していることの例 - Login、Logout、PrintScreenBlocked、ProcessBlocked |
| ジオメトリ | このイベントが発生した場所。 |
| clientType | インストールされているクライアント タイプ外部または内部 |
| loggedinuser | デバイスにログインしたユーザー。 |
| processInfo | プロセスに関する情報 |
| 処理 | プロセスのブロック方法 - 終了、ブロック、なし。 |
| 名前 | プロセスの名前。 |
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}
"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}
"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}
sl_xen_file
サポートされているクラウド プロバイダーからファイルを暗号化、復号化、または削除するタイミングを指定するCloud Editionイベント。
イベントを生成するエージェントは、次のいずれかまたは複数になる可能性があります。
- Mac
- Windows
- Android
- iOS
| ペイロード | |
|---|---|
| ファイル | 暗号化、復号化、または削除されたファイルの情報。 |
| clientType | インストールされているクライアント タイプ(「External」または「Internal」)。 |
| 動作 | Created、Accessed、Modified、Deleted。 |
| クラウド名 | クラウド内のファイル名は、上記のファイル タグのファイル名と異なる場合があります |
| Xenaction | DGサービスが実行しようとしている操作の説明。値 - Encrypt、Decrypt、Deleted。 |
| ジオメトリ | このイベントが発生した場所。 |
| loggedinuser | デバイスにログインしているユーザー。 |
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。