Dell Security Management Server Syslog 및 SIEM 가이드

9.2 서버에는 지능형 공격 이벤트 데이터가 SIEM 애플리케이션으로 전송되도록 구성할 수 있는 Advanced Threat Prevention 클라우드와의 통신 기능이 도입되었습니다.

Dell Security Management Server 또는 Dell Security Management Server Virtual의 WebUI 내에서 이 데이터를 구성하려면 개체EnterpriseAdvanced >>Threats(이 탭은 관리 >서비스 관리 작업을 통해 Advanced Threat Prevention이 활성화된 경우에만 표시됨) >옵션으로 이동합니다.

Options 페이지에는 데이터가 전송되는 위치를 구성할 수 있는 Syslog/SIEM 확인란이 있습니다. 이 데이터는 Amazon Web Services 내에서 호스팅되는 Advanced Threat Prevention 서버에서 가져옵니다.

Advanced Threat Prevention Syslog Integration이 syslog 메시지를 서버에 성공적으로 전달할 수 없는 경우, 조직에서 확인된 이메일 주소를 가진 관리자에게 이메일 알림이 전송되어 syslog 문제에 대해 경고합니다.

20분이 지나기 전에 문제가 해결되면 syslog 메시지가 계속 전달됩니다. 20분이 지난 후에 문제가 해결되면 관리자는 syslog 메시징을 다시 활성화해야 합니다.

다음은 포트 5514를 통한 extsiem.domain.org 의 외부 FQDN(Fully Qualified Domain Name) 구성 예입니다. 이 구성에서는 extsiem.domain.com에 SIEM 또는 Syslog 애플리케이션을 실행하는 환경 내에서 서버로 확인되는 외부 DNS 항목이 있고, 환경 게이트웨이에서 대상 SIEM 또는 Syslog 애플리케이션으로 포트 5514가 전달되었다고 가정합니다.

그림 1: (영어로만 제공) Dell Data Security Console

이 기능을 통해 발생하는 이벤트는 Cylance 공급업체에서 제공되는 대로 브랜드가 지정됩니다.

방화벽 및 액세스 목적을 위한 IP 및 호스트 이름 정보

Advanced Threat Prevention용 SaaS에는 각 리전마다 여러 개의 IP 주소가 있습니다. 이를 통해 syslog 서비스를 중단하지 않고 확장할 수 있습니다. 규칙을 구성할 때 지역을 기반으로 하는 모든 IP 주소를 허용합니다. Cylance의 로그는 이러한 IP 중 하나에서 발생하며 임의로 변경할 수 있습니다.

US(my.cylance.com and my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

AU(my-au.cylance.com)

52.63.15.218
52.65.4.232

EU(my-vs0-euc1.cylance.com and my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server 및 Dell Security Management Server Virtual은 에이전트로부터 받은 이벤트를 전송하는 기능을 9.7에 도입했습니다. 여기에는 Dell Endpoint Security Suite Enterprise의 필터링되지 않은 원시 이벤트와 Dell Secure Lifecycle 및 Dell Data Guardian의 이벤트가 포함됩니다.

서버 구성

Security Management Server를 구성하여 관리>서비스 관리 >이벤트 관리 내에서 에이전트 이벤트 데이터를 보낼 수 있습니다. 이 데이터는 로컬 파일 또는 Syslog로 내보낼 수 있습니다. 두 가지 옵션인 로컬 파일로 내보내기 및 Syslog로 내보내기

그림 2: (영어로만 제공) 이벤트 관리

로컬 파일로 내보내기는 범용 전달자가 사용할 수 있도록 audit-export.log 파일을 업데이트합니다. 이 파일의 기본 위치는 C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\입니다.

이 파일은 2시간마다 데이터와 함께 업데이트됩니다. 이 파일은 포워더가 선택하여 사용할 수 있습니다. 포워더에 대한 자세한 내용을 알아보려면 애플리케이션에 따라 포워더가 다르므로 이 데이터를 사용하기 위해 활용하는 특정 Syslog 또는 SIEM 애플리케이션을 참조하십시오.

그림 3: (영어로만 제공) 로컬 파일로 내보내기

Syslog로 내보내기 를 사용하면 환경 내의 내부 SIEM 또는 Syslog 서버에 직접 연결할 수 있습니다. 이러한 로그는 json 번들의 RFC-3164를 기반으로 하는 간단한 형식으로 포맷됩니다. 이 데이터는 Dell Security Management Server에서 제공되며 SIEM 또는 Syslog 서버로 직접 전송됩니다. 이 데이터는 작업을 사용하여 2시간마다 수집 및 전송됩니다.

그림 4: (영어로만 제공) Syslog로 내보내기

전송되는 Dell Endpoint Security Suite Enterprise 이벤트 데이터는 위에 나열되어 있습니다. 일반적으로 SaaS는 이 데이터를 전송하므로 Dell Security Management Server는 에이전트가 인벤토리를 체크인할 때 에이전트로부터 이 데이터를 수집하여 구성된 SIEM 또는 Syslog 애플리케이션으로 전달할 수 있습니다.

에이전트 이벤트 데이터에는 앞서 언급한 Dell Endpoint Security Suite Enterprise 이벤트 데이터와 Dell Secure Lifecycle 및 Dell Data Guardian 데이터가 모두 포함됩니다. 이 데이터는 이벤트에서도 제공됩니다.

애플리케이션 컨트롤

이 옵션은 애플리케이션 컨트롤 기능을 활성화한 사용자에게만 표시됩니다. 애플리케이션 컨트롤 이벤트는 디바이스가 애플리케이션 컨트롤 모드에 있을 때 발생하는 동작을 나타냅니다. 이 옵션을 선택하면 실행 파일을 수정 또는 복사하려고 할 때마다 또는 디바이스나 네트워크 위치에서 파일을 실행하려고 할 때마다 Syslog 서버로 메시지가 전송됩니다.

그림 5: (영어로만 제공) PE 파일 변경 거부에 대한 메시지 예시

그림 6: (영어로만 제공) 외부 드라이브에서 실행 거부에 대한 메시지 예시

감사 로그

이 옵션을 선택하면 SaaS에서 수행된 사용자 작업의 감사 로그가 Syslog 서버로 전송됩니다. 이 옵션의 선택을 취소한 경우에도 감사 로그 이벤트가 Audit Log 화면에 나타납니다.

그림 7: (영어로만 제공) Syslog로 전달되는 감사 로그에 대한 메시지 예시

장치

이 옵션을 선택하면 디바이스 이벤트가 Syslog 서버로 전송됩니다.

• 새 디바이스가 등록되면 이 이벤트에 대한 두 가지 메시지, Registration 및 SystemSecurity가 표시됩니다.

그림 8: (영어로만 제공) 디바이스 등록 이벤트에 대한 메시지 예시

• 디바이스가 제거된 경우

그림 9: (영어로만 제공) 디바이스 제거 이벤트에 대한 메시지 예시

• 디바이스의 정책, 영역, 이름 또는 로깅 수준이 변경된 경우

그림 10: (영어로만 제공) 디바이스 업데이트 이벤트에 대한 메시지 예시

메모리 보호

이 옵션을 선택하면 테넌트 디바이스에서 Syslog 서버로의 공격으로 간주될 수 있는 모든 메모리 악용 시도가 기록됩니다. 메모리 악용 조치에는 4가지 유형이 있습니다.

• None: 이 위반에 대해 정의된 정책이 없으므로 허용됩니다.
• Allowed: 정책에 의해 허용됩니다.
• Blocked: 정책에 의해 실행이 차단되었습니다.
• Terminated: 프로세스가 종료되었습니다.

그림 11: (영어로만 제공) 메모리 보호 이벤트에 대한 메시지 예시

스크립트 컨트롤

이 옵션을 선택하면 새로 발견된 스크립트가 Advanced Threat Prevention이 감지하는 Syslog 서버에 기록됩니다.

Syslog 스크립트 컨트롤 이벤트에는 다음 속성이 포함됩니다.

• 알림: 스크립트를 실행할 수 있습니다. 스크립트 컨트롤 이벤트가 콘솔로 전송됩니다.
• Block: 스크립트를 실행할 수 없습니다. 스크립트 컨트롤 이벤트가 콘솔로 전송됩니다.

보고 빈도

스크립트 컨트롤 이벤트가 처음 감지될 때 전체 이벤트 정보와 함께 Syslog를 사용하여 메시지가 전송됩니다. 중복으로 간주되는 각 후속 이벤트는 하루 중 남은 시간 동안(SaaS의 서버 시간 기준) syslog를 사용하여 전송되지 않습니다.

특정 스크립트 컨트롤 이벤트에 대한 카운터가 1보다 크면 해당 날짜에 발생한 모든 중복 이벤트 수와 함께 syslog를 사용하여 이벤트가 전송됩니다. 카운터가 1이면 syslog를 사용하여 추가 메시지를 보내지 않습니다.

스크립트 컨트롤 이벤트가 중복인지 확인하려면 다음 로직을 사용합니다.

• 키 정보 보기: 디바이스, 해시, 사용자 이름, 차단 및 알림
• 하루에 수신한 첫 번째 이벤트에 대해 카운터 값을 1로 설정합니다. 차단 및 알림에는 별도의 카운터가 있습니다.
• 동일한 키를 사용하는 모든 후속 이벤트는 카운터를 증가시킵니다
• 카운터는 SaaS의 서버 시간에 따라 매일 재설정됩니다.

그림 12: (영어로만 제공) 스크립트 컨트롤 메시지 예시

위협

이 옵션을 선택하면 새로 발견된 위협 또는 기존 위협에 대해 관찰된 변경 사항이 Syslog 서버에 기록됩니다. 변경 사항에는 제거, 격리, 면제 또는 실행 중인 위협이 포함됩니다.

다음과 같이 5가지 위협 이벤트 유형이 있습니다.

• threat_found: 안전하지 않은 상태에서 새 위협이 발견되었습니다.
• threat_removed: 기존 위협이 제거되었습니다.
• threat_quarantined: 격리 상태에서 새 위협이 발견되었습니다.
• threat_waived: 새로운 위협이 면제된 상태에서 발견되었습니다.
• threat_changed: 기존 위협의 동작이 변경되었습니다(예: 점수, 격리 상태, 실행 상태)

다음과 같이 6가지 위협 분류 유형이 있습니다.

• File Unavailable: 업로드 제약 조건(예: 파일이 너무 커서 업로드할 수 없음)으로 인해 파일을 분석에 사용할 수 없습니다.
• Malware: 파일이 멀웨어로 분류됩니다.
• Possible PUP: 파일이 PUP(Potentially Unwanted Program)일 수 있습니다.
• PUP: 이 파일은 PUP(Potentially Unwanted Program)로 간주됩니다.
• Trusted: 파일이 신뢰할 수 있는 것으로 간주됩니다.
• Unclassified: ATP가 이 파일을 분석하지 않았습니다.

그림 13: (영어로만 제공) 위협 이벤트의 메시지 예시

위협 분류

Dell의 Advanced Threat Prevention은 매일 수백 개의 위협을 멀웨어 또는 PUP(Potentially Unwanted Program)로 분류합니다.

이 옵션을 선택하면 이러한 이벤트가 발생할 때 알림을 받게 됩니다.

그림 14: (영어로만 제공) 위협 분류의 메시지 예시

SIEM(Security Information and Event Management)

이벤트를 전송할 대상 Syslog 서버 또는 SIEM 유형을 지정합니다.

프로토콜

이 값은 Syslog 서버에서 구성한 내용과 일치해야 합니다. UDP 또는 TCP 중 하나를 선택할 수 있습니다. TCP가 기본값이며, TCP를 사용하는 것이 좋습니다. UDP는 메시지 전달을 보장하지 않으므로 권장되지 않습니다.

TLS/SSL

지정된 프로토콜이 TCP인 경우에만 사용할 수 있습니다. TLS/SSL은 Syslog 서버로 전송되는 Syslog 메시지를 암호화합니다. 이 옵션을 선택하는 것이 좋습니다. Syslog 서버가 TLS/SSL 메시지를 수신하도록 구성되었는지 확인하십시오.

IP/도메인

고객이 설정한 Syslog 서버의 IP 주소 또는 정규화된 도메인 이름을 지정합니다. 방화벽 및 도메인 설정이 올바르게 구성되었는지 확인하려면 내부 네트워크 전문가에게 문의하십시오.

포트

Syslog 서버가 메시지를 수신하는 시스템의 포트 번호를 지정합니다. 1과 65535 사이의 숫자여야 합니다. 일반적인 값은 다음과 같습니다. UDP의 경우 512, TCP의 경우 1235 또는 1468, 보안 TCP의 경우 6514(예: TLS/SSL이 활성화된 TCP)

심각도

Syslog 서버에 표시되어야 하는 메시지의 심각도를 지정합니다(이는 주관적인 필드이며 원하는 수준으로 설정할 수 있음). 심각도 값은 Syslog로 전달되는 메시지를 변경하지 않습니다.

기능

메시지를 기록하는 애플리케이션의 유형을 지정합니다. 기본값은 Internal(또는 Syslog)입니다. Syslog 서버가 메시지를 수신할 때 메시지를 분류하는 데 사용됩니다.

사용자 지정 토큰

SumoLogic과 같은 일부 로그 관리 서비스에는 syslog 메시지에 포함된 사용자 지정 토큰이 필요할 수 있습니다. 이 토큰은 해당 메시지가 어디로 이동할지 식별하는 데 도움이 됩니다. 사용자 지정 토큰은 로그 관리 서비스를 제공합니다.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

연결 테스트

연결 테스트를 클릭하여 IP/도메인, 포트 및 프로토콜 설정을 테스트합니다. 유효한 값을 입력하면 성공 확인 메시지가 표시됩니다.

그림 15: (영어로만 제공) 연결 성공 배너

Syslog 서버 콘솔에서 표시되는 연결 테스트 메시지는 다음과 같습니다.

그림 16: (영어로만 제공) 연결 테스트 메시지

sl_file_upload

파일이 클라우드 공급업체에 업로드되었을 때 관리자에게 알리는 이벤트입니다.

이벤트를 생성하는 에이전트는 다음 중 하나 이상이 될 수 있습니다.

• Mac
• Windows
• Android
• IOS

페이로드
제공업체	업로드를 수행하는 프로세스입니다.
파일	업로드되는 파일에 대한 정보에는 keyid, path, filename 및 size가 포함됩니다.
형상	이 이벤트가 발생한 위치입니다.
로그인 사용자	디바이스에 로그인한 사용자입니다.

예:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

사용자가 폴더 관리 콘솔을 통해 폴더 정책을 변경할 때 발생하는 이벤트입니다.

이벤트를 생성하는 에이전트는 다음 중 하나 이상이 될 수 있습니다.

• Mac
• Windows
• Android
• IOS

페이로드
폴더 경로	보호 수준이 변경된 폴더입니다.
폴더 보호	보호 수준을 정의하는 문자열: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
형상	이 이벤트가 발생한 위치입니다.
로그인 사용자	디바이스에 로그인한 사용자입니다.

예:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

클라우드 공급업체에 대한 액세스가 차단되었을 때 관리자에게 알리는 이벤트입니다.

이벤트를 생성하는 에이전트는 다음 중 하나 이상이 될 수 있습니다.

• Mac
• Windows
• Android
• IOS

페이로드
주소	업로드를 수행하는 프로세스입니다.
프로세스	업로드되는 파일에 대한 정보에는 keyid, path, filename 및 size가 포함됩니다.
애플리케이션	차단된 클라우드 공급업체에 액세스를 시도하는 프로세스 유형입니다. 앱, 프록시 또는 브라우저
그물 작용	발생하는 작업 유형입니다. (하나의 값만 차단됨)
형상	이 이벤트가 발생한 위치입니다.
로그인 사용자	디바이스에 로그인한 사용자입니다.

예:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Dell Data Guardian 보호 이메일 메시지와 관련된 작업을 처리하는 이벤트입니다.

이벤트를 생성하는 에이전트는 다음 중 하나 이상이 될 수 있습니다.

• Mac
• Windows
• Android
• IOS

페이로드
이메일 메시지	이메일 객체의 배열입니다.
keyId	이메일을 보호하는 데 사용되는 키 ID입니다.
제목	이메일의 제목 줄입니다.
변경 후	이메일이 전송된 이메일 주소입니다.
cc	이메일이 복사된 이메일 주소입니다.
숨은 참조	숨은 이메일이 복사된 이메일 주소입니다.
시작	이메일을 보낸 사람의 이메일 주소입니다.
첨부 자료	이메일에 추가된 첨부 파일의 이름입니다.
동작	"열림", "생성됨", "응답됨", "전송됨"
로그인 사용자	디바이스에 로그인한 사용자입니다.

예:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Dell Data Guardian 보호 Office 문서와 관련된 작업을 처리하는 이벤트입니다.

이벤트를 생성하는 에이전트는 다음 중 하나 이상이 될 수 있습니다.

• Mac
• Windows
• Android
• IOS

페이로드
파일	암호화, 암호 해독 또는 삭제된 파일 정보입니다.
clientType	설치된 클라이언트 유형입니다. External 또는 Internal
동작	Created, Accessed, Modified, Unprotected, AttemptAccess
슬립션	New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering, DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
형상	이 이벤트가 발생한 위치입니다.
시작	요약 이벤트가 시작된 시점의 타임스탬프입니다.
변경 후	이벤트가 종료된 요약 이벤트의 타임스탬프입니다.
로그인 사용자	디바이스에 로그인한 사용자입니다.
앱 정보	보호된 Office 문서를 사용하는 애플리케이션에 대한 정보입니다.

예:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

컴퓨터에서 이벤트를 발생시킬 때 발생하는 이벤트입니다.

이벤트를 생성하는 에이전트는 다음 중 하나 이상이 될 수 있습니다.

• Mac
• Windows
• Android
• IOS

페이로드
동작	컴퓨터가 수행하는 작업 예제 - 로그인, 로그아웃, PrintScreenBlocked, ProcessBlocked
형상	이 이벤트가 발생한 위치입니다.
clientType	설치된 클라이언트 유형입니다. 외부 또는 내부
로그인 사용자	디바이스에 로그인한 사용자입니다.
ProcessInfo	프로세스에 대한 정보
처리	프로세스가 차단된 방법 - Terminated, Blocked, None.
이름	프로세스의 이름입니다.

예:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

지원되는 클라우드 공급업체에서 파일이 암호화, 암호 해독 또는 삭제되는 시기를 지정하는 Cloud Edition 이벤트입니다.

이벤트를 생성하는 에이전트는 다음 중 하나 이상이 될 수 있습니다.

• Mac
• Windows
• Android
• IOS

페이로드
파일	암호화, 암호 해독 또는 삭제된 파일 정보입니다.
clientType	설치된 클라이언트 유형입니다. External 또는 Internal
동작	Created, Accessed, Modified, Deleted
클라우드 이름	클라우드에 있는 파일의 이름은 위의 파일 태그에 있는 이름과 다를 수 있습니다
젠액션(Xenaction)	DG 서비스에서 수행하려고 하는 작업에 대한 설명입니다. 값 - Encrypt, Decrypt, Deleted
형상	이 이벤트가 발생한 위치입니다.
로그인 사용자	디바이스에 로그인한 사용자입니다.

예:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}