Dell Security Management Server Syslog- en SIEM-handleiding

In de 9.2-server werd de mogelijkheid geïntroduceerd om te communiceren met de Advanced Threat Prevention-cloud, waardoor de mogelijkheid om Advanced Threat Event-gegevens te configureren die naar een SIEM-applicatie moeten worden verzonden.

Als u deze data wilt configureren in de WebUI van Dell Security Management Server of Dell Security Management Server Virtual, gaat u naar Populations >Enterprise >Advanced Threats (dit tabblad is alleen zichtbaar als Advanced Threat Prevention is ingeschakeld via de > Management Services Management-taak) >opties.

De pagina Opties heeft een selectievakje voor Syslog/SIEM waarmee we kunnen configureren waar de gegevens naartoe worden gestuurd. Deze gegevens zijn afkomstig van de Advanced Threat Prevention-servers die worden gehost binnen Amazon Web Services.

Als de Advanced Threat Prevention Syslog-integratie syslog-berichten niet kan afleveren op uw server, wordt er een e-mailmelding verzonden naar beheerders met een bevestigd e-mailadres in de organisatie, om hen te waarschuwen voor het syslog-probleem.

Als het probleem is opgelost voordat de periode van 20 minuten is verstreken, worden syslog-berichten nog steeds bezorgd. Als het probleem na de periode van 20 minuten is opgelost, moet een beheerder syslog-berichten opnieuw inschakelen.

Hier is een voorbeeldconfiguratie van een externe FQDN (Fully Qualified Domain Name) van extsiem.domain.org via poort 5514. Bij deze configuratie wordt ervan uitgegaan dat extsiem.domain.com een externe DNS-vermelding heeft die wordt omgezet naar de server binnen de omgeving waarop de SIEM- of Syslog-applicatie wordt uitgevoerd, en dat poort 5514 is doorgestuurd vanaf de gateway van de omgeving naar de doel-SIEM- of Syslog-applicatie.

Afbeelding 1: (Alleen In het Engels) Dell Data Security console

Evenementen die via deze functionaliteit binnenkomen, worden gebrandmerkt omdat ze afkomstig zijn van onze leverancier, Cylance.

IP- en hostnaamgegevens voor firewall- en toegangsdoeleinden

De SaaS voor Advanced Threat Prevention heeft verschillende IP-adressen voor elke regio. Dit maakt uitbreiding mogelijk zonder een syslog-service te onderbreken. Sta alle IP-adressen toe die zijn gebaseerd op uw regio bij het configureren van uw regels. Logboeken van Cylance zijn afkomstig van een van deze IP's en kunnen willekeurig veranderen.

VS (my.cylance.com en my-vs2.cylance.com)

52.2.154.63
52.20.244.157 52.71.59.248
52.72.144.44
54.88.241.49

NL (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com en my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server en Dell Security Management Server Virtual introduceerden in 9.7 de mogelijkheid om gebeurtenissen te verzenden die zijn ontvangen van agenten. Dit omvat de ruwe, ongefilterde gebeurtenissen van Dell Endpoint Security Suite Enterprise en gebeurtenissen van Dell Secure Lifecycle en Dell Data Guardian.

Serverconfiguratie

U kunt de Security Management Server configureren voor het verzenden van agentgebeurtenisgegevens binnen Management>Services Management >Event Management. Deze gegevens kunnen worden geëxporteerd naar een lokaal bestand of Syslog. Er zijn twee opties: Exporteren naar lokaal bestand en exporteren naar Syslog

Afbeelding 2: (Alleen In het Engels) Evenementen Management

Exporteren naar lokaal bestand, werkt het audit-export.log bestand bij zodat een universele doorstuurserver het gebruikt. De standaardlocatie van dit bestand is C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Dit bestand wordt elke twee uur bijgewerkt met gegevens. Dit bestand kan worden opgehaald en gebruikt door een expediteur. Zie voor meer informatie over doorstuurservers de specifieke Syslog- of SIEM-toepassing die u gebruikt om deze gegevens te gebruiken, aangezien doorstuurservers per toepassing verschillen.

Afbeelding 3: (Alleen In het Engels) Exporteren naar lokaal bestand

Exporteren naar Syslog maakt een directe verbinding met een interne SIEM- of Syslog-server binnen de omgeving mogelijk. Deze logboeken zijn geformatteerd in een eenvoudige indeling die is gebaseerd op RFC-3164 in een json-bundel. Deze data zijn afkomstig van de Dell Security Management Server en worden rechtstreeks naar de SIEM- of Syslog-server verzonden. Deze gegevens worden elke twee uur verzameld en verzonden met behulp van een taak.

Afbeelding 4: (Alleen In het Engels) Exporteren naar Syslog

De Dell Endpoint Security Suite Enterprise gebeurtenisdata die worden verzonden, worden hierboven vermeld. Doorgaans verzendt SaaS deze data, zodat de Dell Security Management Server deze data kan verzamelen van de agents terwijl ze inchecken met inventarissen en deze kan doorsturen naar de geconfigureerde SIEM- of Syslog-applicatie.

Agentgebeurtenisdata bevatten zowel de eerder genoemde Dell Endpoint Security Security Suite Enterprise gebeurtenisdata als Dell Secure Lifecycle- en Dell Data Guardian-data. Deze gegevens komen ook voor bij evenementen.

Applicatiecontrole

Deze optie is alleen zichtbaar voor gebruikers die de functie Applicatiebeheer hebben ingeschakeld. Applicatiebeheergebeurtenissen vertegenwoordigen acties die plaatsvinden wanneer het apparaat zich in de modus Applicatiebeheer bevindt. Als u deze optie selecteert, wordt er een bericht naar de Syslog-server gestuurd wanneer een poging wordt gedaan om een uitvoerbaar bestand te wijzigen of te kopiëren, of wanneer er een poging wordt gedaan om een bestand uit te voeren vanaf een apparaat of netwerklocatie.

Afbeelding 5: (Alleen In het Engels) Voorbeeldbericht voor wijziging PE-bestand weigeren

Afbeelding 6: (Alleen In het Engels) Voorbeeldbericht voor het weigeren van uitvoering vanaf een externe schijf

Auditlogboek

Als u deze optie selecteert, wordt het controlelogboek met gebruikersacties die in de SaaS worden uitgevoerd, naar de Syslog-server verzonden. Gebeurtenissen in het controlelogboek worden weergegeven in het scherm Controlelogboek, zelfs wanneer deze optie is uitgeschakeld.

Afbeelding 7: (Alleen In het Engels) Voorbeeldbericht voor auditlog dat wordt doorgestuurd naar Syslog

Apparaten

Als u deze optie selecteert, worden apparaatgebeurtenissen naar de Syslog-server verzonden.

• Wanneer een nieuw apparaat wordt geregistreerd, ontvangt u twee berichten voor deze gebeurtenis: Registratie en systeembeveiliging

Afbeelding 8: (Alleen In het Engels) Voorbeeldbericht voor een door het apparaat geregistreerde gebeurtenis

• Wanneer een apparaat wordt verwijderd

Afbeelding 9: (Alleen In het Engels) Voorbeeldbericht voor de gebeurtenis Device Removed

• Wanneer het beleid, de zone, de naam of het logboekregistratieniveau van een apparaat is gewijzigd.

Afbeelding 10: (Alleen In het Engels) Voorbeeldbericht voor de gebeurtenis Apparaat bijgewerkt

Geheugenbeveiliging

Als u deze optie selecteert, worden alle pogingen tot geheugenmisbruik die kunnen worden beschouwd als een aanval vanaf een van de apparaten van de tenant op de Syslog-server geregistreerd. Er zijn vier soorten Memory Exploit-acties:

• Geen: Toegestaan omdat er geen beleid is gedefinieerd voor deze schending.
• Toegestaan: Toegestaan door beleid
• Geblokkeerd: Geblokkeerd voor uitvoering door beleid
• Beëindigd: Het proces is beëindigd.

Afbeelding 11: (Alleen In het Engels) Voorbeeldbericht van een geheugenbeveiligingsgebeurtenis

Scriptcontrole

Als u deze optie selecteert, worden alle nieuw gevonden scripts vastgelegd op de Syslog-server die door Advanced Threat Prevention worden veroordeeld.

Syslog Script Control-gebeurtenissen bevatten de volgende eigenschappen:

• Alert: Het script mag worden uitgevoerd. Er wordt een scriptbesturingsgebeurtenis naar de console verzonden.
• Blok: Het script mag niet worden uitgevoerd. Er wordt een scriptbesturingsgebeurtenis naar de console verzonden.

Rapportagefrequentie

De eerste keer dat een Script Control-gebeurtenis wordt gedetecteerd, wordt een bericht verzonden met behulp van syslog met volledige gebeurtenisinformatie. Elke volgende gebeurtenis die als een duplicaat wordt beschouwd, wordt de rest van de dag niet verzonden via syslog (op basis van de servertijd van de SaaS).

Als de teller voor een specifieke Script Control-gebeurtenis groter is dan één, wordt er een gebeurtenis verzonden met behulp van syslog met het aantal dubbele gebeurtenissen die die dag hebben plaatsgevonden. Als de teller gelijk is aan één, wordt er geen extra bericht verzonden via syslog.

Bepalen of een Script Control-gebeurtenis een duplicaat is, gebruikt de volgende logica:

• Bekijk de belangrijkste informatie: Apparaat, hash, gebruikersnaam, blokkering en waarschuwing
• Voor de eerste gebeurtenis die op een dag wordt ontvangen, stelt u een tellerwaarde in op 1. Er zijn aparte tellers voor Block en Alert.
• Alle volgende gebeurtenissen met dezelfde sleutel verhogen de teller
• De teller wordt elke kalenderdag gereset, afhankelijk van de servertijd van de SaaS.

Afbeelding 12: (Alleen In het Engels) Voorbeeldbericht van scriptbesturingselement

Bedreigingen

Als u deze optie selecteert, worden nieuw gevonden bedreigingen of wijzigingen die zijn waargenomen voor bestaande bedreigingen geregistreerd op de Syslog-server. Wijzigingen omvatten een bedreiging die wordt verwijderd, in quarantaine wordt geplaatst, wordt opgeheven of wordt uitgevoerd.

Er zijn vijf soorten bedreigingsgebeurtenissen:

• threat_found: Er is een nieuwe dreiging gevonden met de status Onveilig.
• threat_removed: Een bestaande dreiging is verwijderd.
• threat_quarantined: Er is een nieuwe dreiging gevonden in de quarantainestatus.
• threat_waived: Er is een nieuwe bedreiging gevonden in de status van kwijtgescholden.
• threat_changed: Het gedrag van een bestaande bedreiging is veranderd (voorbeelden: Score, quarantainestatus, actieve status)

Er zijn zes typen bedreigingsclassificaties:

• Bestand niet beschikbaar: Vanwege een uploadbeperking (bijvoorbeeld als het bestand te groot is om te uploaden) is het bestand niet beschikbaar voor analyse.
• Malware: Het bestand is geclassificeerd als malware.
• Mogelijke PUP: Het bestand is mogelijk een mogelijk ongewenst programma (PUP).
• PUP: Het bestand wordt beschouwd als een mogelijk ongewenst programma (PUP).
• Vertrouwde: Het bestand wordt als vertrouwd beschouwd.
• Niet geclassificeerd: ATP heeft dit bestand niet geanalyseerd.

Afbeelding 13: (Alleen In het Engels) Voorbeeldbericht van een bedreigingsgebeurtenis

Bedreigingsclassificaties

Elke dag classificeert de Advanced Threat Prevention van Dell honderden bedreigingen als malware of potentieel ongewenste programma's (PUP's).

Als u deze optie selecteert, wordt u op de hoogte gesteld wanneer deze gebeurtenissen zich voordoen.

Afbeelding 14: (Alleen In het Engels) Voorbeeldbericht van bedreigingsclassificatie

SIEM (Security Information and Event Management)

Specificeert het type Syslog-server of SIEM waarnaar gebeurtenissen moeten worden verzonden.

Protocol

Dit moet overeenkomen met wat u hebt geconfigureerd op uw Syslog-server. De keuzes zijn UDP of TCP. TCP is de standaardinstelling en we raden klanten aan dit te gebruiken. UDP wordt niet aanbevolen omdat het geen garantie biedt voor het afleveren van berichten.

TLS/SSL

Alleen beschikbaar als het opgegeven protocol TCP is. TLS/SSL zorgt ervoor dat het Syslog-bericht wordt versleuteld tijdens het transport naar de Syslog-server. We raden klanten aan deze optie te selecteren. Zorg ervoor dat uw Syslog-server is geconfigureerd om naar TLS/SSL-berichten te luisteren.

IP/Domein

Specificeert het IP-adres of de volledig gekwalificeerde domeinnaam van de Syslog-server die de klant heeft ingesteld. Overleg met uw interne netwerkexperts om ervoor te zorgen dat de firewall- en domeininstellingen correct zijn geconfigureerd.

Poort

Specificeert het poortnummer op de machines waarop de Syslog-server naar berichten luistert. Het moet een getal zijn tussen 1 en 65535. Typische waarden zijn: 512 voor UDP, 1235 of 1468 voor TCP en 6514 voor beveiligde TCP (bijvoorbeeld: TCP met TLS/SSL ingeschakeld)

Ernst

Specificeert de prioriteit van de berichten die op de Syslog-server moeten verschijnen (dit is een subjectief veld en u kunt het instellen op elk gewenst niveau). De waarde van de prioriteit verandert niets aan de berichten die worden doorgestuurd naar Syslog.

Faciliteit

Hiermee geeft u aan welk type applicatie het bericht registreert. De standaardinstelling is Internal (of Syslog). Dit wordt gebruikt om de berichten te categoriseren wanneer de Syslog-server ze ontvangt.

Aangepast token

Sommige logboekbeheerservices, zoals SumoLogic, hebben mogelijk een aangepast token nodig dat is opgenomen in syslog-berichten om te helpen identificeren waar die berichten naartoe moeten. Het aangepaste token biedt uw logboekbeheerservice.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

De verbinding testen

Klik op Verbinding testen om de IP-/domein-, poort- en protocolinstellingen te testen. Als geldige waarden zijn ingevoerd, wordt een geslaagde bevestiging weergegeven.

Afbeelding 15: (Alleen In het Engels) Banner voor geslaagde verbinding

Op de Syslog-serverconsole ontvangt u het volgende bericht over de testverbinding:

Afbeelding 16: (Alleen In het Engels) Bericht Verbinding testen

sl_file_upload

Gebeurtenis die een beheerder vertelt wanneer een bestand is geüpload naar een cloudprovider.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

• Mac
• Windows
• Android
• IOS

Nettolading
Provider	Proces dat de upload doet.
Bestand	Informatie over het bestand dat wordt geüpload, omvat keyid, pad, bestandsnaam en grootte.
Geometrie	De locatie waar dit evenement plaatsvond.
Loggedinuser	Gebruiker die is aangemeld bij het apparaat.

Voorbeeld:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Gebeurtenis die optreedt wanneer een gebruiker het mappenbeleid wijzigt via de mappenbeheerconsole.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

• Mac
• Windows
• Android
• IOS

Nettolading
Mappad	Map waarin het beschermingsniveau is gewijzigd
Mapbeveiliging	Een tekenreeks die een beschermingsniveau definieert: UsePolicy, ForceAllow, ForceProtect PreExisting_ForceAllow PreExisting_ForceAllow_Confirmed
Geometrie	De locatie waar dit evenement plaatsvond.
Loggedinuser	Gebruiker die is aangemeld bij het apparaat.

Voorbeeld:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Gebeurtenis die een beheerder vertelt wanneer de toegang tot een cloudprovider is geblokkeerd.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

• Mac
• Windows
• Android
• IOS

Nettolading
Adres	Proces dat de upload doet.
Process Autoexec.bat	Informatie over het bestand dat wordt geüpload, omvat keyid, pad, bestandsnaam en grootte.
Applicatie	Type proces dat toegang probeert te krijgen tot een geblokkeerde cloudprovider. App, proxy of browser
Netactie	Type actie dat plaatsvindt. (slechts één waarde geblokkeerd)
Geometrie	De locatie waar dit evenement plaatsvond.
Loggedinuser	Gebruiker die is aangemeld bij het apparaat.

Voorbeeld:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Gebeurtenissen die te maken hebben met de acties die zijn gekoppeld aan beveiligde e-mailberichten van Dell Data Guardian.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

• Mac
• Windows
• Android
• IOS

Nettolading
E-mailberichten	Matrix met e-mailobjecten
keyId	Sleutel-ID gebruikt om de e-mail te beveiligen.
Onderwerp	Onderwerpregel van e-mail
Naar	E-mailadressen waarnaar de e-mail is verzonden.
Cc	E-mailadressen waarnaar de e-mail is gekopieerd.
Bcc	E-mailadressen waarnaar de e-mail blind is gekopieerd.
Van	E-mailadres van de persoon die de e-mail heeft verzonden.
Bijlagen	Namen van bijlagen die aan de e-mail zijn toegevoegd
Actie	'Geopend', 'gemaakt', 'gereageerd', 'verzonden'
Loggedinuser	Gebruiker die is aangemeld bij het apparaat.

Voorbeeld:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Gebeurtenissen die te maken hebben met de acties die zijn gekoppeld aan door Dell Data Guardian beschermde kantoordocumenten.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

• Mac
• Windows
• Android
• IOS

Nettolading
Bestand	Bestandsinformatie daarover is versleuteld, gedecodeerd of verwijderd.
clienttype	Clienttype dat is geïnstalleerd. Extern of intern
Actie	Gemaakt, geopend, gewijzigd, onbeschermd, attemptaccess
Slactie	Nieuw, Open, Bijgewerkt, Geveegd, Watermerk, BlockCopy, RepairedTampering, DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometrie	De locatie waar dit evenement plaatsvond.
Van	Tijdstempel voor overzichtsgebeurtenis toen deze begon.
Naar	Tijdstempel voor samenvatting van gebeurtenis wanneer de gebeurtenis is beëindigd.
Loggedinuser	Gebruiker die is aangemeld bij het apparaat.
Appinfo	Informatie over de toepassing met behulp van het Protected Office Document

Voorbeeld:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Gebeurtenis die plaatsvindt wanneer de computer een gebeurtenis verstuurt.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

• Mac
• Windows
• Android
• IOS

Nettolading
Actie	Voorbeelden van wat de computer doet: Inloggen, Afmelden, PrintScreenBlocked, ProcessBlocked
Geometrie	De locatie waar dit evenement plaatsvond.
clienttype	Clienttype dat is geïnstalleerd. Extern of intern
Loggedinuser	Gebruiker die zich heeft aangemeld bij het apparaat.
processInfo	Informatie over het proces
Disposition	Hoe het proces werd geblokkeerd - Beëindigd, Geblokkeerd, Geen.
Naam	Naam van het proces

Voorbeeld:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition Gebeurtenissen die aangeven wanneer een bestand wordt versleuteld, ontsleuteld of verwijderd van een ondersteunde cloudprovider.

De agent die de gebeurtenis genereert, kan een of meer van de volgende zijn:

• Mac
• Windows
• Android
• IOS

Nettolading
Bestand	Bestandsinformatie daarover is versleuteld, gedecodeerd of verwijderd.
clienttype	Clienttype dat is geïnstalleerd. Extern of intern
Actie	Gemaakt, geopend, gewijzigd, verwijderd
Cloudnaam	De naam van het bestand in de cloud kan afwijken van die in de bestandstag hierboven
Xenaction	Beschrijving van wat de DG-dienst probeert te doen. Waarden: versleutelen, ontsleutelen, verwijderen.
Geometrie	De locatie waar dit evenement plaatsvond.
Loggedinuser	Gebruiker die is aangemeld bij het apparaat.

Voorbeeld:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}