Podręcznik Syslog i SIEM dla serwera Dell Security Management Server

W serwerze 9.2 wprowadzono możliwość komunikowania się z chmurą Advanced Threat Prevention, co pozwoliło na skonfigurowanie danych zdarzeń zaawansowanego zagrożenia, które mają być wysyłane do aplikacji SIEM.

Aby skonfigurować te dane w interfejsie sieciowym serwera Dell Security Management Server lub Dell Security Management Server Virtual, przejdź do opcjiPopulations >>Enterprise Advanced Threats (ta karta jest widoczna tylko wtedy, gdy funkcja Advanced Threat Prevention została włączona za pomocą zadania Management> Services Management). >

Na stronie Options znajduje się pole wyboru Syslog/SIEM , które umożliwia skonfigurowanie miejsca wysyłania danych. Dane te pochodzą z serwerów Advanced Threat Prevention hostowanych w ramach Amazon Web Services.

Jeśli program Advanced Threat Prevention Syslog Integration nie może pomyślnie dostarczyć komunikatów syslog do serwera, do administratorów wysyłane jest powiadomienie e-mail z potwierdzonym adresem e-mail w organizacji, informujące o problemie z syslog.

Jeśli problem zostanie rozwiązany przed upływem 20 minut, komunikaty syslog będą nadal dostarczane. Jeśli problem zostanie rozwiązany po upływie 20 minut, administrator musi ponownie włączyć komunikaty syslog.

Oto przykładowa konfiguracja zewnętrznej w pełni kwalifikowanej nazwy domeny (FQDN) extsiem.domain.org przez port 5514. W tej konfiguracji założono, że extsiem.domain.com ma zewnętrzny wpis DNS, który przechodzi na serwer w środowisku z aplikacją SIEM lub Syslog, a port 5514 został przekazany z bramki środowiska do docelowej aplikacji SIEM lub Syslog.

Rysunek 1. (tylko w języku angielskim) Dell Data Security Console

Zdarzenia przechodzące przez tę funkcję są oznaczone jako pochodzące od naszego dostawcy, Cylance.

Informacje o adresach IP i nazwach hostów do celów zapory i dostępu

Narzędzie SaaS for Advanced Threat Prevention ma kilka adresów IP dla każdego regionu. Pozwala to na rozbudowę bez przerywania usługi syslog. Zezwalaj na wszystkie adresy IP, które są oparte na Twoim regionie podczas konfigurowania reguł. Dzienniki Cylance pochodzą z jednego z tych adresów IP i mogą ulec losowej zmianie.

US (my.cylance.com i my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com i my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server i Dell Security Management Server Virtual wprowadziły możliwość wysyłania zdarzeń otrzymanych od agentów w wersji 9.7. Obejmuje to niefiltrowane zdarzenia z rozwiązania Dell Endpoint Security Suite Enterprise oraz zdarzenia z Dell Secure Lifecycle i Dell Data Guardian.

Konfiguracja serwera

Serwer zarządzania zabezpieczeniami można skonfigurować w taki sposób, aby wysyłał dane zdarzeń agenta w ramach> zarządzania usługami zarządzania >Zarządzanie zdarzeniami. Te dane można wyeksportować do pliku lokalnego lub Syslog. Dostępne są dwie opcje: Eksportuj do pliku lokalnego i eksportuj do syslogu

Rysunek 2. (tylko w języku angielskim) Zarządzanie zdarzeniami

Eksportuj do pliku lokalnego, aktualizuje plik audit-export.log, aby mógł z niego korzystać uniwersalny program przesyłania dalej. Domyślna lokalizacja tego pliku to C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Plik jest aktualizowany co dwie godziny o dane. Plik ten może zostać odebrany i wykorzystany przez nadawcę. Aby uzyskać więcej informacji na temat nadawców, należy zapoznać się z określoną aplikacją Syslog lub SIEM, wykorzystywaną do zużywania tych danych, ponieważ nadawcy różnią się w zależności od aplikacji.

Rysunek 3. (tylko w języku angielskim) Eksportuj do pliku lokalnego

Eksport do dziennika systemowego umożliwia bezpośrednie połączenie z wewnętrznym serwerem SIEM lub Syslog w środowisku. Te dzienniki są sformatowane w prostym formacie, który jest oparty na RFC-3164 w pakiecie json. Dane te pochodzą z serwera Dell Security Management Server i są wysyłane bezpośrednio do serwera SIEM lub Syslog. Dane te są zbierane i wysyłane co dwie godziny za pomocą zlecenia.

Rysunek 4. (tylko w języku angielskim) Eksport do Syslog

Wysyłane dane o zdarzeniach rozwiązania Dell Endpoint Security Suite Enterprise są wymienione powyżej. Zazwyczaj SaaS wysyła te dane, dzięki czemu serwer Dell Security Management Server może zbierać te dane od agentów podczas ewidencjonowania inwentaryzacji i przekazywać je dalej do skonfigurowanej aplikacji SIEM lub Syslog.

Dane zdarzeń agenta zawierają zarówno wspomniane wcześniej dane o zdarzeniach dotyczących rozwiązania Dell Endpoint Security Suite Enterprise, jak i dane dotyczące cyklu eksploatacji Dell Secure Lifecycle i Dell Data Guardian. Dane te są również dostarczane w zdarzeniach.

Kontrola aplikacji

Ta opcja jest widoczna tylko dla użytkowników, którzy mają włączoną funkcję kontroli aplikacji. Zdarzenia kontroli aplikacji przedstawiają działania występujące, gdy urządzenie znajduje się w trybie kontroli aplikacji. Zaznaczenie tej opcji powoduje wysłanie komunikatu do serwera dziennika systemowego za każdym razem, gdy zostanie podjęta próba zmodyfikowania, skopiowania pliku wykonywalnego lub gdy zostanie podjęta próba uruchomienia pliku z urządzenia lub lokalizacji sieciowej.

Rysunek 5. (tylko w języku angielskim) Przykład komunikatu o odmowie zmiany pliku PE

Rysunek 6. (Tylko w języku angielskim) Przykładowy komunikat o odmowie wykonania z dysku zewnętrznego

Dziennik kontroli

Wybranie tej opcji powoduje wysłanie dziennika kontroli działań użytkownika wykonywanych w SaaS do serwera Syslog. Zdarzenia dziennika kontroli są wyświetlane na ekranie dziennika kontroli nawet po wyczyszczeniu tej opcji.

Rysunek 7. (tylko w języku angielskim) Przykładowy komunikat przekazywania dziennika kontroli do Syslog

Urządzenia

Wybranie tej opcji powoduje wysłanie zdarzeń urządzenia do serwera Syslog.

• Po zarejestrowaniu nowego urządzenia otrzymasz dwa komunikaty dotyczące tego zdarzenia: Rejestracja i Bezpieczeństwo systemu

Rysunek 8. (tylko w języku angielskim) Przykład komunikatu dotyczącego zdarzenia zarejestrowanego urządzenia

• Po usunięciu urządzenia

Rysunek 9. (tylko w języku angielskim) Przykład komunikatu dotyczącego zdarzenia usunięcia urządzenia

• Jeśli zasady, strefa, nazwa lub poziom logowania urządzenia uległy zmianie.

Rysunek 10. (tylko w języku angielskim) Przykład komunikatu dotyczącego zdarzenia aktualizacji urządzenia

Ochrona pamięci

Wybranie tej opcji powoduje rejestrowanie wszelkich prób wykorzystania pamięci, które można uznać za atak z dowolnego urządzenia najemcy do serwera Syslog. Istnieją cztery rodzaje działań wykorzystania pamięci:

• Brak: Dozwolone, ponieważ żadne zasady nie zostały zdefiniowane dla tego naruszenia.
• Dozwolone: Dozwolone przez zasady
• Zablokowane: Zablokowanie działania przez zasady
• Zakończono: Proces został zakończony.

Rysunek 11. (tylko w języku angielskim) Przykład komunikatu o zdarzeniu ochrony pamięci

Kontrola skryptu

Zaznaczenie tej opcji powoduje zarejestrowanie wszystkich nowo znalezionych skryptów na serwerze Syslog, który zostanie skazany przez funkcję Advanced Threat Prevention.

Zdarzenia kontroli skryptu Syslog zawierają następujące właściwości:

• Alert: Skrypt może zostać uruchomiony. Do konsoli wysyłane jest zdarzenie kontroli skryptu.
• Block: Skrypt nie może zostać uruchomiony. Do konsoli wysyłane jest zdarzenie kontroli skryptu.

Częstotliwość raportowania

Po pierwszym wykryciu zdarzenia funkcji kontroli skryptu za pomocą syslog wysyłany jest komunikat zawierający pełne informacje o zdarzeniu. Każde kolejne zdarzenie uznawane za zduplikowane nie jest wysyłane za pomocą syslog przez pozostałą część dnia (w zależności od czasu serwera SaaS).

Jeśli licznik dla określonego zdarzenia funkcji kontroli skryptu jest większy niż jeden, zdarzenie jest wysyłane za pomocą syslog z liczbą wszystkich zduplikowanych zdarzeń, które wystąpiły tego dnia. Jeśli licznik jest równy jeden, nie jest wysyłana żadna dodatkowa wiadomość przy użyciu syslog.

Określanie, czy zdarzenie funkcji kontroli skryptu jest zduplikowane, wykorzystuje następującą logikę:

• Przyjrzyj się kluczowym informacjom: Urządzenie, skrót, nazwa użytkownika, blokada i alert
• W przypadku pierwszego zdarzenia odebranego w ciągu dnia ustaw wartość licznika na 1. Istnieją oddzielne liczniki dla blokady i alertu.
• Wszystkie kolejne zdarzenia z tym samym kluczem zwiększają licznik
• Licznik resetuje się każdego dnia kalendarzowego zgodnie z czasem serwera SaaS.

Rysunek 12. (tylko w języku angielskim) Przykład komunikatu funkcji kontroli skryptu

Zagrożeniami

Wybranie tej opcji powoduje zarejestrowanie nowo znalezionych zagrożeń lub zmian zaobserwowanych dla istniejącego zagrożenia na serwerze Syslog. Zmiany obejmują usunięcie, kwarantannę, uchylenie lub uruchomienie zagrożenia.

Istnieje pięć typów zdarzeń zagrożenia:

• threat_found: Wykryto nowe zagrożenie w stanie niebezpiecznym.
• threat_removed: Usunięto istniejące zagrożenie.
• threat_quarantined: Znaleziono nowe zagrożenie w stanie kwarantanny.
• threat_waived: Znaleziono nowe zagrożenie w stanie uchylenia.
• threat_changed: Zachowanie istniejącego zagrożenia uległo zmianie (przykłady: Wynik, stan kwarantanny, stan uruchomienia)

Istnieje sześć typów klasyfikacji zagrożeń:

• Plik niedostępny: Ze względu na ograniczenie przekazywania (na przykład plik jest zbyt duży, aby go przesłać) plik jest niedostępny do analizy.
• Malware: Plik sklasyfikowano jako złośliwe oprogramowanie.
• Możliwy PUP: Plik może być potencjalnie niepożądanym programem (PUP).
• PUP: Plik jest uważany za potencjalnie niepożądany program (PUP).
• Zaufany: Plik jest uważany za zaufany.
• Nie sklasyfikowano: Funkcja ATP nie przeanalizowała tego pliku.

Rysunek 13. (tylko w języku angielskim) Przykład komunikatu o zdarzeniu zagrożenia

Klasyfikacje zagrożeń

Każdego dnia Advanced Threat Prevention firmy Dell klasyfikuje setki zagrożeń jako złośliwe oprogramowanie lub potencjalnie niepożądane programy.

Po wybraniu tej opcji wyświetlane są powiadomienia o tych zdarzeniach.

Rysunek 14. (tylko w języku angielskim) Przykład komunikatu o klasyfikacji zagrożeń

Zarządzanie informacjami o zabezpieczeniach i zdarzeniami (SIEM)

Typ serwera Syslog lub SIEM, do których mają być wysyłane zdarzenia.

Protokół

Musi to być zgodne z konfiguracją na serwerze Syslog. Dostępne opcje to UDP lub TCP. TCP jest ustawieniem domyślnym i zachęcamy klientów do korzystania z niego. Protokół UDP nie jest zalecany, ponieważ nie gwarantuje dostarczenia komunikatów.

TLS/SSL

Dostępne tylko wtedy, gdy określony protokół to TCP. Protokół TLS/SSL zapewnia, że komunikat Syslog jest zaszyfrowany w tranzycie do serwera Syslog. Zachęcamy klientów do wybrania tej opcji. Upewnij się, że serwer Syslog jest skonfigurowany do nasłuchiwania komunikatów TLS/SSL.

Adres IP / domena

Określa adres IP lub w pełni kwalifikowaną nazwę domeny serwera Syslog skonfigurowane przez klienta. Skontaktuj się z ekspertami sieci wewnętrznej, aby upewnić się, że zapora sieciowa i ustawienia domeny są prawidłowo skonfigurowane.

Port

Określa numer portu na komputerach, na których serwer Syslog nasłuchuje komunikatów. Musi to być liczba od 1 do 65535. Typowe wartości to: 512 dla protokołu UDP, 1235 lub 1468 dla protokołu TCP i 6514 dla zabezpieczonego protokołu TCP (na przykład: TCP z włączonym protokołem TLS/SSL)

Stopień ważności

Określa ważność komunikatów, które powinny pojawić się na serwerze Syslog (jest to pole subiektywne i można je ustawić na dowolny poziom). Wartość ważności nie zmienia komunikatów przekazywanych do Syslog.

Obiekt

Określa typ aplikacji rejestrującej komunikat. Ustawieniem domyślnym jest Wewnętrzne (lub Syslog). Służy do kategoryzacji komunikatów, gdy serwer Syslog je odbiera.

Token niestandardowy

Niektóre usługi zarządzania dziennikami, takie jak SumoLogic, mogą wymagać niestandardowego tokenu dołączonego do komunikatów syslog, aby ułatwić identyfikację lokalizacji tych komunikatów. Token niestandardowy zapewnia usługę zarządzania dziennikami.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

Testowanie połączenia

Kliknij Test połączenia, aby przetestować ustawienia IP/domeny, portu i protokołu. Po wprowadzeniu prawidłowych wartości zostanie wyświetlone potwierdzenie powodzenia.

Rysunek 15. (tylko w języku angielskim) Baner pomyślnego połączenia

W konsoli serwera Syslog zostanie wyświetlony następujący komunikat o teście połączenia:

Rysunek 16. (tylko w języku angielskim) Komunikat o teście połączenia

sl_file_upload

Zdarzenie, które informuje administratora, kiedy plik został przesłany do dostawcy rozwiązań chmurowych.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

• Mac
• Windows
• Android
• IOS

Payload
Usługodawca	Proces, który wykonuje przekazywanie.
Plik	Informacje o przesyłanym pliku obejmują identyfikator klucza, ścieżkę, nazwę pliku i rozmiar.
Geometrii	Miejsce, w którym miało miejsce zdarzenie.
Zalogowany użytkownik	Użytkownik zalogowany na urządzeniu.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Zdarzenie, które ma miejsce, gdy użytkownik zmienia zasady folderów za pośrednictwem konsoli zarządzania folderami.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

• Mac
• Windows
• Android
• IOS

Payload
Folderpath	Folder, w którym zmieniono poziom zabezpieczenia
Ochrona folderów	Ciąg znaków definiujący poziom ochrony: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometrii	Miejsce, w którym miało miejsce zdarzenie.
Zalogowany użytkownik	Użytkownik zalogowany na urządzeniu.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Zdarzenie informujące administratora o zablokowaniu dostępu do dostawcy rozwiązań chmurowych.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

• Mac
• Windows
• Android
• IOS

Payload
Adres	Proces, który wykonuje przekazywanie.
Proces	Informacje o przesyłanym pliku obejmują identyfikator klucza, ścieżkę, nazwę pliku i rozmiar.
Aplikacja	Typ procesu próbującego uzyskać dostęp do zablokowanego dostawcy rozwiązań chmurowych. Aplikacja, serwer proxy lub przeglądarka
Siatka	Rodzaj działania. (tylko wartość Zablokowane)
Geometrii	Miejsce, w którym miało miejsce zdarzenie.
Zalogowany użytkownik	Użytkownik zalogowany na urządzeniu.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Zdarzenia związane z działaniami powiązanymi z wiadomościami e-mail chronionymi przez Dell Data Guardian.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

• Mac
• Windows
• Android
• IOS

Payload
Wiadomości e-mail	Macierz obiektów poczty e-mail
keyId	Identyfikator klucza używany do ochrony poczty e-mail.
Temat	Wiersz tematu z wiadomości e-mail
do	Adresy e-mail, na które wiadomość e-mail została wysłana.
cc	Adresy e-mail, na które skopiowano wiadomość e-mail.
Udw	Adresy e-mail, na które wiadomość e-mail została skopiowana w ciemno.
Z	Adres e-mail osoby, która wysłała wiadomość e-mail.
Załączniki	Nazwy załączników dodanych do wiadomości e-mail
Czynność	"Otwarto", "Utworzono", "Odpowiedziano", "Wysłano"
Zalogowany użytkownik	Użytkownik zalogowany na urządzeniu.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Zdarzenia związane z działaniami powiązanymi z dokumentami pakietu Office chronionymi przez Dell Data Guardian.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

• Mac
• Windows
• Android
• IOS

Payload
Plik	Informacje o plikach, które zostały zaszyfrowane, odszyfrowane lub usunięte.
clientType	Typ klienta, który został zainstalowany. Zewnętrzny lub wewnętrzny
Czynność	Utworzono, uzyskano dostęp, zmodyfikowano, niezabezpieczone, próby dostępu
Slakcja	New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering, DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometrii	Miejsce, w którym miało miejsce zdarzenie.
Z	Sygnatura czasowa zdarzenia podsumowania w momencie jego rozpoczęcia.
do	Sygnatura czasowa zakończenia zdarzenia podsumowania.
Zalogowany użytkownik	Użytkownik zalogowany na urządzeniu.
Informacje o aplikacji	Informacje o aplikacji korzystającej z chronionego dokumentu pakietu Office

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Zdarzenie, które występuje, gdy komputer wysyła zdarzenie.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

• Mac
• Windows
• Android
• IOS

Payload
Czynność	Przykłady czynności wykonywanych przez komputer — Login, Logout, PrintScreenBlocked, ProcessBlocked
Geometrii	Miejsce, w którym miało miejsce zdarzenie.
clientType	Typ klienta, który został zainstalowany. Zewnętrzne lub wewnętrzne
Zalogowany użytkownik	Użytkownik, który zalogował się na urządzeniu.
processInfo	Informacje o procesie
Dyspozycji	Jak proces został zablokowany — Zakończony, Zablokowany, Brak.
Nazwa	Nazwa procesu

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Zdarzenia Cloud Edition określające, kiedy plik jest szyfrowany, odszyfrowywany lub usuwany od obsługiwanego dostawcy rozwiązań chmurowych.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

• Mac
• Windows
• Android
• IOS

Payload
Plik	Informacje o plikach, które zostały zaszyfrowane, odszyfrowane lub usunięte.
clientType	Typ klienta, który został zainstalowany. Zewnętrzny lub wewnętrzny
Czynność	Utworzono, uzyskano dostęp, zmodyfikowano, usunięto
Nazwa chmury	Nazwa pliku w chmurze może być inna niż nazwa w powyższym tagu pliku
Xenaction	Opis działania usługi DG. Wartości — Encrypt, Decrypt, Deleted.
Geometrii	Miejsce, w którym miało miejsce zdarzenie.
Zalogowany użytkownik	Użytkownik zalogowany na urządzeniu.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}