Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

Guia de Syslog e SIEM do Dell Security Management Server

Summary: Este artigo descreve o processo de integração do Gerenciamento de eventos e informações de segurança.

This article applies to   This article does not apply to 
Check out resources for

Instructions

Produtos afetados:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

O que é um equipamento ou servidor de gerenciamento de eventos e informações de segurança (SIEM)?

O SIEM pode importar dados e executar regras ou relatórios baseados nos dados. O objetivo é agregar dados de várias fontes, identificar anomalias nos dados e tomar as medidas apropriadas com base nos dados.

Quais opções tenho para enviar para um aplicativo SIEM ou Syslog?

O Dell Security Management Server e o Dell Security Management Server Virtual oferecem duas maneiras diferentes de consumir dados em um aplicativo SIEM ou Syslog.

No servidor 9.2, foi introduzida a capacidade de comunicação com a nuvem do Advanced Threat Prevention, o que permitiu configurar os dados do Advanced Threat Event para serem enviados a um aplicativo SIEM.

Para configurar esses dados na IU Web do Dell Security Management Server ou do Dell Security Management Server Virtual, acesse Populations >Enterprise >Advanced Threats (essa guia só ficará visível se o Advanced Threat Prevention tiver sido ativado por meio da tarefa Management> Services Management).>

A página Options tem uma caixa de seleção para Syslog/SIEM que nos permite configurar para onde os dados são enviados. Esses dados vêm dos servidores do Advanced Threat Prevention hospedados na Amazon Web Services.

Se a Integração de Syslog do Advanced Threat Prevention não puder entregar com sucesso as mensagens syslog ao seu servidor, uma notificação por e-mail será enviada a todos os administradores com um endereço de e-mail confirmado na organização, alertando-os sobre o problema do syslog.

Se o problema for resolvido antes do fim do período de 20 minutos, as mensagens syslog continuarão sendo entregues. Se o problema for resolvido após o período de 20 minutos, o administrador deverá reativar o sistema de mensagens syslog.

Este é um exemplo de configuração de um FQDN (Fully Qualified Domain Name, nome de domínio totalmente qualificado) externo de extsiem.domain.org na porta 5514. Essa configuração pressupõe que o extsiem.domain.com tenha uma entrada DNS externa que responde ao servidor no ambiente que executa o aplicativo SIEM ou Syslog e que a porta 5514 tenha sido encaminhada do gateway do ambiente para o aplicativo SIEM ou Syslog de destino.

Console do Dell Data Security
Figura 1: (Somente em inglês) Console do Dell Data Security

Os eventos recebidos por meio dessa funcionalidade têm a marca Cylance, conforme vêm do nosso fornecedor.

Informações de IP e nome de host para fins de firewall e acesso

O SaaS do Advanced Threat Prevention tem vários endereços IP para cada região. Isso permite a expansão sem interromper nenhum serviço syslog. Permita todos os endereços IP baseados em sua região ao configurar suas regras. Logs de origem da Cylance de um desses IPs e podem ser alterados aleatoriamente.

Nota: Esses endereços IP devem permanecer estáticos; no entanto, é possível que Cylance atualize essa lista no futuro. As alterações são comunicadas usando um e-mail para os administradores do console da Cylance. É responsabilidade do administrador de rede atualizar suas regras em resposta às alterações.

EUA (my.cylance.com e my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

UE (my-vs0-euc1.cylance.com e my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

O Dell Security Management Server e o Dell Security Management Server Virtual introduziram a capacidade de enviar eventos recebidos dos agentes no 9.7. Isso inclui eventos brutos e não filtrados do Dell Endpoint Security Suite Enterprise e eventos do Dell Secure Lifecycle e do Dell Data Guardian.

Configuração do servidor

Você pode configurar o Security Management Server para enviar dados de eventos do agente dentro do Gerenciamentode eventos do >Management> Services. Esses dados podem ser exportados para um arquivo local ou Syslog. Estas são as duas opções: Exportar para arquivo local e exportar para syslog

Gerenciamento de eventos
Figura 2: (Somente em inglês) Gerenciamento de eventos

Export to Local File, atualiza o arquivo audit-export.log para que um encaminhador universal o consuma. A localização padrão desse arquivo é C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Esse arquivo é atualizado a cada duas horas com dados. Esse arquivo pode ser coletado e consumido por um encaminhador. Para obter mais informações sobre encaminhadores, consulte o aplicativo Syslog ou SIEM específico que você está usando para consumir esses dados, pois os encaminhadores diferem com base no aplicativo.

Exportar para arquivo local
Figura 3: (Somente em inglês) Exportar para arquivo local

Exportar para Syslog permite a conexão direta com um servidor SIEM ou Syslog interno dentro do ambiente. Esses logs são formatados em um formato simples baseado no RFC-3164 em um pacote json. Esses dados vêm do Dell Security Management Server e são enviados diretamente para o servidor SIEM ou Syslog. Esses dados são coletados e enviados a cada duas horas usando um trabalho.

Exportar para syslog
Figura 4: (Somente em inglês) Exportar para o Syslog

Os dados de eventos do Dell Endpoint Security Suite Enterprise enviados por meio do estão listados acima. Normalmente, o SaaS envia esses dados, permitindo que o Dell Security Management Server colete esses dados dos agentes à medida que eles verificam os inventários e os encaminham ao aplicativo SIEM ou Syslog configurado.

Os dados de eventos do agente contêm os dados de eventos do Dell Endpoint Security Suite Enterprise mencionados anteriormente, além de dados do Dell Secure Lifecycle e do Dell Data Guardian. Esses dados também vêm em eventos.

Application Control

Essa opção só é visível para usuários que têm o recurso Controle de aplicativos ativado. Os eventos do Controle de aplicativos representam ações que ocorrem quando o dispositivo está no modo Controle de aplicativos. Selecionar essa opção envia uma mensagem para o servidor Syslog sempre que for feita uma tentativa de modificar, copiar um arquivo executável ou quando for feita uma tentativa de executar um arquivo a partir de um dispositivo ou local de rede.

Mensagem de exemplo para negar alteração no arquivo PE
Figura 5: (Somente em inglês) Exemplo de mensagem para negar alteração de arquivo PE

Mensagem de exemplo para negar a execução da unidade externa
Figura 6: (Somente em inglês) Mensagem de exemplo para negar a execução de uma unidade externa

Audit Log

Selecionar essa opção enviará o log de auditoria das ações do usuário que são realizadas no SaaS para o servidor Syslog. Os eventos de log de auditoria são exibidos na tela Audit Log, mesmo quando essa opção é removida.

Exemplo de mensagem para o log de auditoria que está sendo encaminhado ao Syslog
Figura 7: (Somente em inglês) Exemplo de mensagem do log de auditoria sendo encaminhado para o Syslog

Dispositivos

Selecionar essa opção enviará os eventos do dispositivo para o servidor Syslog.

  • Quando um novo dispositivo é registrado, você recebe duas mensagens para este evento: Registration e SystemSecurity
Nota: As mensagens de SystemSecurity também são geradas quando um usuário faz login em um dispositivo. Essa mensagem pode ocorrer em vários momentos, não apenas durante o registro.

Exemplo de mensagem para evento registrado do dispositivo
Figura 8: (Somente em inglês) Mensagem de exemplo para o evento registrado do dispositivo

  • Quando um dispositivo é removido

Mensagem de exemplo para o evento de dispositivo removido
Figura 9: (Somente em inglês) Mensagem de exemplo para o evento de dispositivo removido

  • Quando o nível de política, zona, nome ou log de um dispositivo é alterado.

Exemplo de mensagem para evento atualizado do dispositivo
Figura 10: (Somente em inglês) Mensagem de exemplo para o evento de dispositivo atualizado

Proteção da memória

Selecionar essa opção registrará todas as tentativas de exploração da memória que podem ser consideradas como um ataque, de qualquer um dos dispositivos do grupo de usuários ao servidor Syslog. Existem quatro tipos de ações de exploração de memória:

  • None: Permitido porque nenhuma política foi definida para essa violação.
  • Allowed: Permitido pela política
  • Blocked: Bloqueado para execução pela política
  • Terminated: O processo foi encerrado.

Exemplo de mensagem do evento de proteção da memória
Figura 11: (Somente em inglês) Exemplo de mensagem de evento de proteção de memória

Script Control

A seleção dessa opção registra todos os scripts recém-encontrados no servidor Syslog que o Advanced Threat prevention detecta.

Os eventos do Syslog Script Control contêm as seguintes propriedades:

  • Alerta: O script tem permissão para ser executado. Um evento do Script Control é enviado ao console.
  • Ação Block: O script não tem permissão para ser executado. Um evento do Script Control é enviado ao console.

Frequência de geração de relatórios

Na primeira vez que um evento do Script Control é detectado, uma mensagem é enviada usando o syslog com informações completas do evento. Todo evento subsequente considerado duplicado não é enviado usando syslog pelo restante do dia (com base no tempo do servidor do SaaS).

Se o contador de um evento específico do Script Control for maior que um, um evento com a contagem de todos os eventos duplicados que aconteceram nesse dia será enviado usando syslog. Se o contador for igual a um, nenhuma mensagem adicional será enviada usando syslog.

Determinar se um evento do Script Control é uma duplicação utiliza a seguinte lógica:

  • Veja as principais informações: Dispositivo, hash, nome de usuário, bloco e alerta
  • Para o primeiro evento recebido em um dia, defina o valor do contador como 1. Há contadores separados para Block e Alert.
  • Todos os eventos subsequentes com a mesma chave incrementam o contador
  • O contador redefine cada dia do calendário, de acordo com o horário do servidor do SaaS.
Nota: Se o Script A for executado em um dispositivo 1 às 23h59 em 20/09/2016 e novamente às 00h05 e 12h15 de 21/09/2016, o resultado será o seguinte:
  • Uma mensagem syslog é enviada em 20/09/2016 para o evento Script Control daquele dia.
  • Uma mensagem syslog é enviada em 21/09/2016 para os dois eventos duplicados do Script Control desse dia.
Nota: Apenas uma mensagem syslog é enviada em 21/09/2016 porque os eventos foram duplicados do evento que ocorreu em 20/09/2016.

Exemplo de mensagem do controle de script
Figura 12: (Somente em inglês) Exemplo de mensagem do Script Control

Ameaças

Selecionar essa opção registrará no servidor Syslog todas as ameaças recém-encontradas ou alterações observadas para quaisquer ameaças existentes. As alterações incluem uma ameaça sendo removida, colocada em quarentena, anulada ou executada.

Existem cinco tipos de Evento de ameaça:

  • threat_found: Uma nova ameaça foi encontrada em um status Unsafe.
  • threat_removed: Uma ameaça existente foi removida.
  • threat_quarantined: Uma nova ameaça foi encontrada no status Quarantine.
  • threat_waived: Uma nova ameaça foi encontrada no status Waived.
  • threat_changed: O comportamento de uma ameaça existente mudou (exemplos: Pontuação, status de quarentena, status de execução)

Há seis tipos de Classificação de ameaças:

  • File Unavailable: Devido a uma restrição de carregamento (por exemplo, arquivo muito grande para carregar), o arquivo não está disponível para análise.
  • Malware: O arquivo é classificado como malware.
  • Possible PUP: O arquivo pode ser um programa potencialmente indesejado (PUP).
  • PUP: O arquivo é considerado um programa potencialmente indesejado (PUP).
  • Trusted: O arquivo é considerado confiável.
  • Unclassified: A ATP não analisou esse arquivo.

Exemplo de mensagem de evento de ameaça
Figura 13: (Somente em inglês) Exemplo de mensagem de evento de ameaça

Classificações de ameaças

Todos os dias, o Advanced Threat Prevention da Dell classifica centenas de ameaças como Malware ou Programas potencialmente indesejados (PUPs).

Ao selecionar essa opção, você será notificado quando esses eventos ocorrerem.

Exemplo de mensagem de classificação de ameaça
Figura 14: (Somente em inglês) Exemplo de mensagem de classificação de ameaça

Gerenciamento de eventos e informações de segurança (SIEM)

Especifica o tipo de servidor Syslog ou SIEM para o qual os eventos devem ser enviados.

Protocolo

Deve corresponder ao que você configurou em seu servidor Syslog. As opções são UDP ou TCP. O TCP é o padrão, e os clientes são incentivados a usá-lo. O UDP não é recomendado, pois não garante a entrega de mensagens.

TLS/SSL

Disponível somente se o protocolo especificado for TCP. O TLS/SSL garante que a mensagem Syslog seja criptografada em trânsito para o servidor Syslog. Os clientes são incentivados a selecionar essa opção. Certifique-se de que seu servidor Syslog esteja configurado para monitorar mensagens TLS/SSL.

IP/domínio

Especifica o endereço IP ou o nome de domínio totalmente qualificado do servidor Syslog que o cliente tem configurado. Consulte seus especialistas em rede interna para garantir que as configurações de firewall e domínio estejam configuradas corretamente.

Porta

Especifica o número da porta nas máquinas que o servidor Syslog monitora mensagens. Deve ser um número entre 1 e 65.535. Os valores típicos são: 512 para UDP, 1235 ou 1468 para TCP e 6514 para TCP seguro (por exemplo: TCP com TLS/SSL ativado)

Gravidade

Especifica a severidade das mensagens que devem aparecer no servidor Syslog (este é um campo subjetivo e você pode defini-lo para o nível que desejar). O valor da gravidade não altera as mensagens que são encaminhadas ao Syslog.

Instalação

Especifica que tipo de aplicativo está registrando a mensagem. O padrão é Internal (ou Syslog). Isso é usado para categorizar as mensagens quando o servidor Syslog as recebe.

Token personalizado

Alguns serviços de gerenciamento de logs, como o SumoLogic, podem precisar de um token personalizado incluído com mensagens do syslog para ajudar a identificar para onde essas mensagens devem ir. O token personalizado fornece seu serviço de gerenciamento de logs.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Nota: O campo Custom Token está disponível com todas as opções de SIEM ou Syslog, não apenas SumoLogic. É possível digitar qualquer informação como uma etiqueta personalizada nas informações do Syslog.

Testando a conexão

Clique em Test Connection para testar as configurações de IP/domínio, porta e protocolo. Se forem informados valores válidos, uma confirmação de sucesso será exibida.

Banner de conexão bem-sucedida
Figura 15: (Somente em inglês) Banner de conexão bem-sucedida

No console do servidor Syslog, você recebe a seguinte mensagem de Teste de conexão:

Mensagem de teste de conexão
Figura 16: (Somente em inglês) Mensagem de teste de conexão

sl_file_upload

Evento que informa a um administrador quando um arquivo foi carregado para um provedor de serviços em nuvem.

O agente que gera o evento pode ser um ou mais dos seguintes:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Provedor Processo que está fazendo o upload.
Arquivo As informações sobre o arquivo que está sendo carregado incluem, keyid, caminho, nome do arquivo e tamanho.
Geometria O local onde este evento ocorreu.
Loggedinuser Usuário conectado ao dispositivo.
Exemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Evento que acontece quando um usuário altera a política de pasta por meio do console de gerenciamento de pastas.

O agente que gera o evento pode ser um ou mais dos seguintes:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Folderpath Pasta na qual o nível de proteção foi alterado
Proteção de pastas Uma cadeia de caracteres que define um nível de proteção: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometria O local onde este evento ocorreu.
Loggedinuser Usuário conectado ao dispositivo.
Exemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Evento que informa a um administrador quando o acesso a um provedor de serviços em nuvem foi bloqueado.

O agente que gera o evento pode ser um ou mais dos seguintes:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Endereço Processo que está fazendo o upload.
Processo As informações sobre o arquivo que está sendo carregado incluem, keyid, caminho, nome do arquivo e tamanho.
Aplicativo Tipo de processo que tenta acessar um provedor de serviços em nuvem bloqueado. Aplicativo, proxy ou navegador
Ação de rede Tipo de ação que está acontecendo. (apenas um valor bloqueado)
Geometria O local onde este evento ocorreu.
Loggedinuser Usuário conectado ao dispositivo.
Exemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Eventos que lidam com as ações associadas às mensagens de e-mail protegidas do Dell Data Guardian.

O agente que gera o evento pode ser um ou mais dos seguintes:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Mensagens de e-mail Array de objetos de e-mail
keyId ID da chave usado para proteger o e-mail.
Assunto Linha de assunto do e-mail
Para Endereços de e-mail para os quais o e-mail foi enviado.
cc Endereços de e-mail para os quais o e-mail foi copiado.
Cco Endereços de e-mail para os quais o e-mail foi copiado às cegas.
De Endereço de e-mail da pessoa que enviou o e-mail.
Anexos Nomes dos anexos que foram adicionados ao e-mail
Ação "Aberto", "Criado", "Respondido", "Enviado"
Loggedinuser Usuário conectado ao dispositivo.
Exemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Eventos que lidam com as ações associadas aos documentos do Office protegidos pelo Dell Data Guardian.

O agente que gera o evento pode ser um ou mais dos seguintes:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Arquivo Informações de arquivo que foram criptografadas, descriptografadas ou excluídas.
clientType Tipo de client que foi instalado. Externo ou interno
Ação Created, Accessed, Modified, Unprotected, AttemptAccess
Slaction New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering,
DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometria O local onde este evento ocorreu.
De Registro de data e hora do evento de resumo quando ele começou.
Para Registro de data e hora do evento de resumo quando o evento terminou.
Loggedinuser Usuário conectado ao dispositivo.
Appinfo Informações sobre o aplicativo usando o documento protegido do Office
Exemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Evento que acontece quando o computador emite um evento.

O agente que gera o evento pode ser um ou mais dos seguintes:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Ação O que o computador está fazendo exemplos - Login, Logout, PrintScreenBlocked, ProcessBlocked
Geometria O local onde este evento ocorreu.
clientType Tipo de client que foi instalado. Externo ou interno
Loggedinuser Usuário que fez login no dispositivo.
processInfo Informações sobre o processo
Disposição Como o processo foi bloqueado - Encerrado, Bloqueado, Nenhum.
Nome Nome do processo
Exemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Eventos do Cloud Edition que especificam quando um arquivo é criptografado, descriptografado ou excluído de um provedor de nuvem compatível.

O agente que gera o evento pode ser um ou mais dos seguintes:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Arquivo Informações de arquivo que foram criptografadas, descriptografadas ou excluídas.
clientType Tipo de client que foi instalado. Externo ou interno
Ação Created, Accessed, Modified, Deleted
Nome da nuvem O nome do arquivo na nuvem talvez seja diferente daquele na etiqueta do arquivo acima
Xenação Descrição do que o serviço DG está tentando fazer. Valores: Encrypt, Decrypt, Deleted.
Geometria O local onde este evento ocorreu.
Loggedinuser Usuário conectado ao dispositivo.
Exemplo:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Additional Information

   

Affected Products

Dell Encryption