Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

Руководство по Dell Security Management Server Syslog и SIEM

Summary: В этой статье описывается процесс интеграции информации о безопасности и управления событиями.

This article applies to   This article does not apply to 
Check out resources for

Instructions

Затронутые продукты:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Что такое сервер или устройство управления информационной безопасностью и событиями безопасности (SIEM)?

SIEM может импортировать данные и запускать основанные на них правила или отчеты. Цель состоит в том, чтобы агрегировать данные из различных источников, выявить аномалии в данных и принять соответствующие меры на основе этих данных.

Какие параметры нужно отправить в приложение SIEM или Syslog

Dell Security Management Server и Dell Security Management Server Virtual предлагают два разных способа использования данных в приложениях SIEM или Syslog.

На сервере 9.2 была реализована возможность связи с облаком Advanced Threat Prevention, что позволило настроить отправку данных об угрозах повышенной сложности в приложение SIEM.

Чтобы настроить эти данные в веб-интерфейсе Dell Security Management Server или Dell Security Management Server Virtual, перейдите в раздел Populations>Enterprise >Advanced Threats (эта вкладка отображается, только если Advanced Threat Prevention включена с помощью > задачи «Management Services Management»). >

На странице «Options» имеется флажок Syslog/SIEM , который позволяет настроить, куда должны отправляться данные. Эти данные поступают с серверов Advanced Threat Prevention, размещенных в сервисе Amazon Web Services.

Если интеграция Advanced Threat Prevention Syslog Integration не может успешно доставить сообщения системного журнала на сервер, всем администраторам с подтвержденным адресом электронной почты в организации отправляется уведомление о проблеме с системными журналами.

Если проблема устранена до окончания 20-минутного периода, отправка сообщений системного журнала будет продолжена. Если проблема устранена после завершения 20-минутного периода времени, администратору потребуется повторно включить отправку сообщений системного журнала.

Ниже приведен пример конфигурации внешнего полного доменного имени (FQDN) extsiem.domain.org через порт 5514. Такая конфигурация предполагает, что у extsiem.domain.com есть внешняя запись DNS, которая взаимодействует с сервером в среде, где запущено приложение SIEM или Syslog, а порт 5514 перенаправлен из шлюза среды в приложение SIEM или Syslog назначения.

Консоль Dell Data Security
Рис. 1. Dell Data Security Console (только на английском языке)

События, полученные в рамках использования этой функции, имеют фирменное оформление, поскольку поступают от нашего поставщика, Cylance.

Сведения об IP-адресе и имени хоста для межсетевого экрана и доступа

ПО как услуга (SaaS) для Advanced Threat Prevention имеет несколько IP-адресов для каждого региона. Это позволяет выполнять расширение, не прерывая работу каких-либо сервисов syslog. Разрешите все IP-адреса на основе вашего региона при настройке правил. Журналы от Cylance поступают с одного из этих IP-адресов и могут изменяться случайным образом.

Примечание.: Эти IP-адреса должны оставаться статическими. однако не исключено, что Cylance обновит этот список в будущем. Информация об изменениях будет передана администраторам консоли Cylance по электронной почте. Администратор сети несет ответственность за обновление своих правил в ответ на изменения.

США (my.cylance.com and my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

Австралия (my-au.cylance.com)

52.63.15.218
52.65.4.232

ЕС (my-vs0-euc1.cylance.com and my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server и Dell Security Management Server Virtual предоставляют возможность отправлять события, полученные от операторов, в 9.7. К ним относятся необработанные неотфильтрованные события из Dell Endpoint Security Suite Enterprise, а также события из Dell Secure Lifecycle и Dell Data Guardian.

Конфигурация сервера

Сервер Security Management Server можно настроить для отправки данных событий агента в>разделе «Management Services Event >Management». Эти данные можно экспортировать в локальный файл или системный журнал. Доступны два варианта: Экспорт в локальный файл и экспорт в системный журнал

Управление событиями
Рис. 2. Управление событиями (только на английском языке)

Экспорт в локальный файл обновляет файл audit-export.log таким образом, чтобы он использовался универсальным сервером пересылки. По умолчанию этот файл находится в следующей папке: C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Этот файл обновляется каждые два часа данными. Этот файл может быть обнаружен и использован сервером пересылки. Для получения дополнительной информации о серверах пересылки см. определенное приложение Syslog или SIEM, которое применяется для использования этих данных, поскольку серверы пересылки различаются в зависимости от приложения.

Экспорт в локальный файл
Рис. 3. Экспорт в локальный файл (только на английском языке)

Экспорт в Syslog обеспечивает прямое подключение к внутреннему серверу SIEM или Syslog в среде. Эти журналы имеют простой формат, основанный на RFC-3164 в пакете JSON. Эти данные поступают с сервера Dell Security Management Server и отправляются непосредственно на сервер SIEM или Syslog. Эти данные собираются и отправляются каждые два часа с помощью задания.

Экспорт в Syslog
Рис. 4. Экспорт в системный журнал (только на английском языке)

Отправляемые данные о событиях Dell Endpoint Security Suite Enterprise перечислены выше. Как правило, SaaS отправляет эти данные, позволяя Dell Security Management Server собирать эти данные от агентов во время их регистрации с помощью инвентаризации и пересылать их в настроенное приложение SIEM или Syslog.

Данные о событиях агента содержат как ранее упомянутые данные о событиях Dell Endpoint Security Suite Enterprise, так и данные Dell Secure Lifecycle и Dell Data Guardian. Эти данные также включены в события.

Application Control

Этот параметр доступен только пользователям, у которых включена функция «Application Control». События управления приложениями представляют собой действия, которые выполняются, когда устройство находится в режиме «Application Control». При выборе этого параметра на сервер Syslog отправляется сообщение при каждой попытке изменения, копирования исполняемого файла или запуска файла с устройства или сети.

Пример сообщения для отклонения изменения файла PE
Рис. 5. Пример сообщения об отклонении запроса на изменение переносимого исполняемого файла (PE) (только на английском языке)

Пример сообщения для запрета выполнения с внешнего диска
Рис. 6. (Только на английском языке) Пример сообщения для deny execution с внешнего диска

Журнал аудита

При выборе этого параметра журнал аудита действий пользователя, выполняемых в ПО как услуга (SaaS), отправляется на сервер Syslog. События журнала аудита отображаются на экране «Audit Log», даже если этот параметр отключен.

Пример сообщения для журнала аудита, пересылаемого в системный журнал
Рис. 7. Пример сообщения для журнала аудита, перенаправляемого в Syslog (только на английском языке)

Устройства

При выборе этого параметра события устройства отправляются на сервер Syslog.

  • После регистрации нового устройства вы получите два сообщения для этого события: Registration и SystemSecurity.
Примечание.: Сообщения SystemSecurity также создаются при входе пользователя в систему на устройстве. Это сообщение может появляться в разное время, а не только во время регистрации.

Пример сообщения для события, зарегистрированного на устройстве
Рис. 8. Пример сообщения для события регистрации устройства (только на английском языке)

  • При удалении устройства

Пример сообщения для события удаления устройства
Рис. 9. Пример сообщения для события удаления устройства (только на английском языке)

  • При изменении политики, зоны, имени или уровня ведения журналов на устройстве.

Пример сообщения для события обновления устройства
Рис. 10. Пример сообщения для события обновления устройства (только на английском языке)

Защита памяти

При выборе этого параметра регистрируются все попытки использования памяти, которые могут рассматриваться как атака с любого из устройств пользователя на сервер Syslog. Существует четыре типа действий по использованию памяти.

  • «None». Разрешено, так как для этого нарушения не определена политика.
  • «Allowed». Разрешено политикой.
  • «Blocked». Запуск заблокирован политикой.
  • «Terminated». Процесс завершен.

Пример сообщения о событии защиты памяти
Рис. 11. Пример сообщения о событии защиты памяти (только на английском языке)

Script Control

При выборе этого параметра все вновь найденные сценарии, обнаруженные функцией Advanced Threat Prevention, записываются на сервер Syslog.

События управления сценариями Syslog содержат следующие свойства.

  • Оповещение. запуск сценария разрешен. Событие управления сценарием отправляется на консоль.
  • Блокировка. Запуск сценария запрещен. Событие управления сценарием отправляется на консоль.

Частота отправки отчетов

При первом обнаружении события управления сценариями отправляется сообщение системного журнала с полной информацией о событии. Последующие события, которые считаются дубликатами, не будут вызывать отправку сообщений системного журнала в течение текущего дня (в соответствии с временем сервера ПО как услуга (SaaS)).

Если счетчик определенного события управления сценариями регистрирует повторное событие, выполняется отправка системного журнала с указанием количества всех событий-дубликатов, которые были переданы в этот день. Если счетчик регистрирует одно событие, дополнительное сообщение системного журнала не отправляется.

Для определения того, является ли событие управления сценарием дубликатом, используется следующая логика.

  • Ознакомьтесь с ключевой информацией: устройство, хэш, имя пользователя, блокировка и оповещение
  • Для первого события, полученного за день, установите «1» в качестве значения счетчика. Для событий блокировки и оповещений существуют отдельные счетчики.
  • Все последующие события с тем же ключом увеличивают счетчик
  • Значение счетчика сбрасывается каждый календарный день в соответствии с временем сервера ПО как услуга (SaaS).
Примечание.: Если сценарий A выполняется на устройстве 1 в 23:59 20 сентября 2016 г., а затем в 12:05 и 12:15 21 сентября 2016 г., результат будет выглядеть следующим образом.
  • 20.09.2016 отправлено одно сообщение системного журнала для события управления сценариями за этот день.
  • Одно сообщение системного журнала отправляется 21 сентября 2016 г. для двух событий-дубликатов управления сценариями за этот день.
Примечание.: 21 сентября 2016 г. отправляется только одно сообщение системного журнала, поскольку события этого дня являются дубликатами события, произошедшего 20 сентября 2016 г.

Пример сообщения управления сценарием
Рис. 12. Пример сообщения управления сценариями (только на английском языке)

Угрозы

При выборе этого параметра на сервере Syslog регистрируются все обнаруженные угрозы или изменения, наблюдаемые в связи с существующей угрозой. К изменениям относятся удаление угрозы, помещение ее в карантин, отклонение или запуск.

Существует пять типов событий угроз.

  • threat_found. Обнаружена новая угроза со статусом «Небезопасно».
  • threat_removed. Существующая угроза удалена.
  • threat_quarantined. Обнаружена новая угроза со статусом «Карантин».
  • threat_waived. Обнаружена новая угроза со статусом «Отклонено».
  • threat_changed. Поведение существующей угрозы изменилось (например, изменены Оценка, состояние карантина, состояние выполнения)

Существует шесть типов классификации угроз.

  • Файл недоступен. Из-за ограничения загрузки (например, файл слишком велик для загрузки) файл недоступен для анализа.
  • Malware: Файл классифицирован как вредоносное ПО.
  • Возможное событие PUP. Возможно, файл является потенциально нежелательной программой (PUP).
  • Событие PUP. Файл считается потенциально нежелательной программой (PUP).
  • Доверенный. Файл считается надежным.
  • Не классифицировано. Анализ этого файла с помощью ATP не выполнен.

Пример сообщения о событии угрозы
Рис. 13. Пример сообщения о событии угрозы (только на английском языке)

Классификация угроз

Каждый день Dell Advanced Threat Prevention классифицирует сотни угроз как вредоносные или потенциально нежелательные программы (PUP).

При выборе этого параметра вы будете получать уведомления о возникновении этих событий.

Пример сообщения о классификации угроз
Рис. 14. Пример сообщения о классификации угроз (только на английском языке)

Управление информацией о безопасности и событиями (SIEM)

Указывает тип сервера Syslog или SIEM, на который будут отправляться события.

Протокол

Этот параметр должно совпадать с настройками сервера Syslog. Возможные варианты: UDP или TCP. TCP — это протокол по умолчанию, и мы рекомендуем клиентам использовать его. Протокол UDP не рекомендуется для использования, так как он не гарантирует доставку сообщений.

TLS/SSL

Доступно только в случае выбора протокола TCP. Протоколы TLS/SSL обеспечивают шифрование сообщений системного журнала при передаче на сервер Syslog. Мы рекомендуем клиентам выбирать этот параметр. Убедитесь, что сервер Syslog настроен на прослушивание сообщений TLS/SSL.

IP-адрес/домен

Указывает IP-адрес или полное доменное имя сервера Syslog, настроенного заказчиком. Проконсультируйтесь со специалистами по внутренним сетям, чтобы убедиться межсетевой экран и домен настроены правильно.

Порт

Указывает номер порта на компьютерах, который сервер Syslog использует для прослушивания сообщений. В качестве значения могут использоваться числа от 1 до 65535. Типичные значения: 512 для UDP, 1235 или 1468 для TCP и 6514 для Secure TCP (например: TCP с включенным TLS/SSL)

Уровень серьезности

Определяет серьезность сообщений, которые должны отображаться на сервере Syslog (это субъективное поле, и вы можете задать для него любой уровень). Значение уровня серьезности не изменяет сообщения, которые пересылаются в Syslog.

Объект

Указывает, какой тип приложения регистрирует сообщение. Значение по умолчанию — «Internal» (или («Syslog»). Используется для классификации сообщений при их получении сервером Syslog.

Пользовательский токен

Для некоторых сервисов управления журналами, таких как SumoLogic, может потребоваться специальный токен, который включается в сообщения системного журнала, чтобы определить, куда должны отправляться эти сообщения. Пользовательский токен предоставляет сервис управления журналами.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Примечание.: Поле Пользовательский токен доступно для всех параметров SIEM или Syslog, а не только для SumoLogic. Вы можете ввести любую информацию в виде пользовательского тега в информацию системного журнала.

Проверка подключения

Нажмите кнопку «Test Connection», чтобы проверить настройки IP/домена, порта и протокола. При вводе допустимых значений отображается сообщение об успешном выполнении операции.

Баннер об успешном подключении
Рис. 15. Баннер с сообщением об успешном подключении (только на английском языке)

На консоли сервера Syslog отображается следующее сообщение о проверке подключения.

Сообщение о тестировании подключения
Рис. 16. Сообщение о проверке подключения (только на английском языке)

sl_file_upload

Событие, которое сообщает администратору, когда файл был загружен и предоставлен поставщику облачных решений.

Операторы, создающие событие, представлены ниже.

  • Mac
  • Windows
  • Android
  • iOS
Полезная нагрузка  
Поставщик Процесс, выполняющий пересылку.
Файл Информация о загружаемом файле включает в себя идентификатор ключа, путь, имя файла и размер.
Геометрии Место, где произошло это событие.
Loggedinuser Пользователь, выполнивший вход в устройство.
Пример.
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Событие, которое происходит, когда пользователь изменяет политику папок с помощью консоли управления папками.

Операторы, создающие событие, представлены ниже.

  • Mac
  • Windows
  • Android
  • iOS
Полезная нагрузка  
Путь к папке Папка, в которой была изменена степень защиты.
Защита папок Строка, определяющая уровень защиты: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Геометрии Место, где произошло это событие.
Loggedinuser Пользователь, выполнивший вход в устройство.
Пример.
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Событие, сообщающее администратору о блокировке доступа к поставщику облачных решений.

Операторы, создающие событие, представлены ниже.

  • Mac
  • Windows
  • Android
  • iOS
Полезная нагрузка  
Адрес Процесс, выполняющий пересылку.
Процесс Информация о загружаемом файле включает в себя идентификатор ключа, путь, имя файла и размер.
Приложение Тип процесса, который пытается получить доступ к заблокированному поставщику облачных решений. Значения «App», «Proxy» или «Browser»
Сетевое действие Тип действия. (только одно значение «Blocked»)
Геометрии Место, где произошло это событие.
Loggedinuser Пользователь, выполнивший вход в устройство.
Пример.
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

События, имеющие отношение к действиям, связанным с сообщениями электронной почты, защищенными Dell Data Guardian.

Операторы, создающие событие, представлены ниже.

  • Mac
  • Windows
  • Android
  • iOS
Полезная нагрузка  
Сообщения электронной почты Массив объектов электронной почты.
keyId Идентификатор ключа, используемый для защиты сообщений электронной почты.
тема, Тема письма.
На Адреса электронной почты, на которые было отправлено письмо.
cc Адреса электронной почты, на которые было скопировано письмо.
Bcc Адреса электронной почты, на которые было выполнено слепое копирование.
От Адрес электронной почты пользователя, отправившего письмо.
просмотр Имена вложений, добавленных в сообщение электронной почты.
Действие «Открыт», «Создан», «Ответил», «Отправлено»
Loggedinuser Пользователь, выполнивший вход в устройство.
Пример.
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

События, имеющие отношение к действиям, связанным с документами Office, защищенными Dell Data Guardian.

Операторы, создающие событие, представлены ниже.

  • Mac
  • Windows
  • Android
  • iOS
Полезная нагрузка  
Файл Информация о зашифрованном, дешифрованном или удаленном файле.
clientType Тип установленного клиента: «External» или «Internal».
Действие «Created», «Accessed», «Modified», «Unprotected», «AttemptAccess».
Расщепление «New», «Open», «Updated», «Swept», «Watermarked», «BlockCopy», «RepairedTampering»,
«DetectedTampering», «Unprotected», «Deleted», «RequestAccess», «GeoBlocked», «RightClickProtected», «PrintBlocked».
Геометрии Место, где произошло это событие.
От Временная метка для суммарного события, когда оно началось.
На Временная метка для суммарного события, когда оно закончилось.
Loggedinuser Пользователь, выполнивший вход в устройство.
Информация о приложении Информация о приложении, получаемая с помощью защищенного документа Office.
Пример.
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Событие, которое происходит, когда компьютер инициирует событие.

Операторы, создающие событие, представлены ниже.

  • Mac
  • Windows
  • Android
  • iOS
Полезная нагрузка  
Действие Примеры выполнения действий компьютера: Login, Logout, PrintScreenBlocked, ProcessBlocked
Геометрии Место, где произошло это событие.
clientType Тип установленного клиента: Внешний или внутренний
Loggedinuser Пользователь, выполнивший вход на устройстве.
processInfo Информация о процессе
Расположение Как процесс был заблокирован - Прекращено, Заблокировано, Нет.
Имя Название процесса.
Пример.
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition События, которые указывают, когда файл зашифрован, расшифрован или удален из поддерживаемого облачного провайдера.

Операторы, создающие событие, представлены ниже.

  • Mac
  • Windows
  • Android
  • iOS
Полезная нагрузка  
Файл Информация о зашифрованном, дешифрованном или удаленном файле.
clientType Тип установленного клиента: «External» или «Internal».
Действие «Created», «Accessed», «Modified» или «Deleted».
Имя облака Имя файла в облаке может отличаться от имени в приведенном выше теге файла
Ксенэкшн Описание действия сервиса DG. Значения: «Encrypt», «Decrypt» и «Deleted».
Геометрии Место, где произошло это событие.
Loggedinuser Пользователь, выполнивший вход в устройство.
Пример.
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Additional Information

   

Affected Products

Dell Encryption