Dell Security Management Server 系统日志和 SIEM 指南

在 9.2 版 Server 中，引入了与 Advanced Threat Prevention 云通信的功能，可以将高级威胁事件数据配置为发送到 SIEM 应用程序。

要在 Dell Security Management Server 或 Dell Security Management Server Virtual 的 WebUI 中配置此数据，请转至 PopulationsEnterprise >>Advanced Threats（仅当已通过管理>服务管理任务启用 Advanced Threat Prevention 时，此选项卡才可见） >选项。

Options 页面有一个 系统日志/SIEM 的复选框，可用于配置数据的发送位置。此数据来自 Amazon Web Services 中托管的 Advanced Threat Prevention 服务器。

如果 Advanced Threat Prevention Syslog Integration 无法成功向您的服务器发送系统日志消息，则会向组织中具有已确认电子邮件地址的任何管理员发送电子邮件通知，以警告系统日志问题。

如果问题在 20 分钟时间段结束之前解决，则将继续发送系统日志消息。如果问题在 20 分钟时间段后解决，管理员必须重新启用系统日志消息传送。

下面是通过端口 5514 extsiem.domain.org 的外部完全限定域名 （FQDN） 的示例配置。此配置假定 extsiem.domain.com 具有一个外部 DNS 条目，可解析为运行 SIEM 或系统日志应用程序的环境中的服务器，并且端口 5514 已从该环境的网关转发到目标 SIEM 或系统日志应用程序。

图 1：（仅英文）Dell Data Security Console

通过此功能的事件带有品牌，因为它们来自我们的供应商 Cylance。

用于防火墙和访问目的的 IP 和主机名信息

SaaS for Advanced Threat Prevention 为每个区域提供多个 IP 地址。这允许在不中断任何系统日志服务的情况下进行扩展。在配置规则时，允许基于您所在区域的所有 IP 地址。来自 Cylance 源的日志来自其中一个 IP，并且可能随机更改。

美国 (my.cylance.com and my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

澳大利亚 (my-au.cylance.com)

52.63.15.218
52.65.4.232

欧盟（my-vs0-euc1.cylance.com 和 my-vs1-euc1.cylance.com）

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server 和 Dell Security Management Server Virtual 在 9.7 中引入了发送从代理程序收到的事件的功能。这包括来自 Dell Endpoint Security Suite Enterprise 的未经过滤的原始事件，以及来自 Dell Secure Lifecycle 和 Dell Data Guardian 的事件。

服务器配置

您可以将 Security Management Server 配置为在 管理>服务管理 >事件管理中发送代理程序事件数据。此数据可以导出到本地文件或系统日志。此处有两个选项：导出到本地文件，并 导出到系统日志

图 2：（仅英文）事件管理

导出到本地文件，更新audit-export.log文件，以便通用转发器使用它。此文件的默认位置为 C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\。

此文件每两小时更新一次数据。此文件可由转发器接收和使用。有关转发器的更多信息，请查看您用于使用此数据的具体系统日志或 SIEM 应用程序，因为转发器因应用程序而异。

图 3：（仅英文）导出到本地文件

导出到系统日志 允许直接连接到环境中的内部 SIEM 或系统日志服务器。这些日志以基于 json 捆绑包中的 RFC-3164 的简单格式进行格式化。此数据来自 Dell Security Management Server，并直接发送到 SIEM 或系统日志服务器。使用作业收集这些数据并每隔两小时发送一次。

图 4：（仅英文）导出到系统日志

上面列出了发送的 Dell Endpoint Security Suite Enterprise 事件数据。通常，SaaS 会发送此数据，从而允许 Dell Security Management Server 在代理程序签入资源清册时从代理收集此数据，并将其转发到配置的 SIEM 或系统日志应用程序。

代理程序事件数据包含前面提到的 Dell Endpoint Security Suite Enterprise 事件数据以及 Dell Secure Lifecycle 和 Dell Data Guardian 数据。这些数据也会出现在事件中。

应用程序控制

此选项仅对启用了应用程序控制功能的用户可见。应用程序控制事件表示设备处于应用程序控制模式时发生的操作。选择此选项会在尝试修改、复制可执行文件或尝试从设备或网络位置运行文件时向系统日志服务器发送消息。

图 5：（仅英文）拒绝 PE 文件更改的示例消息

图 6：（仅限英文）来自外部驱动器的拒绝执行的示例消息

审核日志

选择此选项会将 SaaS 中执行的用户操作的审核日志发送到系统日志服务器。即使清除此选项，审核日志事件也会显示在“Audit Log”屏幕中。

图 7：（仅英文）转发到系统日志的审核日志的示例消息

设备

选择此选项会将设备事件发送到系统日志服务器。

• 注册新设备时，您会收到此事件的两条消息：Registration 和 SystemSecurity

图 8：（仅英文）设备注册事件的示例消息

• 删除设备时

图 9：（仅英文）设备删除事件的示例消息

• 设备的策略、区域、名称或日志记录级别改变时。

图 10：（仅英文）设备更新事件的示例消息

内存保护

选择此选项会记录任何可能被视为从租户设备到系统日志服务器的攻击的内存利用尝试。有四种类型的内存利用操作：

• None：允许，因为尚未为此违规定义任何策略。
• Allowed：策略允许
• Blocked：策略阻止运行
• Terminated：该过程已终止。

图 11：（仅英文）内存保护事件的示例消息

脚本控制

选择此选项会将任何新发现的脚本记录到 Advanced Threat Prevention 判定为罪犯的系统日志服务器。

系统日志脚本控制事件包含以下属性：

• 警报：允许运行脚本。向控制台发送脚本控制事件。
• Block：不允许运行脚本。向控制台发送脚本控制事件。

报告频率

首次检测到脚本控制事件时，将会使用系统日志发送一条消息，其中包含完整的事件信息。在一天中的剩余时间内（基于 SaaS 的服务器时间），不会使用系统日志发送被视为重复事件的后续事件。

如果特定脚本控制事件的计数器大于 1，则会使用系统日志发送事件，其中包含当天发生的所有重复事件的数量。如果计数器等于 1，则不会使用系统日志发送其他消息。

确定脚本控制事件是否为重复事件使用以下逻辑：

• 查看关键信息：设备、哈希、用户名、阻止和警报
• 对于一天内收到的第一个事件，将计数器值设置为 1。阻止和警报有单独的计数器。
• 具有相同键的所有后续事件都会增加计数器
• 根据 SaaS 的服务器时间，计数器会在每个日历日重置。

图 12：（仅英文）脚本控制的示例消息

威胁

选择此选项会将任何新发现的威胁或者现有威胁的任何更改记录到系统日志服务器。更改包括删除、隔离、豁免或运行威胁。

有五种威胁事件类型：

• threat_found：发现不安全状态的新威胁。
• threat_removed：已删除现有威胁。
• threat_quarantined：发现隔离状态的新威胁。
• threat_waived：发现豁免状态的新威胁。
• threat_changed：现有威胁的行为已更改（例如：分数、隔离状态、运行状态）

有六种威胁分类类型：

• File Unavailable：由于上传限制（例如，文件太大而无法上传），文件不可用于分析。
• Malware：文件被分类为恶意软件。
• Possible PUP：文件可能是可能不需要的程序 (PUP)。
• PUP：文件被视为可能不需要的程序 (PUP)。
• Trusted：文件被视为可信赖。
• Unclassified：ATP 尚未分析此文件。

图 13：（仅英文）威胁事件的示例消息

威胁分类

每天，戴尔的 Advanced Threat Prevention 会将数百个威胁分类为恶意软件或可能不需要的程序 (PUP)。

选择此选项后，您会在发生这些事件时收到通知。

图 14：（仅英文）威胁分类的示例消息

安全信息和事件管理 (SIEM)

指定要将事件发送到的系统日志服务器或 SIEM 的类型。

协议

必须与您在系统日志服务器上配置的协议匹配。可以选择 UDP 或 TCP。TCP 是默认设置，我们鼓励客户使用这一协议。不建议使用 UDP，因为它不保证消息传送。

TLS/SSL

仅当指定的协议是 TCP 时才可用。TLS/SSL 可确保系统日志消息在传输到系统日志服务器时加密。我们鼓励客户选择此选项。请确保您的系统日志服务器配置为侦听 TLS/SSL 消息。

IP/域名

指定客户设置的系统日志服务器的 IP 地址或完全限定域名。请咨询内部网络专家，确保正确配置防火墙和域名设置。

端口

指定系统日志服务器用于侦听消息的机器上的端口号。它必须是介于 1 和 65535 之间的数字。典型值包括：UDP 为 512，TCP 为 1235 或 1468，安全 TCP 为 6514（例如：启用了 TLS/SSL 的 TCP）

严重性级别

指定应在系统日志服务器中显示的消息的严重性（这是一个主观字段，您可以将其设置为您喜欢的任何级别）。严重性的值不会更改转发到系统日志的消息。

设施

指定记录消息的应用程序类型。默认值为 Internal（或 Syslog）。这用于在系统日志服务器接收消息时对它们进行分类。

自定义令牌

某些日志管理服务（如 SumoLogic）可能需要系统日志消息随附的自定义令牌，以帮助确定这些消息应去往何处。自定义令牌提供日志管理服务。

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

测试连接

单击“Test Connection”以测试 IP/域名、端口和协议设置。如果输入有效值，将显示成功确认。

图 15：（仅英文）成功连接横标

在系统日志服务器控制台上，您会收到以下测试连接消息：

图 16：（仅英文）测试连接消息

sl_file_upload

告知管理员文件已上传到云提供商的事件。

生成事件的代理程序可能是以下一项或多项：

• Mac
• Windows
• Android
• IOS

有效负载
提供商	正在执行上载的进程。
File	有关正在上传的文件的信息包括 keyid、路径、文件名和大小。
几何	发生此事件的地点。
Loggedinuser	登录设备的用户。

示例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

当用户通过文件夹管理控制台更改文件夹策略时发生的事件。

生成事件的代理程序可能是以下一项或多项：

• Mac
• Windows
• Android
• IOS

有效负载
文件夹路径	在其中更改保护级别的文件夹
文件夹保护	定义保护级别的字符串：UsePolicy、ForceAllow、ForceProtect、PreExisting_ForceAllow、PreExisting_ForceAllow_Confirmed
几何	发生此事件的地点。
Loggedinuser	登录设备的用户。

示例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

告知管理员对云提供商的访问被阻止的事件。

生成事件的代理程序可能是以下一项或多项：

• Mac
• Windows
• Android
• IOS

有效负载
地址	正在执行上载的进程。
流程	有关正在上传的文件的信息包括 keyid、路径、文件名和大小。
应用程序	尝试访问被阻止的云提供商的进程的类型。应用程序、代理或浏览器
网络操作	正在进行的操作类型。（只有一个值“Blocked”）
几何	发生此事件的地点。
Loggedinuser	登录设备的用户。

示例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

处理与 Dell Data Guardian 保护的电子邮件消息相关的操作的事件。

生成事件的代理程序可能是以下一项或多项：

• Mac
• Windows
• Android
• IOS

有效负载
Email messages	电子邮件对象阵列
keyId	用于保护电子邮件的密钥 ID。
主题	电子邮件的主题行
修改至	电子邮件发送到的电子邮件地址。
cc	电子邮件拷贝到的电子邮件地址。
Bcc	将电子邮件盲目复制到的电子邮件地址。
从	发送电子邮件人的电子邮件地址。
附件	电子邮件的附件名称
操作	“Opened”、“Created”、“Responded”、“Sent”
Loggedinuser	登录设备的用户。

示例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

处理与 Dell Data Guardian 保护的 Office 文档相关的操作的事件。

生成事件的代理程序可能是以下一项或多项：

• Mac
• Windows
• Android
• IOS

有效负载
File	文件信息，Encrypted、Decrypted 或 Deleted。
clientType	已安装的客户端类型。External 或 Internal
操作	Created、Accessed、Modified、Unprotected、AttemptAccess
滑行	New、Open、Updated、Swept、Watermarked、BlockCopy、RepairedTampering、 DetectedTampering、Unprotected、Deleted、RequestAccess、GeoBlocked、RightClickProtected、PrintBlocked
几何	发生此事件的地点。
从	摘要事件开始时的时间戳。
修改至	事件结束时摘要事件的时间戳。
Loggedinuser	登录设备的用户。
Appinfo	有关使用受保护 Office 文档的应用程序的信息

示例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

计算机发出事件时发生的事件。

生成事件的代理程序可能是以下一项或多项：

• Mac
• Windows
• Android
• IOS

有效负载
操作	计算机正在执行的操作示例 - 登录、注销、PrintScreenBlocked、ProcessBlocked
几何	发生此事件的地点。
clientType	已安装的客户端类型。外部或内部
Loggedinuser	登录设备的用户。
processInfo	有关流程的信息
处置	进程是如何被阻止的 — Terminated、Blocked、None。
名称	进程的名称

示例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

指定文件加密、解密或从受支持的云提供商删除的 Cloud Edition 事件。

生成事件的代理程序可能是以下一项或多项：

• Mac
• Windows
• Android
• IOS

有效负载
File	文件信息，Encrypted、Decrypted 或 Deleted。
clientType	已安装的客户端类型。External 或 Internal
操作	Created、Accessed、Modified、Deleted
云名称	云中的文件名称可能与上面文件标签中的名称不同
Xenaction	DG 服务尝试执行的操作的描述。值包括 Encrypt、Decrypt、Deleted。
几何	发生此事件的地点。
Loggedinuser	登录设备的用户。

示例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}