SIEM 可以导入数据并运行基于数据的规则或报告。目标是聚合来自各种来源的数据,识别数据中的异常情况,并根据数据采取适当的措施。
Dell Security Management Server 和 Dell Security Management Server Virtual 各自提供两种不同的方式,用于在 SIEM 或系统日志应用程序中使用数据。
在 9.2 版 Server 中,引入了与 Advanced Threat Prevention 云通信的功能,可以将高级威胁事件数据配置为发送到 SIEM 应用程序。
要在 Dell Security Management Server 或 Dell Security Management Server Virtual 的 WebUI 中配置此数据,请转至 PopulationsEnterprise >>Advanced Threats(仅当已通过管理>服务管理任务启用 Advanced Threat Prevention 时,此选项卡才可见) >选项。
Options 页面有一个 系统日志/SIEM 的复选框,可用于配置数据的发送位置。此数据来自 Amazon Web Services 中托管的 Advanced Threat Prevention 服务器。
如果 Advanced Threat Prevention Syslog Integration 无法成功向您的服务器发送系统日志消息,则会向组织中具有已确认电子邮件地址的任何管理员发送电子邮件通知,以警告系统日志问题。
如果问题在 20 分钟时间段结束之前解决,则将继续发送系统日志消息。如果问题在 20 分钟时间段后解决,管理员必须重新启用系统日志消息传送。
下面是通过端口 5514 extsiem.domain.org 的外部完全限定域名 (FQDN) 的示例配置。此配置假定 extsiem.domain.com 具有一个外部 DNS 条目,可解析为运行 SIEM 或系统日志应用程序的环境中的服务器,并且端口 5514 已从该环境的网关转发到目标 SIEM 或系统日志应用程序。
图 1:(仅英文)Dell Data Security Console
通过此功能的事件带有品牌,因为它们来自我们的供应商 Cylance。
SaaS for Advanced Threat Prevention 为每个区域提供多个 IP 地址。这允许在不中断任何系统日志服务的情况下进行扩展。在配置规则时,允许基于您所在区域的所有 IP 地址。来自 Cylance 源的日志来自其中一个 IP,并且可能随机更改。
52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49
52.63.15.218
52.65.4.232
52.28.219.170
52.29.102.181
52.29.213.11
Dell Security Management Server 和 Dell Security Management Server Virtual 在 9.7 中引入了发送从代理程序收到的事件的功能。这包括来自 Dell Endpoint Security Suite Enterprise 的未经过滤的原始事件,以及来自 Dell Secure Lifecycle 和 Dell Data Guardian 的事件。
您可以将 Security Management Server 配置为在 管理>服务管理 >事件管理中发送代理程序事件数据。此数据可以导出到本地文件或系统日志。此处有两个选项:导出到本地文件,并 导出到系统日志
图 2:(仅英文)事件管理
导出到本地文件,更新audit-export.log文件,以便通用转发器使用它。此文件的默认位置为 C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\。
此文件每两小时更新一次数据。此文件可由转发器接收和使用。有关转发器的更多信息,请查看您用于使用此数据的具体系统日志或 SIEM 应用程序,因为转发器因应用程序而异。
图 3:(仅英文)导出到本地文件
导出到系统日志 允许直接连接到环境中的内部 SIEM 或系统日志服务器。这些日志以基于 json 捆绑包中的 RFC-3164 的简单格式进行格式化。此数据来自 Dell Security Management Server,并直接发送到 SIEM 或系统日志服务器。使用作业收集这些数据并每隔两小时发送一次。
图 4:(仅英文)导出到系统日志
上面列出了发送的 Dell Endpoint Security Suite Enterprise 事件数据。通常,SaaS 会发送此数据,从而允许 Dell Security Management Server 在代理程序签入资源清册时从代理收集此数据,并将其转发到配置的 SIEM 或系统日志应用程序。
代理程序事件数据包含前面提到的 Dell Endpoint Security Suite Enterprise 事件数据以及 Dell Secure Lifecycle 和 Dell Data Guardian 数据。这些数据也会出现在事件中。
此选项仅对启用了应用程序控制功能的用户可见。应用程序控制事件表示设备处于应用程序控制模式时发生的操作。选择此选项会在尝试修改、复制可执行文件或尝试从设备或网络位置运行文件时向系统日志服务器发送消息。
图 5:(仅英文)拒绝 PE 文件更改的示例消息
图 6:(仅限英文)来自外部驱动器的拒绝执行的示例消息
选择此选项会将 SaaS 中执行的用户操作的审核日志发送到系统日志服务器。即使清除此选项,审核日志事件也会显示在“Audit Log”屏幕中。
图 7:(仅英文)转发到系统日志的审核日志的示例消息
选择此选项会将设备事件发送到系统日志服务器。
图 8:(仅英文)设备注册事件的示例消息
图 9:(仅英文)设备删除事件的示例消息
图 10:(仅英文)设备更新事件的示例消息
选择此选项会记录任何可能被视为从租户设备到系统日志服务器的攻击的内存利用尝试。有四种类型的内存利用操作:
图 11:(仅英文)内存保护事件的示例消息
选择此选项会将任何新发现的脚本记录到 Advanced Threat Prevention 判定为罪犯的系统日志服务器。
系统日志脚本控制事件包含以下属性:
首次检测到脚本控制事件时,将会使用系统日志发送一条消息,其中包含完整的事件信息。在一天中的剩余时间内(基于 SaaS 的服务器时间),不会使用系统日志发送被视为重复事件的后续事件。
如果特定脚本控制事件的计数器大于 1,则会使用系统日志发送事件,其中包含当天发生的所有重复事件的数量。如果计数器等于 1,则不会使用系统日志发送其他消息。
确定脚本控制事件是否为重复事件使用以下逻辑:
图 12:(仅英文)脚本控制的示例消息
选择此选项会将任何新发现的威胁或者现有威胁的任何更改记录到系统日志服务器。更改包括删除、隔离、豁免或运行威胁。
有五种威胁事件类型:
有六种威胁分类类型:
图 13:(仅英文)威胁事件的示例消息
每天,戴尔的 Advanced Threat Prevention 会将数百个威胁分类为恶意软件或可能不需要的程序 (PUP)。
选择此选项后,您会在发生这些事件时收到通知。
图 14:(仅英文)威胁分类的示例消息
指定要将事件发送到的系统日志服务器或 SIEM 的类型。
必须与您在系统日志服务器上配置的协议匹配。可以选择 UDP 或 TCP。TCP 是默认设置,我们鼓励客户使用这一协议。不建议使用 UDP,因为它不保证消息传送。
仅当指定的协议是 TCP 时才可用。TLS/SSL 可确保系统日志消息在传输到系统日志服务器时加密。我们鼓励客户选择此选项。请确保您的系统日志服务器配置为侦听 TLS/SSL 消息。
指定客户设置的系统日志服务器的 IP 地址或完全限定域名。请咨询内部网络专家,确保正确配置防火墙和域名设置。
指定系统日志服务器用于侦听消息的机器上的端口号。它必须是介于 1 和 65535 之间的数字。典型值包括:UDP 为 512,TCP 为 1235 或 1468,安全 TCP 为 6514(例如:启用了 TLS/SSL 的 TCP)
指定应在系统日志服务器中显示的消息的严重性(这是一个主观字段,您可以将其设置为您喜欢的任何级别)。严重性的值不会更改转发到系统日志的消息。
指定记录消息的应用程序类型。默认值为 Internal(或 Syslog)。这用于在系统日志服务器接收消息时对它们进行分类。
某些日志管理服务(如 SumoLogic)可能需要系统日志消息随附的自定义令牌,以帮助确定这些消息应去往何处。自定义令牌提供日志管理服务。
4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
单击“Test Connection”以测试 IP/域名、端口和协议设置。如果输入有效值,将显示成功确认。
图 15:(仅英文)成功连接横标
在系统日志服务器控制台上,您会收到以下测试连接消息:
图 16:(仅英文)测试连接消息
告知管理员文件已上传到云提供商的事件。
生成事件的代理程序可能是以下一项或多项:
有效负载 | |
---|---|
提供商 | 正在执行上载的进程。 |
File | 有关正在上传的文件的信息包括 keyid、路径、文件名和大小。 |
几何 | 发生此事件的地点。 |
Loggedinuser | 登录设备的用户。 |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "provider":"Sync Provider", "file": { "keyid": "Test Key Id", "path": "Test Path", "filename": "Original Name", "size": 1234 } ""loggedinuser"":""test@domain.org"" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": " sl_file_upload", "version":1 }
当用户通过文件夹管理控制台更改文件夹策略时发生的事件。
生成事件的代理程序可能是以下一项或多项:
有效负载 | |
---|---|
文件夹路径 | 在其中更改保护级别的文件夹 |
文件夹保护 | 定义保护级别的字符串:UsePolicy、ForceAllow、ForceProtect、PreExisting_ForceAllow、PreExisting_ForceAllow_Confirmed |
几何 | 发生此事件的地点。 |
Loggedinuser | 登录设备的用户。 |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "folderpath":"Folder Path", "folderprotection:"ForceProtect" ""loggedinuser"":""test@domain.org"" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": " sl_file_overrride", "version":1 }
告知管理员对云提供商的访问被阻止的事件。
生成事件的代理程序可能是以下一项或多项:
有效负载 | |
---|---|
地址 | 正在执行上载的进程。 |
流程 | 有关正在上传的文件的信息包括 keyid、路径、文件名和大小。 |
应用程序 | 尝试访问被阻止的云提供商的进程的类型。应用程序、代理或浏览器 |
网络操作 | 正在进行的操作类型。(只有一个值“Blocked”) |
几何 | 发生此事件的地点。 |
Loggedinuser | 登录设备的用户。 |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "address":"www.yahoo.com", "process":"process.exe", "application":"Proxy", "netaction":"Blocked", ""loggedinuser"":""test@domain.org"" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": " sl_net_info", "version":1 }
处理与 Dell Data Guardian 保护的电子邮件消息相关的操作的事件。
生成事件的代理程序可能是以下一项或多项:
有效负载 | |
---|---|
Email messages | 电子邮件对象阵列 |
keyId | 用于保护电子邮件的密钥 ID。 |
主题 | 电子邮件的主题行 |
修改至 | 电子邮件发送到的电子邮件地址。 |
cc | 电子邮件拷贝到的电子邮件地址。 |
Bcc | 将电子邮件盲目复制到的电子邮件地址。 |
从 | 发送电子邮件人的电子邮件地址。 |
附件 | 电子邮件的附件名称 |
操作 | “Opened”、“Created”、“Responded”、“Sent” |
Loggedinuser | 登录设备的用户。 |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { ""emails": [{ "keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "subject": "Test Subject", "from":"dvader@empire.net", "to": ["myemail@yahoo.com", "anotheremail@gmail.com"], "cc": ["myemail@yahoo.com", "anotheremail@gmail.com"], "bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"], "attachments": ["myDocx.docx", "HelloWorld.txt"], "action": "Open" }], ""loggedinuser"":""test@domain.org"" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": "sl_protected_email", "version":1 }
处理与 Dell Data Guardian 保护的 Office 文档相关的操作的事件。
生成事件的代理程序可能是以下一项或多项:
有效负载 | |
---|---|
File | 文件信息,Encrypted、Decrypted 或 Deleted。 |
clientType | 已安装的客户端类型。External 或 Internal |
操作 | Created、Accessed、Modified、Unprotected、AttemptAccess |
滑行 | New、Open、Updated、Swept、Watermarked、BlockCopy、RepairedTampering、 DetectedTampering、Unprotected、Deleted、RequestAccess、GeoBlocked、RightClickProtected、PrintBlocked |
几何 | 发生此事件的地点。 |
从 | 摘要事件开始时的时间戳。 |
修改至 | 事件结束时摘要事件的时间戳。 |
Loggedinuser | 登录设备的用户。 |
Appinfo | 有关使用受保护 Office 文档的应用程序的信息 |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "from":1234567 "to":1234567 "file": { "keyid": "Test Key Id", "path": "Test Path", "filename": "Original Name", "size": 1234 }, "clientType": "internal", "action": "Accessed", "slaction":"Open" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": "sl_protected_file", "version":1 } ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""TestPath"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Created"" ""slaction"":""New"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"", ""slaction"":""Open"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" , ""slaction"":""Updated"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"", ""slaction"":""Swept"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"", ""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"", ""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"", ""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"", ""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key Id"",""path"":""Test Path"",""filename"":""Original Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"", ""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"": ""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""} ""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"", ""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked while protected PDF open."" },""loggedinuser"":""test@domain.org""}
计算机发出事件时发生的事件。
生成事件的代理程序可能是以下一项或多项:
有效负载 | |
---|---|
操作 | 计算机正在执行的操作示例 - 登录、注销、PrintScreenBlocked、ProcessBlocked |
几何 | 发生此事件的地点。 |
clientType | 已安装的客户端类型。外部或内部 |
Loggedinuser | 登录设备的用户。 |
processInfo | 有关流程的信息 |
处置 | 进程是如何被阻止的 — Terminated、Blocked、None。 |
名称 | 进程的名称 |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "action":"login","clientType":"external","loggedinuser":"test@domain.org", }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": "sl_system", "version":1 } "payload": {"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"} "payload": { "action": "processblocked","clientType": "external","loggedinuser": "test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}
指定文件加密、解密或从受支持的云提供商删除的 Cloud Edition 事件。
生成事件的代理程序可能是以下一项或多项:
有效负载 | |
---|---|
File | 文件信息,Encrypted、Decrypted 或 Deleted。 |
clientType | 已安装的客户端类型。External 或 Internal |
操作 | Created、Accessed、Modified、Deleted |
云名称 | 云中的文件名称可能与上面文件标签中的名称不同 |
Xenaction | DG 服务尝试执行的操作的描述。值包括 Encrypt、Decrypt、Deleted。 |
几何 | 发生此事件的地点。 |
Loggedinuser | 登录设备的用户。 |
{ "source": { "agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46", "user": "test@domain.org", "device": "A5474602085.domain.org", "plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3" }, "timestamp": 1456328219437, "payload": { "file": { "keyid": "Test Key Id", "path": "Test Path", "filename": "Original Name", "size": 1234 }, "clientType": "internal", "action": "Created", "cloudname":"Cloud Name", "xenaction":"Encrypt", ""loggedinuser"":""test@domain.org"" }, "geometry": { "type": "Point", "coordinates": [115.24631773614618, 41.082960184314317] }, "moniker": "sl_xen_file", "version":1 }
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。