Guide Syslog et SIEM de Dell Security Management Server

Le serveur 9.2 permet à présent de communiquer avec le Cloud Advanced Threat Prevention, ce qui permet de configurer les données d’événements de menaces avancées à envoyer à une application SIEM.

Pour configurer ces données dans l’interface utilisateur Web de Dell Security Management Server ou de Dell Security Management Server Virtual, accédez à Populations >Enterprise >Advanced Threats (cet onglet n’est visible que si Advanced Threat Prevention a été activé via la tâche Management> Services Management) > Options.

La page Options comporte une case à cocher pour Syslog/SIEM qui nous permet de configurer l’emplacement d’envoi des données. Ces données proviennent des serveurs Advanced Threat Prevention hébergés dans Amazon Web Services.

Si l’intégration Syslog Advanced Threat Prevention ne parvient pas à envoyer des messages Syslog à votre serveur, une notification par e-mail est envoyée à tous les administrateurs disposant d’une adresse e-mail confirmée dans l’organisation, les alertant du problème Syslog.

Si le problème est résolu dans les 20 minutes, les messages Syslog continuent d’être envoyés. Si le problème est résolu après 20 minutes, l’administrateur doit réactiver la messagerie Syslog.

Voici un exemple de configuration du nom de domaine complet (FQDN) externe de extsiem.domain.org sur le port 5514. Cette configuration suppose que extsiem.domain.com dispose d’une entrée DNS externe qui se résout au serveur au sein de l’environnement exécutant l’application SIEM ou Syslog, et que le port 5514 a été transféré de la passerelle de l’environnement vers l’application SIEM ou Syslog de destination.

Figure 1 : (en anglais uniquement) Dell Data Security Console

Les événements générés par cette fonctionnalité sont de la marque de notre fournisseur, Cylance.

Informations sur l’adresse IP et le nom d’hôte à des fins de pare-feu et d’accès

Le SaaS pour Advanced Threat Prevention dispose de plusieurs adresses IP pour chaque zone géographique. Cela permet une extension sans interrompre le service syslog. Autorisez toutes les adresses IP basées sur votre région lors de la configuration de vos règles. Les logs de la source Cylance à partir de l’une de ces adresses IP peuvent être modifiés de manière aléatoire.

États-Unis (my.cylance.com et my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

Australie (my-au.cylance.com)

52.63.15.218
52.65.4.232

UE (my-vs0-euc1.cylance.com et my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server et Dell Security Management Server Virtual ont introduit la possibilité d’envoyer des événements reçus des agents dans la version 9.7. Cela inclut les événements bruts et non filtrés de Dell Endpoint Security Suite Enterprise, ainsi que les événements de Dell Secure Lifecycle et Dell Data Guardian.

Configuration du serveur

Vous pouvez configurer Security Management Server pour qu’il envoie les données d’événement de l’agent dans Management>Services Management >Event Management. Ces données peuvent être exportées vers un fichier local ou Syslog. Deux options sont disponibles : Exporter vers un fichier local et exporter vers syslog

Figure 2 : (en anglais uniquement) Gestion des événements

Exporter vers un fichier local met à jour le fichier audit-export.log afin qu’un redirecteur universel puisse l’utiliser. L’emplacement par défaut de ce fichier est C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Ce fichier est mis à jour toutes les deux heures avec les données. Ce fichier peut être récupéré et consommé par un transitaire. Pour plus d’informations sur les transitaires, consultez l’application Syslog ou SIEM spécifique que vous utilisez pour consommer ces données, car les transitaires diffèrent en fonction de l’application.

Figure 3 : (en anglais uniquement) Exporter vers un fichier local

L’exportation vers Syslog permet la connexion directe à un serveur SIEM ou Syslog interne au sein de l’environnement. Ces journaux sont formatés dans un format simple basé sur RFC-3164 dans un bundle JSON. Ces données proviennent de Dell Security Management Server et sont envoyées directement au serveur SIEM ou au serveur Syslog. Ces données sont collectées et envoyées toutes les deux heures à l’aide d’une tâche.

Figure 4 : (en anglais uniquement) Exporter vers Syslog

Les données d’événement Dell Endpoint Security Suite Enterprise envoyées sont répertoriées ci-dessus. En général, SaaS envoie ces données, ce qui permet à Dell Security Management Server de collecter ces données auprès des agents lorsqu’ils archivent les inventaires et les transmettent à l’application SIEM ou Syslog configurée.

Les données d’événement de l’agent contiennent à la fois les données d’événement Dell Endpoint Security Suite Enterprise mentionnées précédemment, ainsi que les données Dell Secure Lifecycle et Dell Data Guardian. Ces données sont également fournies sous forme d’événements.

Contrôle des applications

Cette option n’est visible que pour les utilisateurs dont la fonction de contrôle des applications est activée. Les événements de contrôle des applications représentent des actions qui se produisent lorsque l’appareil est en mode Contrôle des applications. La sélection de cette option envoie un message au serveur Syslog chaque fois qu’une tentative de modification ou de copie d’un fichier exécutable ou d’exécution d’un fichier est effectuée à partir d’un appareil ou d’un emplacement réseau.

Figure 5 : (en anglais uniquement) Exemple de message pour la modification du fichier Deny PE

Figure 6 : (En anglais uniquement) Exemple de message de refus d’exécution à partir d’un disque externe

Journal d’audit

La sélection de cette option envoie au serveur Syslog le journal d’audit des actions utilisateur effectuées dans le SaaS. Les événements du journal d’audit s’affichent dans l’écran Journal d’audit, même lorsque cette option est désactivée.

Figure 7 : (en anglais uniquement) Exemple de message pour le journal d’audit transféré vers Syslog

Appareils

La sélection de cette option envoie les événements d’appareil au serveur Syslog.

• Lorsqu’un nouvel appareil est enregistré, vous recevez deux messages pour cet événement : Inscription et Sécurité du système

Figure 8 : (en anglais uniquement) Exemple de message pour l’événement d’enregistrement d’un appareil

• Lorsqu’un appareil est supprimé

Figure 9 : (en anglais uniquement) Exemple de message pour l’événement de suppression d’un appareil

• Lorsque la stratégie, la zone, le nom ou le niveau de journalisation d’un appareil a changé.

Figure 10 : (en anglais uniquement) Exemple de message pour un événement de mise à jour d’un appareil

Protection de la mémoire

La sélection de cette option consigne toutes les tentatives d’attaque de la mémoire pouvant être considérées comme une attaque de l’un des appareils du client vers le serveur Syslog. Il existe quatre types d’actions d’attaque de mémoire :

• Aucun : Autorisé, car aucune stratégie n’a été définie pour cette violation.
• Autorisé : Autorisé par la stratégie
• Bloqué : Exécution bloquée par la stratégie
• Terminé : Le processus a été arrêté.

Figure 11 : (en anglais uniquement) Exemple de message d’événement de protection de la mémoire

Contrôle des scripts

La sélection de cette option journalise tous les scripts nouvellement détectés sur le serveur Syslog qu’Advanced Threat Prevention condamne.

Les événements de contrôle des scripts Syslog contiennent les propriétés suivantes :

• Alerte : Le script est autorisé à s’exécuter. Un événement de contrôle des scripts est envoyé à la console.
• Bloquer : Le script n’est pas autorisé à s’exécuter. Un événement de contrôle des scripts est envoyé à la console.

Fréquence de reporting

La première fois qu’un événement de contrôle des scripts est détecté, un message est envoyé par Syslog, contenant des informations complètes sur l’événement. Chaque événement ultérieur considéré comme doublon n’est plus envoyé à l’aide de Syslog pour le reste de la journée (en fonction de l’heure du serveur SaaS).

Si le compteur d’un événement de contrôle des scripts spécifique est supérieur à un, un événement est envoyé à l’aide de Syslog avec le nombre de tous les événements en double répliqués ce jour-là. Si le compteur est égal à un, aucun message supplémentaire n’est envoyé à l’aide de Syslog.

Pour déterminer si un événement de contrôle des scripts est un doublon, utilisez la logique suivante :

• Examinez les informations clés : appareil, hachage, nom d’utilisateur, bloc et alerte
• Pour le premier événement reçu au cours d’une journée, définissez une valeur de compteur sur 1. Il existe des compteurs distincts pour les modes Bloc et Alerte.
• Tous les événements suivants avec la même clé incrémentent le compteur
• Le compteur est réinitialisé chaque jour calendaire, en fonction de l’heure du serveur SaaS.

Figure 12 : (en anglais uniquement) Exemple de message de contrôle des scripts

Menaces

La sélection de cette option consigne toutes les menaces nouvellement trouvées ou les modifications observées pour toutes les menaces existantes sur le serveur Syslog. Les modifications incluent la suppression, la mise en quarantaine, la suppression ou l’exécution d’une menace.

Il existe cinq types d’événements de menace :

• threat_found : une nouvelle menace a été détectée à l’état Dangereux.
• threat_removed : une menace existante a été supprimée.
• threat_quarantined : une nouvelle menace a été détectée à l’état Quarantaine.
• threat_waived : une nouvelle menace a été détectée à l’état Supprimé.
• threat_changed : le comportement d’une menace existante a changé (exemples : Score, état de quarantaine, état en cours d’exécution)

Il existe six types de classification des menaces :

• Fichier indisponible : En raison d’une contrainte de téléchargement (par exemple, le fichier est trop volumineux pour être téléchargé), le fichier n’est pas disponible pour analyse.
• Programme malveillant : le fichier est classé comme logiciel malveillant.
• PUP possible : le fichier peut être un programme potentiellement indésirable (PUP).
• PUP : le fichier est considéré comme un programme potentiellement indésirable (PUP).
• De confiance : le fichier est considéré comme fiable.
• Non classé : ATP n’a pas analysé ce fichier.

Figure 13 : (en anglais uniquement) Exemple de message d’événement de menace

Classification des menaces

Chaque jour, la fonction Advanced Threat Prevention de Dell classe des centaines de menaces en tant que logiciels malveillants ou programmes potentiellement indésirables (PUP).

En sélectionnant cette option, vous êtes averti lorsque ces événements se produisent.

Figure 14 : (en anglais uniquement) Exemple de message de classification des menaces

Security Information and Event Management (SIEM)

Spécifie le type de serveur Syslog ou SIEM auquel les événements doivent être envoyés.

Protocole

Cela doit correspondre à ce que vous avez configuré sur votre serveur Syslog. Les valeurs sont UDP ou TCP. TCP est la valeur par défaut, et nous encourageons les clients à l’utiliser. UDP n’est pas recommandé, car il ne garantit pas l’envoi des messages.

TLS/SSL

Disponible uniquement si le protocole spécifié est TCP. TLS/SSL garantit que le message Syslog est chiffré en transit vers le serveur Syslog. Nous encourageons les clients à sélectionner cette option. Assurez-vous que votre serveur Syslog est configuré pour écouter les messages TLS/SSL.

IP/Domaine

Spécifie l’adresse IP ou le nom de domaine complet du serveur Syslog que le client a configuré. Consultez vos experts réseau internes pour vous assurer que les paramètres de pare-feu et de domaine sont correctement configurés.

Port

Spécifie le numéro de port sur les machines sur lesquelles le serveur Syslog écoute les messages. Il doit s’agir d’un nombre compris entre 1 et 65535. Les valeurs types sont les suivantes : 512 pour UDP, 1235 ou 1468 pour TCP et 6514 pour TCP sécurisé (par exemple : TCP avec TLS/SSL activé)

Gravité

Spécifie la gravité des messages qui doivent s’afficher dans le serveur Syslog (il s’agit d’un champ subjectif, que vous pouvez définir sur le niveau de votre choix). La valeur de gravité ne modifie pas les messages qui sont transmis à Syslog.

Installation

Spécifie le type d’application qui consigne le message. La valeur par défaut est Internal (ou Syslog). Cela permet de classer les messages lorsque le serveur Syslog les reçoit.

Token personnalisé

Certains services de gestion des logs, tels que SumoLogic, peuvent avoir besoin d’un token personnalisé inclus avec les messages Syslog pour vous aider à identifier l’emplacement de ces messages. Le token personnalisé fournit votre service de gestion des logs.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

Test de la connexion

Cliquez sur Tester la connexion pour tester les paramètres IP/Domaine, Port et Protocole. Si des valeurs valides sont saisies, une confirmation de réussite s’affiche.

Figure 15 : (en anglais uniquement) Bannière de connexion réussie

Sur la console du serveur Syslog, vous recevez le message de test de connexion suivant :

Figure 16 : (en anglais uniquement) Message de test de connexion

sl_file_upload

Événement indiquant à un administrateur lorsqu’un fichier a été téléchargé vers un fournisseur de Cloud.

L’agent qui génère l’événement peut être un ou plusieurs des éléments suivants :

• Mac
• Windows
• Android
• iOS

Charge utile
Fournisseur	Processus en cours de téléchargement.
Fichier	Les informations sur le fichier en cours de téléchargement incluent l’ID de clé, le chemin d’accès, le nom de fichier et la taille.
Géométrie	L’endroit où cet événement a eu lieu.
Utilisateur connecté	Utilisateur connecté à l’appareil.

Exemple :

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Événement qui se produit lorsqu’un utilisateur modifie la stratégie de dossier via la console de gestion des dossiers.

L’agent qui génère l’événement peut être un ou plusieurs des éléments suivants :

• Mac
• Windows
• Android
• iOS

Charge utile
Chemin d’accès au dossier	Dossier dans lequel le niveau de protection a été modifié.
Folderprotection	Chaîne qui définit un niveau de protection : UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed.
Géométrie	L’endroit où cet événement a eu lieu.
Utilisateur connecté	Utilisateur connecté à l’appareil.

Exemple :

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Événement indiquant à un administrateur lorsque l’accès à un fournisseur de Cloud a été bloqué.

L’agent qui génère l’événement peut être un ou plusieurs des éléments suivants :

• Mac
• Windows
• Android
• iOS

Charge utile
Adresse	Processus en cours de téléchargement.
Exécuter le fichier	Les informations sur le fichier en cours de téléchargement incluent l’ID de clé, le chemin d’accès, le nom de fichier et la taille.
Application	Type de processus tentant d’accéder à un fournisseur de Cloud bloqué (application, proxy ou navigateur).
Netaction (en anglais seulement)	Type d’action en cours (une seule valeur bloquée).
Géométrie	L’endroit où cet événement a eu lieu.
Utilisateur connecté	Utilisateur connecté à l’appareil.

Exemple :

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Événements qui traitent des actions associées aux e-mails protégés par Dell Data Guardian.

L’agent qui génère l’événement peut être un ou plusieurs des éléments suivants :

• Mac
• Windows
• Android
• iOS

Charge utile
E-mails	Ensemble d’objets de l’e-mail.
keyId	ID de clé utilisé pour protéger l’e-mail.
Objet	Ligne d’objet de l’e-mail.
Vers	Adresses e-mail auxquelles l’e-mail a été envoyé.
cc	Adresses e-mail dans lesquelles l’e-mail a été copié.
Bcc	Adresses e-mail vers lesquelles l’e-mail a été copié à l’aveugle.
De	Adresse e-mail de la personne qui a envoyé l’e-mail.
Pièces jointes	Noms des pièces jointes ajoutées à l’e-mail.
Action	« Ouvert », « Créé », « Répondu », « Envoyé »
Utilisateur connecté	Utilisateur connecté à l’appareil.

Exemple :

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Événements qui traitent des actions associées aux documents Office protégés par Dell Data Guardian.

L’agent qui génère l’événement peut être un ou plusieurs des éléments suivants :

• Mac
• Windows
• Android
• iOS

Charge utile
Fichier	Informations sur le fichier chiffré, déchiffré ou supprimé.
clientType	Type de client qui a été installé (externe ou interne).
Action	Created, Accessed, Modified, Unprotected, AttemptAccess.
Slaction	New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering, DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked.
Géométrie	L’endroit où cet événement a eu lieu.
De	Horodatage du moment où l’événement récapitulatif a commencé.
Vers	Horodatage de l’événement récapitulatif à la fin de l’événement.
Utilisateur connecté	Utilisateur connecté à l’appareil.
Appinfo	Informations sur l’application utilisant le document Office protégé.

Exemple :

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Événement qui se produit lorsque l’ordinateur émet un événement.

L’agent qui génère l’événement peut être un ou plusieurs des éléments suivants :

• Mac
• Windows
• Android
• iOS

Charge utile
Action	Exemples de fonctionnement de l’ordinateur : connexion, déconnexion, PrintScreenBlocked, ProcessBlocked
Géométrie	L’endroit où cet événement a eu lieu.
clientType	Type de client qui a été installé Externe ou interne
Utilisateur connecté	Utilisateur connecté à l’appareil.
processInfo	Informations sur le processus
Mise au rebut	Comment le processus a été bloqué : arrêté, bloqué, aucun.
Nom	Nom du processus.

Exemple :

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Événements Cloud Edition qui spécifient quand un fichier est chiffré, dédéchiffré ou supprimé d’un fournisseur de Cloud pris en charge.

L’agent qui génère l’événement peut être un ou plusieurs des éléments suivants :

• Mac
• Windows
• Android
• iOS

Charge utile
Fichier	Informations sur le fichier chiffré, déchiffré ou supprimé.
clientType	Type de client qui a été installé (externe ou interne).
Action	Created, Accessed, Modified, Deleted.
Nom du cloud	Le nom du fichier dans le Cloud peut être différent de celui de la balise de fichier ci-dessus
Xénaction	Description de ce que le service DG tente de faire. Valeurs : Encrypt, Decrypt, Deleted.
Géométrie	L’endroit où cet événement a eu lieu.
Utilisateur connecté	Utilisateur connecté à l’appareil.

Exemple :

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}