Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

System- og SIEM-veiledning for Dell Security Management Server

Summary: Denne artikkelen beskriver integreringsprosessen for sikkerhetsinformasjon og hendelsesbehandling.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Berørte produkter:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Hva er en SIEM-server eller -appliance (Security Information and Event Management)?

SIEM kan importere data og kjøre regler eller rapporter som er basert på dataene. Målet er å aggregere data fra ulike kilder, identifisere uregelmessigheter i dataene og iverksette passende tiltak basert på dataene.

Hvilke alternativer har jeg for å sende til en SIEM- eller Syslog-applikasjon

Dell Security Management Server og Dell Security Management Server Virtual tilbyr to ulike måter å bruke data på i en SIEM- eller Syslog-applikasjon.

I 9.2-serveren ble muligheten til å kommunisere med Advanced Threat Prevention-skyen introdusert, noe som gjorde det mulig å konfigurere avanserte trusselhendelsesdata som skal sendes til et SIEM-program.

Hvis du vil konfigurere disse dataene i Webgrensesnittet for Dell Security Management Server eller Dell Security Management Server Virtual, går du til Populations >Enterprise >Advanced Threats (denne fanen er bare synlig hvis Advanced Threat Prevention er aktivert via Management Services Management-oppgaven>) >Alternativer.

Alternativer-siden har en avkrysningsrute for Syslog/SIEM som lar oss konfigurere hvor dataene sendes. Disse dataene kommer fra Advanced Threat Prevention-serverne som er vert i Amazon Web Services.

Hvis Advanced Threat Prevention Syslog Integration ikke kan levere syslog-meldinger til serveren din, sendes et e-postvarsel til alle administratorer med en bekreftet e-postadresse i organisasjonen, som varsler dem om syslog-problemet.

Hvis problemet er løst før tidsperioden på 20 minutter er over, fortsetter syslog-meldinger å bli levert. Hvis problemet løses etter en tidsperiode på 20 minutter, må en administrator aktivere syslog-meldinger på nytt.

Her er et eksempel på konfigurasjon av et eksternt fullstendig kvalifisert domenenavn (FQDN) for extsiem.domain.org over port 5514. Denne konfigurasjonen forutsetter at extsiem.domain.com har en ekstern DNS-oppføring som løses til serveren i miljøet som kjører SIEM- eller Syslog-programmet, og port 5514 er videresendt fra miljøets gateway til mål-SIEM- eller Syslog-programmet.

Dell Data Security-konsoll
Figur 1: (Bare på engelsk) Dell Data Security-konsoll

Hendelser som kommer gjennom denne funksjonaliteten er merket som de kommer fra vår leverandør, Cylance.

IP- og vertsnavninformasjon for brannmur- og tilgangsformål

SaaS for Advanced Threat Prevention har flere IP-adresser for hvert område. Dette muliggjør utvidelse uten å avbryte noen syslog-tjeneste. Tillat alle IP-adresser som er basert på ditt område når du konfigurerer reglene. Logger fra Cylance kilde fra en av disse IP-adressene og kan endres tilfeldig.

Merk: Disse IP-adressene skal forbli statiske; Det er imidlertid mulig at Cylance vil oppdatere denne listen i fremtiden. Endringer kommuniseres via en e-post til Cylance-konsolladministratorer. Det er nettverksadministratorens ansvar å oppdatere reglene som svar på endringer.

USA (my.cylance.com og my-vs2.cylance.com)

52.2.154.63
52.20.244.157 52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com og my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server og Dell Security Management Server Virtual introduserte muligheten til å sende hendelser mottatt fra agenter i 9.7. Dette inkluderer de rå, ufiltrerte hendelsene fra Dell Endpoint Security Suite Enterprise og hendelser fra Dell Secure Lifecycle og Dell Data Guardian.

Serverkonfigurasjon

Du kan konfigurere Security Management Server til å sende agenthendelsesdata i Management>Services >Management Event Management. Disse dataene kan eksporteres til en lokal fil eller Syslog. To alternativer er her: Eksporter til lokal fil, og eksporter til syslog

Arrangementsadministrasjon
Figur 2: (Bare på engelsk) Arrangementsadministrasjon

Eksporter til lokal fil, oppdaterer audit-export.log-filen slik at en universell speditør bruker den. Denne filens standardplassering er C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Denne filen oppdateres annenhver time med data. Denne filen kan hentes og forbrukes av en speditør. Hvis du vil ha mer informasjon om speditører, kan du se det bestemte Syslog- eller SIEM-programmet du bruker til å bruke disse dataene, siden speditører varierer avhengig av applikasjon.

Eksporter til lokal fil
Figur 3: (Bare på engelsk) Eksporter til lokal fil

Eksporter til Syslog gjør det mulig å koble direkte til en intern SIEM- eller Syslog-server i miljøet. Disse loggene er formatert i et enkelt format som er basert på RFC-3164 i en json-bunt. Disse dataene kommer fra Dell Security Management Server og sendes direkte til SIEM- eller Syslog-serveren. Disse dataene samles inn og sendes annenhver time ved hjelp av en jobb.

Eksporter til Syslog
Figur 4: (Bare på engelsk) Eksporter til Syslog

Dell Endpoint Security Suite Enterprise-hendelsesdataene som sendes gjennom, er oppført ovenfor. Vanligvis sender SaaS disse dataene, slik at Dell Security Management Server kan samle inn disse dataene fra agentene når de sjekker inn med beholdninger og videresender disse til den konfigurerte SIEM- eller Syslog-applikasjonen.

Data om agenthendelser inneholder både hendelsesdata fra Dell Endpoint Security Suite Enterprise og data fra Dell Secure Lifecycle og Dell Data Guardian. Disse dataene kommer også i hendelser.

Application Control (Applikasjonskontroll)

Dette alternativet er bare synlig for brukere som har aktivert programkontrollfunksjonen. Programkontrollhendelser representerer handlinger som skjer når enheten er i programkontrollmodus. Hvis du velger dette alternativet, sendes en melding til Syslog-serveren når det gjøres et forsøk på å endre, kopiere en kjørbar fil eller når en fil fra en enhet eller en nettverksplassering blir forsøkt.

Eksempelmelding for å nekte PE-filendring
Figur 5: (Bare på engelsk) Eksempelmelding for å nekte PE-filendring

Eksempelmelding for å nekte kjøring fra ekstern stasjon
Figur 6: (Bare på engelsk) Eksempelmelding for å nekte utførelse fra en ekstern stasjon

Overvåkingsloggen

Hvis du velger dette alternativet, sendes overvåkingsloggen for brukerhandlinger som utføres i SaaS, til Syslog-serveren. Hendelser i overvåkingsloggen vises i skjermbildet Overvåkingslogg, selv når dette alternativet ikke er valgt.

Eksempelmelding for revisjonslogg som videresendes til Syslog
Figur 7: (Bare på engelsk) Eksempelmelding for revisjonslogg som videresendes til Syslog

Enheter

Hvis du velger dette alternativet, sendes enhetshendelser til Syslog-serveren.

  • Når en ny enhet registreres, får du to meldinger for denne hendelsen: Registrering og systemsikkerhet
Merk: SystemSecurity-meldinger genereres også når en bruker logger på en enhet. Denne meldingen kan forekomme på forskjellige tidspunkter, ikke bare under registrering.

Eksempelmelding for hendelse for enhetsregistrert hendelse
Figur 8: (Bare på engelsk) Eksempelmelding for hendelse for enhetsregistrert hendelse

  • Når en enhet fjernes

Eksempelmelding for hendelse når enheten er fjernet
Figur 9: (Bare på engelsk) Eksempelmelding for hendelse når enheten er fjernet

  • Når en enhets policy, sone, navn eller loggingsnivå er endret.

Eksempelmelding for hendelse for enhet oppdatert
Figur 10: (Bare på engelsk) Eksempelmelding for hendelse for enhet oppdatert

Minnebeskyttelse

Hvis du velger dette alternativet, logges alle forsøk på minneutnyttelse som kan betraktes som et angrep fra en av leietakerens enheter, til syslog-serveren. Det finnes fire typer minneutnyttelseshandlinger:

  • Ingen: Tillatt fordi det ikke er definert noen retningslinjer for dette bruddet.
  • Tillatt: Tillatt etter policy
  • Blokkert: Blokkert fra å kjøre av policy
  • Avsluttet: Prosessen er avsluttet.

Eksempel på melding om minnebeskyttelseshendelse
Figur 11: (Bare på engelsk) Eksempel på melding om minnebeskyttelseshendelse

Script Control (Skriptkontroll)

Hvis du velger dette alternativet, logges alle nylig oppdagede skript til Syslog-serveren som Advanced Threat prevention fanger.

Hendelser for systemlog-skriptkontroll inneholder følgende egenskaper:

  • Varsel: Skriptet får kjøre. En skriptkontrollhendelse sendes til konsollen.
  • Blokkere: Skriptet kan ikke kjøres. En skriptkontrollhendelse sendes til konsollen.

Rapporteringsfrekvens

Første gang en hendelse for skriptkontroll registreres, sendes en melding ved hjelp av syslog med fullstendig hendelsesinformasjon. Hver etterfølgende hendelse som anses som en duplikat, sendes ikke ved hjelp av syslog for resten av dagen (basert på SaaS-servertiden).

Hvis telleren for en bestemt skriptkontrollhendelse er større enn én, sendes en hendelse ved hjelp av syslog med tellingen av alle dupliserte hendelser som har skjedd den dagen. Hvis telleren er lik en, sendes ingen ekstra melding ved hjelp av syslog.

Hvis du skal avgjøre om en skriptkontrollhendelse er en duplikathendelse, brukes følgende logikk:

  • Se på viktig informasjon: Enhet, hash, brukernavn, blokkering og varsel
  • For den første hendelsen som mottas på en dag, angir du en tellerverdi til 1. Det er separate tellere for Blokker og Varsel.
  • Alle etterfølgende hendelser med samme nøkkel øker telleren
  • Telleren tilbakestilles hver kalenderdag, i henhold til SaaS servertid.
Merk: Hvis skript A kjører på en enhet 1 kl. 23:59 den 09-20-2016 og deretter igjen kl. 12:05 og 12:15 den 09-21-2016, er følgende resultatet:
  • Én syslog-melding sendes den 09-20-2016 for hendelsen Script Control for den dagen.
  • Én syslog-melding ble sendt den 09-21-2016 for de to dupliserte Script Control-hendelsene for den dagen.
Merk: Bare én syslog-melding er sendt den 09-21-2016 fordi hendelsene er duplikater av hendelsen som skjedde den 09-20-2016.

Eksempel på melding om skriptkontroll
Figur 12: (Bare på engelsk) Eksempel på melding om skriptkontroll

Trusler

Hvis du velger dette alternativet, logges alle nylig oppdagede trusler, eller endringer som er observert for eksisterende trusler, til Syslog-serveren. Endringer inkluderer en trussel som fjernes, settes i karantene, fravikes eller kjøres.

Det finnes fem typer trusselhendelser:

  • threat_found: Det er funnet en ny trussel i statusen Usikker.
  • threat_removed: En eksisterende trussel er fjernet.
  • threat_quarantined: En ny trussel er funnet i karantenestatusen.
  • threat_waived: En ny trussel er funnet i fraviket status.
  • threat_changed: Virkemåten til en eksisterende trussel har endret seg (eksempler: Poengsum, karantenestatus, løpestatus)

Det finnes seks trusselklassifiseringstyper:

  • Fil utilgjengelig: På grunn av en opplastingsbegrensning (for eksempel hvis filen er for stor til å lastes opp), er filen utilgjengelig for analyse.
  • Malware: Filen er klassifisert som skadelig programvare.
  • Mulig PUP: Filen kan være et potensielt uønsket program (PUP).
  • PUP: Filen betraktes som et potensielt uønsket program (PUP).
  • Klarerte: Filen anses som klarert.
  • Uklassifisert: ATP har ikke analysert denne filen.

Eksempel på trusselhendelse
Figur 13: (Bare på engelsk) Eksempel på trusselhendelse

Trusselklassifiseringer

Dells avanserte trusselforhindring klassifiserer hver dag hundrevis av trusler som enten skadelig programvare eller potensielt uønskede programmer (PUP-er).

Ved å velge dette alternativet blir du varslet når disse hendelsene oppstår.

Eksempel på trusselklassifisering
Figur 14: (Bare på engelsk) Eksempel på trusselklassifisering

Sikkerhetsinformasjon og hendelsesadministrasjon (SIEM)

Angir typen Syslog-server eller SIEM som hendelser skal sendes til.

Protokoll

Dette må samsvare med det du har konfigurert på Syslog-serveren. Valgene er UDP eller TCP. TCP er standard, og vi oppfordrer kundene til å bruke det. UDP anbefales ikke, da det ikke garanterer levering av meldinger.

TLS/SSL

Bare tilgjengelig hvis den angitte protokollen er TCP. TLS/SSL sikrer at Syslog-meldingen krypteres under overføring til Syslog-serveren. Vi oppfordrer kunder til å velge dette alternativet. Kontroller at Syslog-serveren er konfigurert til å lytte etter TLS-/SSL-meldinger.

IP/domene

Angir IP-adressen eller det fullstendig kvalifiserte domenenavnet til Syslog-serveren som kunden har konfigurert. Rådfør deg med interne nettverkseksperter for å sikre at brannmur- og domeneinnstillingene er riktig konfigurert.

Port

Angir portnummeret på maskinene som Syslog-serveren lytter etter meldinger på. Det må være et tall mellom 1 og 65535. Typiske verdier er: 512 for UDP, 1235 eller 1468 for TCP og 6514 for sikret TCP (for eksempel: TCP med TLS/SSL aktivert)

Alvorsgrad

Angir alvorlighetsgraden til meldingene som skal vises i Syslog-serveren (dette er et subjektivt felt, og du kan angi det til det nivået du vil). Verdien av alvorlighetsgrad endrer ikke meldingene som videresendes til Syslog.

Anlegget

Angir hvilken type program som logger meldingen. Standard er Intern (eller Syslog). Dette brukes til å kategorisere meldingene når Syslog-serveren mottar dem.

Egendefinert token

Noen loggbehandlingstjenester, for eksempel SumoLogic, trenger kanskje et egendefinert token som følger med syslog-meldinger for å identifisere hvor disse meldingene skal plasseres. Det egendefinerte tokenet leverer loggbehandlingstjenesten din.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Merk: Custom Token-feltet er tilgjengelig med alle SIEM- eller Syslog-alternativer, ikke bare SumoLogic. Det er mulig å skrive inn all informasjon som en egendefinert kode til syslog-informasjonen.

Teste tilkoblingen

Klikk på Test tilkobling for å teste innstillingene for IP/domene, port og protokoll. Hvis du angir gyldige verdier, vises en vellykket bekreftelse.

Vellykket tilkoblingsbanner
Figur 15: (Bare på engelsk) Vellykket tilkoblingsbanner

På Syslog-serverkonsollen får du følgende Test tilkoblingsmelding:

Testmelding om tilkobling
Figur 16: (Bare på engelsk) Testmelding om tilkobling

sl_file_upload

Hendelse som forteller en administrator når en fil er lastet opp til en skyleverandør.

Agenten som genererer hendelsen, kan være ett eller flere av følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Leverandør Prosessen som utfører opplastingen.
Filen Informasjon om filen som lastes opp inkluderer, keyid, bane, filnavn og størrelse.
Geometri Stedet der denne hendelsen fant sted.
Loggedinuser Bruker som er logget på enheten.
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Hendelse som skjer når en bruker endrer mappepolicyen via mappeadministrasjonskonsollen.

Agenten som genererer hendelsen, kan være ett eller flere av følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Folderpath Mappe der beskyttelsesnivået ble endret
Folderprotection En streng som definerer et beskyttelsesnivå: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometri Stedet der denne hendelsen fant sted.
Loggedinuser Bruker som er logget på enheten.
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Hendelse som forteller en administrator når tilgang til en skyleverandør er blokkert.

Agenten som genererer hendelsen, kan være ett eller flere av følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Adresse Prosessen som utfører opplastingen.
Prosessen Informasjon om filen som lastes opp inkluderer, keyid, bane, filnavn og størrelse.
Applikasjon Type prosess som prøver å få tilgang til en blokkert skyleverandør. App, proxy eller nettleser
Netaction Type handling skjer. (bare én verdi blokkert)
Geometri Stedet der denne hendelsen fant sted.
Loggedinuser Bruker som er logget på enheten.
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Hendelser som omhandler handlinger knyttet til Dell Data Guardian-beskyttede e-postmeldinger.

Agenten som genererer hendelsen, kan være ett eller flere av følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
E-postmeldinger Matrise med e-postobjekter
keyId Nøkkel-ID som brukes til å beskytte e-posten.
Emnet Emnelinje fra e-post
Hvis du vil E-postadressene som e-posten ble sendt til.
Cc E-postadresser som e-postmeldingen ble kopiert til.
Blindkopi E-postadresser som e-posten ble blindkopiert til.
Fra E-postadressen til personen som sendte e-posten.
bare Navn på vedlegg som ble lagt til i e-postmeldingen
Handling «Åpnet», «Opprettet», «Reagert», «Sendt»
Loggedinuser Bruker som er logget på enheten.
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Hendelser som omhandler handlinger som er knyttet til Dell Data Guardian-beskyttede kontordokumenter.

Agenten som genererer hendelsen, kan være ett eller flere av følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Filen Filinformasjon om dette ble kryptert, dekryptert eller slettet.
klienttype Klienttype som er installert. Ekstern eller intern
Handling Opprettet, åpnet, endret, ubeskyttet, forsøkstilgang
Slaction Ny, Åpen, Oppdatert, Feid, Vannmerket, BlockCopy, RepairedTukling,
OppdagetTukling, Ubeskyttet, Slettet, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometri Stedet der denne hendelsen fant sted.
Fra Tidsstempel for sammendragshendelsen da den begynte.
Hvis du vil Tidsstempel for sammendragshendelse når arrangementet ble avsluttet.
Loggedinuser Bruker som er logget på enheten.
Appinfo Informasjon om programmet som bruker det beskyttede Office-dokumentet
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Hendelse som skjer når datamaskinen utsteder en hendelse.

Agenten som genererer hendelsen, kan være ett eller flere av følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Handling Hva datamaskinen gjør eksempler - Logg inn, Logg ut, PrintScreenBlocked, ProcessBlocked
Geometri Stedet der denne hendelsen fant sted.
klienttype Klienttype som er installert. Ekstern eller intern
Loggedinuser Brukeren som logget på enheten.
processInfo Informasjon om prosessen
Disposisjon Hvordan prosessen ble blokkert – avsluttet, blokkert, ingen.
Navn Navn på prosessen
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition-hendelser som angir når en fil er kryptert, dekryptert eller slettet fra en støttet skyleverandør.

Agenten som genererer hendelsen, kan være ett eller flere av følgende:

  • Mac
  • Windows
  • Android
  • IOS
Nyttelast  
Filen Filinformasjon om dette ble kryptert, dekryptert eller slettet.
klienttype Klienttype som er installert. Ekstern eller intern
Handling Opprettet, åpnet, endret, slettet
Nettskynavn Navnet på filen i skyen kan være annerledes enn navnet i filkoden ovenfor
Fremmedgjøring Beskrivelse av hva DG-tjenesten prøver å gjøre. Verdier - Krypter, Dekrypter, Slettet.
Geometri Stedet der denne hendelsen fant sted.
Loggedinuser Bruker som er logget på enheten.
Eksempel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

Additional Information

   

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124929
Article Type: How To
Last Modified: 30 Apr 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.