Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

Podręcznik Syslog i SIEM dla serwera Dell Security Management Server

Summary: W tym artykule opisano proces integracji informacji dotyczących bezpieczeństwa i zarządzania zdarzeniami.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Dotyczy produktów:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Co to jest serwer lub urządzenie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)?

SIEM może importować dane i uruchamiać reguły lub raporty oparte na danych. Celem jest agregowanie danych z różnych źródeł, identyfikowanie anomalii w danych i podejmowanie odpowiednich działań na podstawie danych.

Jakie opcje muszę wysłać do aplikacji SIEM lub Syslog

Dell Security Management Server i Dell Security Management Server Virtual oferują dwa różne sposoby korzystania z danych w aplikacji SIEM lub Syslog.

W serwerze 9.2 wprowadzono możliwość komunikowania się z chmurą Advanced Threat Prevention, co pozwoliło na skonfigurowanie danych zdarzeń zaawansowanego zagrożenia, które mają być wysyłane do aplikacji SIEM.

Aby skonfigurować te dane w interfejsie sieciowym serwera Dell Security Management Server lub Dell Security Management Server Virtual, przejdź do opcjiPopulations >>Enterprise Advanced Threats (ta karta jest widoczna tylko wtedy, gdy funkcja Advanced Threat Prevention została włączona za pomocą zadania Management> Services Management). >

Na stronie Options znajduje się pole wyboru Syslog/SIEM , które umożliwia skonfigurowanie miejsca wysyłania danych. Dane te pochodzą z serwerów Advanced Threat Prevention hostowanych w ramach Amazon Web Services.

Jeśli program Advanced Threat Prevention Syslog Integration nie może pomyślnie dostarczyć komunikatów syslog do serwera, do administratorów wysyłane jest powiadomienie e-mail z potwierdzonym adresem e-mail w organizacji, informujące o problemie z syslog.

Jeśli problem zostanie rozwiązany przed upływem 20 minut, komunikaty syslog będą nadal dostarczane. Jeśli problem zostanie rozwiązany po upływie 20 minut, administrator musi ponownie włączyć komunikaty syslog.

Oto przykładowa konfiguracja zewnętrznej w pełni kwalifikowanej nazwy domeny (FQDN) extsiem.domain.org przez port 5514. W tej konfiguracji założono, że extsiem.domain.com ma zewnętrzny wpis DNS, który przechodzi na serwer w środowisku z aplikacją SIEM lub Syslog, a port 5514 został przekazany z bramki środowiska do docelowej aplikacji SIEM lub Syslog.

Konsola Dell Data Security
Rysunek 1. (tylko w języku angielskim) Dell Data Security Console

Zdarzenia przechodzące przez tę funkcję są oznaczone jako pochodzące od naszego dostawcy, Cylance.

Informacje o adresach IP i nazwach hostów do celów zapory i dostępu

Narzędzie SaaS for Advanced Threat Prevention ma kilka adresów IP dla każdego regionu. Pozwala to na rozbudowę bez przerywania usługi syslog. Zezwalaj na wszystkie adresy IP, które są oparte na Twoim regionie podczas konfigurowania reguł. Dzienniki Cylance pochodzą z jednego z tych adresów IP i mogą ulec losowej zmianie.

Uwaga: Te adresy IP powinny pozostać statyczne; Możliwe jednak, że Cylance zaktualizuje tę listę w przyszłości. Zmiany są przekazywane za pomocą wiadomości e-mail do administratorów konsoli Cylance. Administrator sieci jest odpowiedzialny za aktualizację swoich reguł w odpowiedzi na zmiany.

US (my.cylance.com i my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com i my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server i Dell Security Management Server Virtual wprowadziły możliwość wysyłania zdarzeń otrzymanych od agentów w wersji 9.7. Obejmuje to niefiltrowane zdarzenia z rozwiązania Dell Endpoint Security Suite Enterprise oraz zdarzenia z Dell Secure Lifecycle i Dell Data Guardian.

Konfiguracja serwera

Serwer zarządzania zabezpieczeniami można skonfigurować w taki sposób, aby wysyłał dane zdarzeń agenta w ramach> zarządzania usługami zarządzania >Zarządzanie zdarzeniami. Te dane można wyeksportować do pliku lokalnego lub Syslog. Dostępne są dwie opcje: Eksportuj do pliku lokalnego i eksportuj do syslogu

Zarządzanie wydarzeniami
Rysunek 2. (tylko w języku angielskim) Zarządzanie zdarzeniami

Eksportuj do pliku lokalnego, aktualizuje plik audit-export.log, aby mógł z niego korzystać uniwersalny program przesyłania dalej. Domyślna lokalizacja tego pliku to C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Plik jest aktualizowany co dwie godziny o dane. Plik ten może zostać odebrany i wykorzystany przez nadawcę. Aby uzyskać więcej informacji na temat nadawców, należy zapoznać się z określoną aplikacją Syslog lub SIEM, wykorzystywaną do zużywania tych danych, ponieważ nadawcy różnią się w zależności od aplikacji.

Eksportuj do pliku lokalnego
Rysunek 3. (tylko w języku angielskim) Eksportuj do pliku lokalnego

Eksport do dziennika systemowego umożliwia bezpośrednie połączenie z wewnętrznym serwerem SIEM lub Syslog w środowisku. Te dzienniki są sformatowane w prostym formacie, który jest oparty na RFC-3164 w pakiecie json. Dane te pochodzą z serwera Dell Security Management Server i są wysyłane bezpośrednio do serwera SIEM lub Syslog. Dane te są zbierane i wysyłane co dwie godziny za pomocą zlecenia.

Eksportuj do syslogu
Rysunek 4. (tylko w języku angielskim) Eksport do Syslog

Wysyłane dane o zdarzeniach rozwiązania Dell Endpoint Security Suite Enterprise są wymienione powyżej. Zazwyczaj SaaS wysyła te dane, dzięki czemu serwer Dell Security Management Server może zbierać te dane od agentów podczas ewidencjonowania inwentaryzacji i przekazywać je dalej do skonfigurowanej aplikacji SIEM lub Syslog.

Dane zdarzeń agenta zawierają zarówno wspomniane wcześniej dane o zdarzeniach dotyczących rozwiązania Dell Endpoint Security Suite Enterprise, jak i dane dotyczące cyklu eksploatacji Dell Secure Lifecycle i Dell Data Guardian. Dane te są również dostarczane w zdarzeniach.

Kontrola aplikacji

Ta opcja jest widoczna tylko dla użytkowników, którzy mają włączoną funkcję kontroli aplikacji. Zdarzenia kontroli aplikacji przedstawiają działania występujące, gdy urządzenie znajduje się w trybie kontroli aplikacji. Zaznaczenie tej opcji powoduje wysłanie komunikatu do serwera dziennika systemowego za każdym razem, gdy zostanie podjęta próba zmodyfikowania, skopiowania pliku wykonywalnego lub gdy zostanie podjęta próba uruchomienia pliku z urządzenia lub lokalizacji sieciowej.

Przykładowy komunikat dotyczący odmowy zmiany pliku PE
Rysunek 5. (tylko w języku angielskim) Przykład komunikatu o odmowie zmiany pliku PE

Przykładowy komunikat o odmowie wykonania z dysku zewnętrznego
Rysunek 6. (Tylko w języku angielskim) Przykładowy komunikat o odmowie wykonania z dysku zewnętrznego

Dziennik kontroli

Wybranie tej opcji powoduje wysłanie dziennika kontroli działań użytkownika wykonywanych w SaaS do serwera Syslog. Zdarzenia dziennika kontroli są wyświetlane na ekranie dziennika kontroli nawet po wyczyszczeniu tej opcji.

Przykładowy komunikat dotyczący przekazywania dziennika inspekcji do dziennika systemowego
Rysunek 7. (tylko w języku angielskim) Przykładowy komunikat przekazywania dziennika kontroli do Syslog

Urządzenia

Wybranie tej opcji powoduje wysłanie zdarzeń urządzenia do serwera Syslog.

  • Po zarejestrowaniu nowego urządzenia otrzymasz dwa komunikaty dotyczące tego zdarzenia: Rejestracja i Bezpieczeństwo systemu
Uwaga: komunikaty o bezpieczeństwie systemu są również generowane, gdy użytkownik loguje się do urządzenia. Ten komunikat może wystąpić w różnych momentach, nie tylko podczas rejestracji.

Przykładowy komunikat dotyczący zarejestrowanego zdarzenia urządzenia
Rysunek 8. (tylko w języku angielskim) Przykład komunikatu dotyczącego zdarzenia zarejestrowanego urządzenia

  • Po usunięciu urządzenia

Przykładowy komunikat dotyczący zdarzenia usunięcia urządzenia
Rysunek 9. (tylko w języku angielskim) Przykład komunikatu dotyczącego zdarzenia usunięcia urządzenia

  • Jeśli zasady, strefa, nazwa lub poziom logowania urządzenia uległy zmianie.

Przykładowy komunikat dotyczący zdarzenia aktualizacji urządzenia
Rysunek 10. (tylko w języku angielskim) Przykład komunikatu dotyczącego zdarzenia aktualizacji urządzenia

Ochrona pamięci

Wybranie tej opcji powoduje rejestrowanie wszelkich prób wykorzystania pamięci, które można uznać za atak z dowolnego urządzenia najemcy do serwera Syslog. Istnieją cztery rodzaje działań wykorzystania pamięci:

  • Brak: Dozwolone, ponieważ żadne zasady nie zostały zdefiniowane dla tego naruszenia.
  • Dozwolone: Dozwolone przez zasady
  • Zablokowane: Zablokowanie działania przez zasady
  • Zakończono: Proces został zakończony.

Przykładowy komunikat o zdarzeniu ochrony pamięci
Rysunek 11. (tylko w języku angielskim) Przykład komunikatu o zdarzeniu ochrony pamięci

Kontrola skryptu

Zaznaczenie tej opcji powoduje zarejestrowanie wszystkich nowo znalezionych skryptów na serwerze Syslog, który zostanie skazany przez funkcję Advanced Threat Prevention.

Zdarzenia kontroli skryptu Syslog zawierają następujące właściwości:

  • Alert: Skrypt może zostać uruchomiony. Do konsoli wysyłane jest zdarzenie kontroli skryptu.
  • Block: Skrypt nie może zostać uruchomiony. Do konsoli wysyłane jest zdarzenie kontroli skryptu.

Częstotliwość raportowania

Po pierwszym wykryciu zdarzenia funkcji kontroli skryptu za pomocą syslog wysyłany jest komunikat zawierający pełne informacje o zdarzeniu. Każde kolejne zdarzenie uznawane za zduplikowane nie jest wysyłane za pomocą syslog przez pozostałą część dnia (w zależności od czasu serwera SaaS).

Jeśli licznik dla określonego zdarzenia funkcji kontroli skryptu jest większy niż jeden, zdarzenie jest wysyłane za pomocą syslog z liczbą wszystkich zduplikowanych zdarzeń, które wystąpiły tego dnia. Jeśli licznik jest równy jeden, nie jest wysyłana żadna dodatkowa wiadomość przy użyciu syslog.

Określanie, czy zdarzenie funkcji kontroli skryptu jest zduplikowane, wykorzystuje następującą logikę:

  • Przyjrzyj się kluczowym informacjom: Urządzenie, skrót, nazwa użytkownika, blokada i alert
  • W przypadku pierwszego zdarzenia odebranego w ciągu dnia ustaw wartość licznika na 1. Istnieją oddzielne liczniki dla blokady i alertu.
  • Wszystkie kolejne zdarzenia z tym samym kluczem zwiększają licznik
  • Licznik resetuje się każdego dnia kalendarzowego zgodnie z czasem serwera SaaS.
Uwaga: jeśli skrypt A działa na urządzeniu 1 o 23:59 w dniu 20.09.2016 r., a następnie ponownie o 12:05 i 12:15 w dniu 21.09.2016 r., wynik jest następujący:
  • W dniu 20.09.2016 zostanie wysłany jeden komunikat dziennika systemowego dla zdarzenia funkcji kontroli skryptów z tego dnia.
  • W dniu 21.09.2016 r. wysyłany jest jeden komunikat syslog dla dwóch zduplikowanych zdarzeń funkcji kontroli skryptu.
Uwaga: w dniu 21.09.2016 r. wysyłany jest tylko jeden komunikat syslog, ponieważ zdarzenia te są duplikatami zdarzenia, które wystąpiło w dniu 20.09.2016 r.

Przykładowy komunikat kontroli skryptów
Rysunek 12. (tylko w języku angielskim) Przykład komunikatu funkcji kontroli skryptu

Zagrożeniami

Wybranie tej opcji powoduje zarejestrowanie nowo znalezionych zagrożeń lub zmian zaobserwowanych dla istniejącego zagrożenia na serwerze Syslog. Zmiany obejmują usunięcie, kwarantannę, uchylenie lub uruchomienie zagrożenia.

Istnieje pięć typów zdarzeń zagrożenia:

  • threat_found: Wykryto nowe zagrożenie w stanie niebezpiecznym.
  • threat_removed: Usunięto istniejące zagrożenie.
  • threat_quarantined: Znaleziono nowe zagrożenie w stanie kwarantanny.
  • threat_waived: Znaleziono nowe zagrożenie w stanie uchylenia.
  • threat_changed: Zachowanie istniejącego zagrożenia uległo zmianie (przykłady: Wynik, stan kwarantanny, stan uruchomienia)

Istnieje sześć typów klasyfikacji zagrożeń:

  • Plik niedostępny: Ze względu na ograniczenie przekazywania (na przykład plik jest zbyt duży, aby go przesłać) plik jest niedostępny do analizy.
  • Malware: Plik sklasyfikowano jako złośliwe oprogramowanie.
  • Możliwy PUP: Plik może być potencjalnie niepożądanym programem (PUP).
  • PUP: Plik jest uważany za potencjalnie niepożądany program (PUP).
  • Zaufany: Plik jest uważany za zaufany.
  • Nie sklasyfikowano: Funkcja ATP nie przeanalizowała tego pliku.

Przykładowy komunikat o zdarzeniu zagrożenia
Rysunek 13. (tylko w języku angielskim) Przykład komunikatu o zdarzeniu zagrożenia

Klasyfikacje zagrożeń

Każdego dnia Advanced Threat Prevention firmy Dell klasyfikuje setki zagrożeń jako złośliwe oprogramowanie lub potencjalnie niepożądane programy.

Po wybraniu tej opcji wyświetlane są powiadomienia o tych zdarzeniach.

Przykładowy komunikat klasyfikacji zagrożeń
Rysunek 14. (tylko w języku angielskim) Przykład komunikatu o klasyfikacji zagrożeń

Zarządzanie informacjami o zabezpieczeniach i zdarzeniami (SIEM)

Typ serwera Syslog lub SIEM, do których mają być wysyłane zdarzenia.

Protokół

Musi to być zgodne z konfiguracją na serwerze Syslog. Dostępne opcje to UDP lub TCP. TCP jest ustawieniem domyślnym i zachęcamy klientów do korzystania z niego. Protokół UDP nie jest zalecany, ponieważ nie gwarantuje dostarczenia komunikatów.

TLS/SSL

Dostępne tylko wtedy, gdy określony protokół to TCP. Protokół TLS/SSL zapewnia, że komunikat Syslog jest zaszyfrowany w tranzycie do serwera Syslog. Zachęcamy klientów do wybrania tej opcji. Upewnij się, że serwer Syslog jest skonfigurowany do nasłuchiwania komunikatów TLS/SSL.

Adres IP / domena

Określa adres IP lub w pełni kwalifikowaną nazwę domeny serwera Syslog skonfigurowane przez klienta. Skontaktuj się z ekspertami sieci wewnętrznej, aby upewnić się, że zapora sieciowa i ustawienia domeny są prawidłowo skonfigurowane.

Port

Określa numer portu na komputerach, na których serwer Syslog nasłuchuje komunikatów. Musi to być liczba od 1 do 65535. Typowe wartości to: 512 dla protokołu UDP, 1235 lub 1468 dla protokołu TCP i 6514 dla zabezpieczonego protokołu TCP (na przykład: TCP z włączonym protokołem TLS/SSL)

Stopień ważności

Określa ważność komunikatów, które powinny pojawić się na serwerze Syslog (jest to pole subiektywne i można je ustawić na dowolny poziom). Wartość ważności nie zmienia komunikatów przekazywanych do Syslog.

Obiekt

Określa typ aplikacji rejestrującej komunikat. Ustawieniem domyślnym jest Wewnętrzne (lub Syslog). Służy do kategoryzacji komunikatów, gdy serwer Syslog je odbiera.

Token niestandardowy

Niektóre usługi zarządzania dziennikami, takie jak SumoLogic, mogą wymagać niestandardowego tokenu dołączonego do komunikatów syslog, aby ułatwić identyfikację lokalizacji tych komunikatów. Token niestandardowy zapewnia usługę zarządzania dziennikami.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Uwaga: Pole Token niestandardowy jest dostępne ze wszystkimi opcjami SIEM lub Syslog, a nie tylko z SumoLogic. Możliwe jest wpisanie dowolnych informacji jako niestandardowego znacznika w informacjach syslog.

Testowanie połączenia

Kliknij Test połączenia, aby przetestować ustawienia IP/domeny, portu i protokołu. Po wprowadzeniu prawidłowych wartości zostanie wyświetlone potwierdzenie powodzenia.

Baner pomyślnego połączenia
Rysunek 15. (tylko w języku angielskim) Baner pomyślnego połączenia

W konsoli serwera Syslog zostanie wyświetlony następujący komunikat o teście połączenia:

Komunikat o połączeniu testowym
Rysunek 16. (tylko w języku angielskim) Komunikat o teście połączenia

sl_file_upload

Zdarzenie, które informuje administratora, kiedy plik został przesłany do dostawcy rozwiązań chmurowych.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Usługodawca Proces, który wykonuje przekazywanie.
Plik Informacje o przesyłanym pliku obejmują identyfikator klucza, ścieżkę, nazwę pliku i rozmiar.
Geometrii Miejsce, w którym miało miejsce zdarzenie.
Zalogowany użytkownik Użytkownik zalogowany na urządzeniu.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Zdarzenie, które ma miejsce, gdy użytkownik zmienia zasady folderów za pośrednictwem konsoli zarządzania folderami.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Folderpath Folder, w którym zmieniono poziom zabezpieczenia
Ochrona folderów Ciąg znaków definiujący poziom ochrony: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometrii Miejsce, w którym miało miejsce zdarzenie.
Zalogowany użytkownik Użytkownik zalogowany na urządzeniu.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Zdarzenie informujące administratora o zablokowaniu dostępu do dostawcy rozwiązań chmurowych.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Adres Proces, który wykonuje przekazywanie.
Proces Informacje o przesyłanym pliku obejmują identyfikator klucza, ścieżkę, nazwę pliku i rozmiar.
Aplikacja Typ procesu próbującego uzyskać dostęp do zablokowanego dostawcy rozwiązań chmurowych. Aplikacja, serwer proxy lub przeglądarka
Siatka Rodzaj działania. (tylko wartość Zablokowane)
Geometrii Miejsce, w którym miało miejsce zdarzenie.
Zalogowany użytkownik Użytkownik zalogowany na urządzeniu.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Zdarzenia związane z działaniami powiązanymi z wiadomościami e-mail chronionymi przez Dell Data Guardian.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Wiadomości e-mail Macierz obiektów poczty e-mail
keyId Identyfikator klucza używany do ochrony poczty e-mail.
Temat Wiersz tematu z wiadomości e-mail
do Adresy e-mail, na które wiadomość e-mail została wysłana.
cc Adresy e-mail, na które skopiowano wiadomość e-mail.
Udw Adresy e-mail, na które wiadomość e-mail została skopiowana w ciemno.
Z Adres e-mail osoby, która wysłała wiadomość e-mail.
Załączniki Nazwy załączników dodanych do wiadomości e-mail
Czynność "Otwarto", "Utworzono", "Odpowiedziano", "Wysłano"
Zalogowany użytkownik Użytkownik zalogowany na urządzeniu.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Zdarzenia związane z działaniami powiązanymi z dokumentami pakietu Office chronionymi przez Dell Data Guardian.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Plik Informacje o plikach, które zostały zaszyfrowane, odszyfrowane lub usunięte.
clientType Typ klienta, który został zainstalowany. Zewnętrzny lub wewnętrzny
Czynność Utworzono, uzyskano dostęp, zmodyfikowano, niezabezpieczone, próby dostępu
Slakcja New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering,
DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometrii Miejsce, w którym miało miejsce zdarzenie.
Z Sygnatura czasowa zdarzenia podsumowania w momencie jego rozpoczęcia.
do Sygnatura czasowa zakończenia zdarzenia podsumowania.
Zalogowany użytkownik Użytkownik zalogowany na urządzeniu.
Informacje o aplikacji Informacje o aplikacji korzystającej z chronionego dokumentu pakietu Office
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Zdarzenie, które występuje, gdy komputer wysyła zdarzenie.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Czynność Przykłady czynności wykonywanych przez komputer — Login, Logout, PrintScreenBlocked, ProcessBlocked
Geometrii Miejsce, w którym miało miejsce zdarzenie.
clientType Typ klienta, który został zainstalowany. Zewnętrzne lub wewnętrzne
Zalogowany użytkownik Użytkownik, który zalogował się na urządzeniu.
processInfo Informacje o procesie
Dyspozycji Jak proces został zablokowany — Zakończony, Zablokowany, Brak.
Nazwa Nazwa procesu
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Zdarzenia Cloud Edition określające, kiedy plik jest szyfrowany, odszyfrowywany lub usuwany od obsługiwanego dostawcy rozwiązań chmurowych.

Agent generujący zdarzenie może być co najmniej jednym z poniższych:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Plik Informacje o plikach, które zostały zaszyfrowane, odszyfrowane lub usunięte.
clientType Typ klienta, który został zainstalowany. Zewnętrzny lub wewnętrzny
Czynność Utworzono, uzyskano dostęp, zmodyfikowano, usunięto
Nazwa chmury Nazwa pliku w chmurze może być inna niż nazwa w powyższym tagu pliku
Xenaction Opis działania usługi DG. Wartości — Encrypt, Decrypt, Deleted.
Geometrii Miejsce, w którym miało miejsce zdarzenie.
Zalogowany użytkownik Użytkownik zalogowany na urządzeniu.
Example:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Additional Information

   

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124929
Article Type: How To
Last Modified: 30 Apr 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.