Dell Security Management Server Sistem Günlüğü ve SIEM rehberi

9.2 sunucusunda Advanced Threat Prevention bulutu ile iletişim kurma özelliği kullanıma sunulmuştur. Bu sayede Advanced Threat olay verileri bir SIEM uygulamasına gönderilecek şekilde yapılandırılabilir.

Bu verileri Dell Security Management Server veya Dell Security Management Server Virtual ın WebUI'sinde yapılandırmak için Populations >Enterprise >Advanced Threats (bu sekme yalnızca Advanced Threat Prevention Yönetim Hizmetleri Yönetimi görevi aracılığıyla > etkinleştirilmişse görünür) >Options bölümüne gidin.

Options sayfasında, verilerin nereye gönderileceğini yapılandırmamıza olanak tanıyan bir Syslog/SIEM onay kutusu bulunur. Bu veriler, Amazon Web Services'ta barındırılan Advanced Threat Prevention sunucularından gelir.

Advanced Threat Prevention Sistem Günlüğü entegrasyonu, sistem günlüğü mesajlarını sunucunuza başarıyla teslim edemezse kuruluşta onaylanmış bir e-posta adresi bulunan tüm yöneticilere sistem günlüğü sorunu konusunda bir e-posta bildirimi gönderilir.

Sorun 20 dakikadan önce çözülürse sistem günlüğü mesajları teslim edilmeye devam edilir. 20 dakika geçtikten sonra sorun çözülürse yöneticinin sistem günlüğü mesajlarını yeniden etkinleştirmesi gerekir.

Burada, 5514 numaralı bağlantı noktası üzerinden extsiem.domain.org harici tam nitelikli etki alanı adının (FQDN) örnek bir yapılandırması verilmiştir. Bu yapılandırmada, extsiem.domain.com'un SIEM veya Sistem Günlüğü uygulamasını çalıştıran ortamdaki sunucuda çözümlenen harici bir DNS girişine sahip olduğu ve 5514 numaralı bağlantı noktasının, ortamın ağ geçidinden hedef SIEM veya Sistem Günlüğü uygulamasına yönlendirildiği varsayılmaktadır.

Şekil 1: (Yalnızca İngilizce) Dell Data Security Console

Bu işlev aracılığıyla gelen olaylar, tedarikçimiz Cylance tarafından iletilmesi nedeniyle markalıdır.

Güvenlik duvarı ve erişim amaçları için IP ve ana bilgisayar adı bilgileri

Advanced Threat Prevention için SaaS, her bölgede birkaç IP adresine sahiptir. Bu, herhangi bir sistem günlüğü hizmetini kesintiye uğratmadan genişletmeye izin verir. Kurallarınızı yapılandırırken bölgenizi temel alan tüm IP adreslerine izin verin. Cylance kaynağından gelen günlükler bu IP'lerden birinden alınır ve rastgele olarak değişebilir.

ABD (my.cylance.com ve my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

Avustralya (my-au.cylance.com)

52.63.15.218
52.65.4.232

AB (my-vs0-euc1.cylance.com ve my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server ve Dell Security Management Server Virtual'da, 9.7 sürümündeki aracılardan alınan olayları gönderme özelliği kullanıma sunulmuştur. Dell Endpoint Security Suite Enterprise'dan gelen ham, filtrelenmemiş olaylar ile Dell Secure Lifecycle ve Dell Data Guardian'dan gelen olaylar buna dahildir.

Sunucu Yapılandırması

Security Management Server'ı, Management>Services Management Olay > Yönetimi içinde Aracı Olay Verileri gönderecek şekilde yapılandırabilirsiniz. Bu veriler yerel bir dosyaya veya sistem günlüğüne aktarılabilir. Bunun için şu iki seçenek mevcuttur: Yerel dosyaya dışa aktarma ve Sistem günlüğüne dışa aktarma

Şekil 2: (Yalnızca İngilizce) Olay Yönetimi

Yerel Dosyaya Dışa Aktar, audit-export.log dosyasını evrensel bir ileticinin kullanması için güncelleştirir. Bu dosyanın varsayılan konumu C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\ dizinidir.

Bu dosya her iki saatte bir verilerle güncellenir. Bu dosya bir iletici tarafından alınabilir ve kullanılabilir. İleticiler uygulamaya göre farklılık göstermektedir. İleticiler hakkında daha fazla bilgi edinmek isterseniz bu verileri kullanmak üzere yararlandığınız belirli Sistem Günlüğü veya SIEM uygulamasına bakın.

Şekil 3: (Yalnızca İngilizce) Yerel dosyaya aktar

Sistem Günlüğüne Dışa Aktarma , ortamdaki dahili bir SIEM veya Sistem Günlüğü sunucusuna doğrudan bağlantı sağlar. Bu günlükler, bir json paketinde RFC-3164'ü temel alan basit bir biçimde biçimlendirilir. Bu veriler Dell Security Management Server'dan gelir ve doğrudan SIEM veya Syslog sunucusuna gönderilir. Bu veriler bir iş kullanılarak her iki saatte bir toplanır ve gönderilir.

Şekil 4: (Yalnızca İngilizce) Sistem günlüğüne aktar

Gönderilen Dell Endpoint Security Suite Enterprise olay verileri yukarıda listelenmiştir. SaaS genellikle bu verileri göndererek Dell Security Management Server'ın, envanterleri kontrol ederken aracılardan bu verileri toplayabilmesini ve yapılandırılmış SIEM veya Syslog uygulamasına iletebilmesini sağlar.

Aracı olay verileri, hem daha önce bahsedilen Dell Endpoint Security Suite Enterprise olay verilerini hem de Dell Secure Lifecycle ve Dell Data Guardian verilerini içerir. Bu veriler olaylarla da sunulur.

Uygulama Kontrolü

Bu seçenek yalnızca Application Control (Uygulama Kontrolü) özelliğini etkinleştirmiş olan kullanıcılar tarafından görüntülenebilir. Uygulama Kontrolü olayları, aygıt Uygulama Kontrolü modundayken gerçekleşen eylemleri gösterir. Bu seçeneğin belirlenmesi, yürütülebilir bir dosyayı değiştirme veya kopyalama girişiminde bulunulduğunda veya bir aygıt veya ağ konumundan dosya çalıştırma girişiminde bulunulduğunda Syslog sunucusuna bir mesaj gönderir.

Şekil 5: (Yalnızca İngilizce) PE dosyası değişikliğini reddetmek için örnek mesaj

Şekil 6: (Yalnızca İngilizce) Harici bir sürücüden yürütmeyi reddetmek için örnek mesaj

Denetleme Günlüğü

Bu seçenek belirlendiğinde, SaaS'de gerçekleştirilen kullanıcı eylemlerinin denetim günlüğü Sistem Günlüğü sunucusuna gönderilir. Denetim günlüğü olayları, bu seçenek temizlenmiş olsa bile Denetim Günlüğü ekranında gösterilir.

Şekil 7: (Yalnızca İngilizce) Sistem günlüğüne iletilen denetim günlüğü için örnek mesaj

Aygıtlar

Bu seçenek belirlendiğinde, aygıt olayları Sistem Günlüğü sunucusuna gönderilir.

• Yeni bir aygıt kaydedildiğinde bu olay için iki mesaj alırsınız: Registration (Kayıt) ve SystemSecurity (Sistem Güvenliği)

Şekil 8: (Yalnızca İngilizce) Aygıt kaydedildi olayı için örnek mesaj

• Aygıt kaldırıldığında gösterilir.

Şekil 9: (Yalnızca İngilizce) Aygıt kaldırıldı olayı için örnek mesaj

• Aygıtın politikası, bölgesi, adı veya günlüğe kaydetme düzeyi değiştirildiğinde gösterilir.

Şekil 10: (Yalnızca İngilizce) Aygıt güncelleştirildi olayı için örnek mesaj

Bellek Koruması

Bu seçenek belirlendiğinde, herhangi bir kiracı aygıtından gelen, saldırı olarak değerlendirilebilecek belleği kötü amaçlı kullanma girişimlerini Sistem Günlüğü sunucusuna kaydedilir. Belleği kötü amaçlı kullanma girişimleri için dört farklı eylem uygulanır:

• None (Yok): Bu ihlal için hiçbir politika tanımlanmadığından izin verilir.
• Allowed (İzin verildi): Politika tarafından izin verilir.
• Blocked (Engellendi): Çalıştırılması politika tarafından engellenir.
• Terminated (Sonlandırıldı): İşlem sonlandırıldı.

Şekil 11: (Yalnızca İngilizce) Bellek koruma olayı için örnek mesaj

Komut Dosyası Kontrolü

Bu seçenek belirlendiğinde, yeni bulunan tüm komut dosyaları Advanced Threat Prevention tarafından onaylanan Syslog sunucusuna kaydedilir.

Sistem Günlüğü Komut Dosyası Kontrolü olayları aşağıdaki özellikleri içerir:

• Uyarı: Komut dosyasının çalıştırılmasına izin verilir. Konsola bir komut dosyası kontrol olayı gönderilir.
• Engelleme: Komut dosyasının çalıştırılmasına izin verilmez. Konsola bir komut dosyası kontrol olayı gönderilir.

Raporlama Sıklığı

Komut Dosyası Kontrolü olayı ilk kez algılandığında, sistem günlüğü kullanılarak olaya ilişkin tüm bilgileri içeren bir mesaj gönderilir. Yinelenen olay olarak değerlendirilen sonraki her olay, günün geri kalanında (SaaS'nin sunucu saatine göre) sistem günlüğü kullanılarak gönderilmez.

Belirli bir Komut Dosyası Kontrolü olayının sayacı birden büyükse sistem günlüğü kullanılarak, söz konusu gün gerçekleşmiş tüm yinelenen olayların sayısını içerecek şekilde bir olay gönderilir. Sayaç bire eşitse sistem günlüğü kullanılarak ek mesaj gönderilmez.

Komut Dosyası Kontrolü olayının yinelenen bir olay olup olmadığı belirlenirken aşağıdaki mantık kullanılır:

• Anahtar bilgilerine bakılır: Aygıt, Karma, Kullanıcı Adı, Engelleme ve Uyarı
• Belirli bir günde alınan ilk olay için sayaç değeri 1 olarak ayarlanır. Engelleme ve Uyarı özellikleri için ayrı sayaçlar vardır.
• Aynı anahtara sahip sonraki tüm olaylar sayacı artırır
• Sayaç, SaaS'nin sunucu saatine göre her takvim günü sıfırlanır.

Şekil 12: (Yalnızca İngilizce) Komut dosyası kontrolü için örnek mesaj

Tehditler

Bu seçenek belirlendiğinde, yeni bulunan tüm tehditler veya mevcut herhangi bir tehdit ile ilgili gözlemlenen değişiklikler Sistem Günlüğü sunucusuna kaydeder. Değişiklikler arasında, bir tehdidin kaldırılması, karantinaya alınması, silinmesi veya çalıştırılması sayılabilir.

Beş Tehdit Olayı türü vardır:

• threat_found: Unsafe (Güvensiz) durumunda yeni bir tehdit bulundu.
• threat_removed: Mevcut bir tehdit kaldırıldı.
• threat_quarantined: Quarantine (Karantina) durumunda yeni bir tehdit bulundu.
• threat_waived: Waived (Silindi) durumunda yeni bir tehdit bulundu.
• threat_changed: Mevcut bir tehdidin davranışı değişti (örnekler: Puan, karantina durumu, çalışma durumu)

Altı Tehdit Sınıflandırma türü vardır:

• File Unavailable (Dosya Kullanılamıyor): Karşıya yükleme kısıtlaması nedeniyle (örneğin, dosyanın karşıya yüklenemeyecek kadar büyük olması) dosya, analiz için kullanılamıyor.
• Malware (Kötü Amaçlı Yazılım): Dosya kötü amaçlı yazılım olarak sınıflandırılır.
• Possible PUP (Olası PUP): Dosya, potansiyel olarak istenmeyen program (PUP) olabilir.
• PUP: Dosya, potansiyel olarak istenmeyen program (PUP) kabul edilir.
• Trusted (Güvenilir): Dosya güvenilir kabul edilir.
• Unclassified (Sınıflandırılmadı): ATP bu dosyayı analiz etmemiştir.

Şekil 13: (Yalnızca İngilizce) Tehdit olayı için örnek mesaj

Tehdit Sınıflandırmaları

Dell Advanced Threat Prevention her gün yüzlerce tehdidi Kötü Amaçlı Yazılım veya Potansiyel Olarak İstenmeyen Program (PUP) şeklinde sınıflandırmaktadır.

Bu seçenek belirlenirse bu olaylar meydana geldiğinde bilgilendirilirsiniz.

Şekil 14: (Yalnızca İngilizce) Tehdit sınıflandırması için örnek mesaj

Güvenlik Bilgileri ve Olay Yönetimi (SIEM)

Olayların gönderileceği Sistem Günlüğü sunucusunun veya SIEM'in türünü belirtir.

Protocol (Protokol)

Bu, Sistem Günlüğü sunucunuzda yapılandırdığınız değerle eşleşmelidir. Seçenekler UDP veya TCP'dir. TCP varsayılan değer olup müşterilerin bunu kullanmasını öneririz. UDP, mesaj teslimini garanti etmediği için önerilmez.

TLS/SSL

Yalnızca belirtilen protokol TCP ise kullanılabilir. TLS/SSL, Sistem Günlüğü mesajının Sistem Günlüğü sunucusuna aktarılırken şifrelenmesini sağlar. Müşterilerin bu seçeneği belirlemesini öneririz. Sistem Günlüğü sunucunuzun TLS/SSL mesajlarını dinleyecek şekilde yapılandırıldığından emin olun.

IP/Domain (IP/Etki Alanı)

Müşterinin ayarladığı Sistem Günlüğü sunucusunun IP adresini veya tam etki alanı adını belirtir. Güvenlik duvarı ve etki alanı ayarlarının doğru şekilde yapılandırıldığından emin olmak için şirket içi ağ uzmanlarınıza danışın.

Port (Bağlantı Noktası)

Sistem Günlüğü sunucusunun mesajları dinlediği makinelerdeki bağlantı noktası numarasını belirtir. 1 ile 65535 arasında bir sayı olmalıdır. Yaygın değerler şunlardır: UDP için 512, TCP için 1235 veya 1468 ve Güvenli TCP için 6514 (örneğin: TLS/SSL etkin TCP)

Önem Derecesi

Syslog sunucusunda görünmesi gereken mesajların önem derecesini belirtir (bu öznel bir alandır ve istediğiniz düzeye ayarlayabilirsiniz). Önem derecesi değeri, Sistem Günlüğüne iletilen mesajları değiştirmez.

Facility (Tür)

Ne tür bir uygulamanın mesajı günlüğe kaydettiğini belirtir. Varsayılan değer Internal (Dahili) veya Syslog (Sistem Günlüğü) şeklindedir. Sistem Günlüğü sunucusu tarafından teslim alınan mesajları sınıflandırmak için kullanılır.

Custom Token (Özel Belirteç)

SumoLogic gibi bazı günlük yönetimi hizmetleri, sistem günlüğü mesajlarının nereye gitmesi gerektiğini belirlemeye yardımcı olmak için bu mesajlara dahil edilecek özel bir belirtece ihtiyaç duyabilir. Özel belirteç, günlük yönetimi hizmeti sunar.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

Bağlantıyı Test Etme

IP/Etki Alanı, Bağlantı Noktası ve Protokol ayarlarını test etmek için Test Connection (Bağlantıyı Test Et) seçeneğine tıklayın. Geçerli değerler girilirse işlemin başarılı olduğuna dair bir onay görüntülenir.

Şekil 15: (Yalnızca İngilizce) Bağlantı başarılı başlığı

Sistem Günlüğü sunucusu konsolunda aşağıdaki Test Connection (Bağlantıyı Test Et) mesajını alırsınız:

Şekil 16: (Yalnızca İngilizce) Bağlantıyı test et mesajı

sl_file_upload

Dosyanın, bulut sağlayıcısına yüklendiğini yöneticiye bildiren olay.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

• Mac
• Windows
• Android
• iOS

Yük
Sağlayıcı	Yüklemeyi gerçekleştiren işlem.
Dosya	Yüklenen dosyayla ilgili bilgiler arasında keyid, yol, dosya adı ve boyut yer alır.
Geometri	Bu olayın gerçekleştiği yer.
Oturum Açma Kullanıcısı	Cihazda oturum açmış kullanıcı.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Kullanıcı, klasör yönetimi konsolu üzerinden klasör politikasını değiştirdiğinde gerçekleşen olay.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

• Mac
• Windows
• Android
• iOS

Yük
Klasör yolu	Koruma düzeyinin değiştirildiği klasör.
Klasör koruması	Koruma düzeyini tanımlayan bir dize: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometri	Bu olayın gerçekleştiği yer.
Oturum Açma Kullanıcısı	Cihazda oturum açmış kullanıcı.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Bulut sağlayıcıya erişimin engellenmiş olduğunu yöneticiye bildiren olay.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

• Mac
• Windows
• Android
• iOS

Yük
Adres	Yüklemeyi gerçekleştiren işlem.
İşlem	Yüklenen dosyayla ilgili bilgiler arasında keyid, yol, dosya adı ve boyut yer alır.
Uygulama	Engellenmiş bir bulut sağlayıcıya erişmeye çalışan işlem türü Uygulama, Proxy veya Tarayıcı
Ağ Aksiyonu	Gerçekleşen eylem türü. Sadece Blocked (Engellendi) değeri kullanılır.
Geometri	Bu olayın gerçekleştiği yer.
Oturum Açma Kullanıcısı	Cihazda oturum açmış kullanıcı.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Dell Data Guardian korumalı e-posta mesajlarıyla ilişkili eylemler hakkındaki olaylar.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

• Mac
• Windows
• Android
• iOS

Yük
E-posta mesajları	E-posta nesneleri dizisi
keyId	E-postayı korumak için kullanılan anahtar kimliği.
Subject (Konu)	E-postadaki konu satırı
Şunu yapmak için:	E-postanın gönderildiği e-posta adresleri.
Cc	E-postanın kopyalandığı e-posta adresleri.
Gizli	E-postanın kör kopyalandığı e-posta adresleri.
Kaynak	E-postayı gönderen kişinin e-posta adresi.
Ekler	E-postaya dahil edilen eklerin adları
İşlem	"Açıldı", "Oluşturuldu", "Yanıtladı", "Gönderildi"
Oturum Açma Kullanıcısı	Cihazda oturum açmış kullanıcı.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Dell Data Guardian korumalı Office belgeleriyle ilişkili eylemler hakkındaki olaylar.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

• Mac
• Windows
• Android
• iOS

Yük
Dosya	Dosya bilgileri. Encrypted (Şifrelendi), Decrypted (Şifresi Çözüldü) veya Deleted (Silindi).
clientType	Yüklenen istemci türü. External (Harici) veya Internal (Dahili)
İşlem	Created (Oluşturuldu), Accessed (Erişildi), Modified (Değiştirildi), Unprotected (Korumasız), AttemptAccess (Erişim Girişimi)
Slaction (Slaction)	New (Yeni), Open (Açık), Updated (Güncelleştirildi), Swept (Süpürüldü), Watermarked (Filigran Eklendi), BlockCopy (Kopyalama Engellendi), RepairedTampering (Kurcalama Onarıldı), DetectedTampering (Kurcalama Algılandı), Unprotected (Koruma Kaldırıldı), Deleted (Silindi), RequestAccess (Erişim İsteği), GeoBlocked (Coğrafi Konuma Göre Engellendi), RightClickProtected (Sağ Tıklama Koruması Uygulandı), PrintBlocked (Yazdırma Engellendi)
Geometri	Bu olayın gerçekleştiği yer.
Kaynak	Özet olayın başladığı zaman damgası.
Şunu yapmak için:	Etkinliğin sona erdiği özet olay için zaman damgası.
Oturum Açma Kullanıcısı	Cihazda oturum açmış kullanıcı.
Appinfo	Korumalı Office belgesini kullanan uygulama hakkında bilgiler.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Bilgisayar bir olay yayınladığında gerçekleşen olay.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

• Mac
• Windows
• Android
• iOS

Yük
İşlem	Bilgisayar ne yapıyor örnekleri - Oturum Açma, Oturumu Kapatma, PrintScreenBlocked, ProcessBlocked
Geometri	Bu olayın gerçekleştiği yer.
clientType	Yüklenen istemci türü. Harici veya dahili
Oturum Açma Kullanıcısı	Cihazda oturum açan kullanıcı.
processInfo	Süreç hakkında bilgi
Disposition	İşlem nasıl engellendi - Sonlandırıldı, Engellendi, Yok.
Ad	İşlemin adı.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Bir dosyanın ne zaman şifrelendiğini, şifresinin çözüldüğünü veya desteklenen bir bulut sağlayıcısından ne zaman silindiğini belirten Cloud Edition Events.

Olayı oluşturan aracı aşağıdakilerden biri veya daha fazlası olabilir:

• Mac
• Windows
• Android
• iOS

Yük
Dosya	Dosya bilgileri. Encrypted (Şifrelendi), Decrypted (Şifresi Çözüldü) veya Deleted (Silindi).
clientType	Yüklenen istemci türü. External (Harici) veya Internal (Dahili)
İşlem	Created (Oluşturuldu), Accessed (Erişildi), Modified (Değiştirildi), Deleted (Silindi)
Cloudname	Buluttaki dosyanın adı, yukarıdaki dosya etiketinde yer alan addan farklı olabilir
Xenaction	DG hizmetinin yapmaya çalıştığı işlemin açıklaması. Değerler: Encrypt (Şifrele), Decrypt (Şifresini Çöz), Deleted (Silindi).
Geometri	Bu olayın gerçekleştiği yer.
Oturum Açma Kullanıcısı	Cihazda oturum açmış kullanıcı.

Example:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}