Посібник із системного журналу та SIEM-журналу Dell Security Management Server

На сервері 9.2 була впроваджена можливість зв'язку з хмарою Advanced Threat Prevention, що дозволило налаштувати передачу даних Advanced Threat Event в SIEM-додаток.

Щоб налаштувати ці дані в веб-інтерфейсі Dell Security Management Server або Dell Security Management Server Virtual, перейдіть до розділу Populations >Enterprise >Advanced Threats (ця вкладка відображається, лише якщо розширене запобігання загрозам було ввімкнено в завданні керування службамикерування).>>

На сторінці «Параметри» є прапорець для Syslog/SIEM , який дозволяє нам налаштувати, куди надсилаються дані. Ці дані надходять із серверів розширеного запобігання загрозам, які розміщені в Amazon Web Services.

Якщо інтеграція системного журналу розширеного запобігання загрозам не може успішно доставити повідомлення системного журналу на ваш сервер, будь-якому адміністратору з підтвердженою адресою електронної пошти в організації надсилається сповіщення електронною поштою, яке попереджає їх про проблему системного журналу.

Якщо проблему вирішено до завершення 20-хвилинного періоду часу, повідомлення системного журналу продовжують доставлятися. Якщо проблему вирішено через 20 хвилин, адміністратор повинен знову ввімкнути обмін повідомленнями системного журналу.

Ось приклад конфігурації зовнішнього повністю кваліфікованого доменного імені (FQDN) extsiem.domain.org через порт 5514. Ця конфігурація припускає, що extsiem.domain.com має зовнішній запис DNS, який вирішується на сервер у середовищі, де запущено програму SIEM або Syslog, а порт 5514 було перенаправлено зі шлюзу середовища до цільової програми SIEM або Syslog.

Малюнок 1: (Лише англійською мовою) Консоль Dell Data Security

Події, що надходять через цю функцію, брендуються так, як вони надходять від нашого постачальника, Cylance.

Інформація про IP-адресу та ім'я хоста для брандмауера та доступу

SaaS for Advanced Threat Prevention має кілька IP-адрес для кожного регіону. Це уможливлює розширення без переривання будь-якої служби системного журналу. Під час налаштування правил дозвольте всі IP-адреси, які залежать від вашого регіону. Логи з джерела Cylance з одного з цих IP можуть змінюватися випадковим чином.

США (my.cylance.com та my-vs2.cylance.com)

52.2.154.63
52.20.244.157 52.71.59.248
52.72.144.44
54.88.241.49

Австралія (my-au.cylance.com)

52.63.15.218
52.65.4.232

ЄС (my-vs0-euc1.cylance.com та my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server і Dell Security Management Server Virtual представили можливість надсилання подій, отриманих від агентів, у версії 9.7. Сюди входять необроблені нефільтровані події з Dell Endpoint Security Suite Enterprise, а також події з Dell Secure Lifecycle і Dell Data Guardian.

Конфігурація сервера

Сервер керування безпекою можна настроїти на надсилання даних про події агента в розділі керування>службами > керування. Ці дані можна експортувати до локального файлу або системного журналу. Тут є два варіанти: Експорт до локального файлу та експорт до системного журналу

Малюнок 2: (Лише англійською мовою) Управління подіями

Експорт до локального файлу, оновлює файл audit-export.log так, щоб універсальний пересилач використовував його. Розташування цього файлу за замовчуванням — C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Цей файл оновлюється кожні дві години даними. Цей файл може бути забраний і використаний експедитором. Для отримання додаткової інформації про експедиторів перегляньте конкретну програму Syslog або SIEM, яку ви використовуєте для споживання цих даних, оскільки пересилачі відрізняються залежно від програми.

Малюнок 3: (Лише англійською мовою) Експорт до локального файлу

Експорт до системного журналу дозволяє здійснювати пряме підключення до внутрішнього сервера SIEM або Syslog у середовищі. Ці журнали відформатовані в простому форматі, заснованому на RFC-3164 у зв'язці json. Ці дані надходять із сервера керування безпекою Dell і надсилаються безпосередньо на сервер SIEM або Syslog. Ці дані збираються та надсилаються кожні дві години за допомогою завдання.

Малюнок 4: (Лише англійською мовою) Експорт до системного журналу

Дані подій Dell Endpoint Security Suite Enterprise, які надсилаються, перелічені вище. Як правило, SaaS надсилає ці дані, дозволяючи Dell Security Management Server мати можливість збирати ці дані від агентів, коли вони реєструються з інвентаризацією, і пересилати їх у налаштовану програму SIEM або Syslog.

Дані про події агента містять як раніше згадані дані про події Dell Endpoint Security Suite Enterprise, так і дані Dell Secure Lifecycle і Dell Data Guardian. Ці дані надходять і в події.

Контроль додатків

Цей параметр видимий лише користувачам, у яких увімкнено функцію «Керування програмами». Події «Керування програмами» відображають дії, що відбуваються, коли пристрій перебуває в режимі керування програмами. Вибір цього параметра надсилає повідомлення на сервер Syslog щоразу, коли робиться спроба змінити, скопіювати виконуваний файл або коли робиться спроба запустити файл із пристрою чи мережного розташування.

Малюнок 5: (Лише англійською мовою) Приклад повідомлення для заборони зміни файлу PE

Малюнок 6: (Лише англійською мовою) Приклад повідомлення про заборону виконання із зовнішнього диска

Журнал аудиту

Вибір цієї опції відправляє журнал аудиту дій користувача, які виконуються в SaaS, на сервер Syslog. Події журналу аудиту відображаються на екрані журналу аудиту, навіть якщо цей параметр знято.

Малюнок 7: (Лише англійською мовою) Приклад повідомлення для пересилання журналу аудиту до системного журналу

Пристрої

Вибір цього параметра надсилає події пристрою на сервер Syslog.

• Під час реєстрації нового пристрою ви отримуєте два повідомлення про цю подію: Реєстрація та системаБезпека

Малюнок 8: (Лише англійською мовою) Приклад повідомлення для події, зареєстрованої на пристрої

• Коли пристрій вилучено

Малюнок 9: (Лише англійською мовою) Приклад повідомлення для видаленої події

• Коли змінилися правила, зона, ім'я або рівень журналювання пристрою.

Малюнок 10: (Лише англійською мовою) Приклад повідомлення для оновленої події пристрою

Захист пам'яті

Вибір цього параметра реєструє будь-які спроби експлойтів пам'яті, які можуть вважатися атакою з будь-якого пристрою клієнта на сервер Syslog. Існує чотири типи дій експлойтів пам'яті:

• Ніхто: Дозволено, оскільки для цього порушення не визначено правила.
• Дозволило: Дозволено політикою
• Заблоковано: Заблоковано за політикою
• Припинено: Процес припинено.

Малюнок 11: (Лише англійською мовою) Приклад повідомлення події захисту пам'яті

Керування сценарієм

Вибір цього параметра записує на сервер Syslog будь-які нещодавно знайдені сценарії, які засуджує Advanced Threat Prevention (Розширене запобігання загрозам).

Події Syslog Script Control містять такі властивості:

• Оповіщення: Скрипт дозволено до виконання. Подія керування сценарієм надсилається до консолі.
• Блокувати: Скрипт заборонено виконувати. Подія керування сценарієм надсилається до консолі.

Періодичність звітування

Під час першого виявлення події Script Control надсилається повідомлення за допомогою системного журналу з повною інформацією про подію. Кожна наступна подія, яка вважається дублікатом, не надсилається за допомогою syslog до кінця дня (на основі часу сервера SaaS).

Якщо лічильник певної події Script Control більший за одиницю, за допомогою системного журналу надсилається подія з підрахунком усіх повторюваних подій, що відбулися цього дня. Якщо лічильник дорівнює одиниці, додаткове повідомлення за допомогою syslog не надсилається.

Щоб визначити, чи є подія Script Control дублікатом, використовується така логіка:

• Подивіться на ключову інформацію: Пристрій, хеш, ім'я користувача, блокування та сповіщення
• Для першої події, отриманої за день, встановіть значення лічильника на 1. Є окремі лічильники для Block і Alert.
• Всі наступні події з одним і тим же ключем збільшують лічильник
• Лічильник обнуляється кожен календарний день, відповідно до часу сервера SaaS.

Малюнок 12: (Лише англійською мовою) Приклад повідомлення скриптового керування

Загрози

Вибір цього параметра реєструє будь-які нещодавно знайдені загрози або зміни, що спостерігаються для будь-якої існуючої загрози, на сервері Syslog. Зміни включають видалення, карантин, відмову або запуск загрози.

Існує п'ять типів загрозливих подій:

• threat_found: Виявлено нову загрозу в статусі «Небезпечно».
• threat_removed: Існуючу загрозу було усунуто.
• threat_quarantined: У статусі «Карантин» виявлено нову загрозу.
• threat_waived: У статусі Waived виявлено нову загрозу.
• threat_changed: Змінилася поведінка існуючої загрози (приклади: Оцінка, статус карантину, статус бігу)

Існує шість типів класифікації загроз:

• Файл недоступний: Через обмеження завантаження (наприклад, файл завеликий для завантаження) файл недоступний для аналізу.
• Шкідливе програмне забезпечення: Файл класифікується як шкідливе програмне забезпечення.
• Можливий PUP: Файл може бути потенційно небажаною програмою (PUP).
• ЦУЦЕНЯ: Файл вважається потенційно небажаною програмою (PUP).
• Довірених: Файл вважається надійним.
• Не класифіковано: АТП не аналізувала цей файл.

Малюнок 13: (Лише англійською мовою) Приклад повідомлення про подію загрози

Класифікація загроз

Щодня розширена профілактика загроз Dell класифікує сотні загроз як зловмисне програмне забезпечення або потенційно небажані програми (PUP).

Вибравши цю опцію, ви отримуватимете сповіщення про такі події.

Малюнок 14: (Лише англійською мовою) Приклад повідомлення про класифікацію загроз

Керування інформацією та подіями безпеки (SIEM)

Визначає тип сервера Syslog або SIEM, на який мають надсилатися події.

Протокол

Це має відповідати тому, що ви налаштували на сервері Syslog. Можливі варіанти: UDP або TCP. За замовчуванням використовується протокол TCP, і ми заохочуємо клієнтів використовувати його. UDP не рекомендується, оскільки він не гарантує доставку повідомлень.

TLS/SSL

Доступно лише в тому випадку, якщо вказаним протоколом є TCP. TLS/SSL гарантує, що повідомлення Syslog буде зашифровано під час передавання на сервер Syslog. Ми рекомендуємо клієнтам вибрати цей варіант. Переконайтеся, що ваш сервер Syslog налаштований на прослуховування повідомлень TLS/SSL.

IP/домен

Вказує IP-адресу або повне доменне ім'я сервера Syslog, який налаштував клієнт. Проконсультуйтеся з експертами з внутрішньої мережі, щоб переконатися, що параметри брандмауера та домену налаштовані належним чином.

Порт

Вказує номер порту на комп'ютерах, на яких сервер Syslog прослуховує повідомлення. Це має бути число від 1 до 65535. Типовими значеннями є: 512 для UDP, 1235 або 1468 для TCP і 6514 для захищеного TCP (наприклад: TCP з увімкненим TLS/SSL)

Тяжкості

Визначає серйозність повідомлень, які мають з'являтися на сервері Syslog (це суб'єктивне поле, і ви можете встановити його на будь-який рівень). Значення серйозності не змінює повідомлення, які пересилаються до Syslog.

Об'єкт

Визначає, який тип програми реєструє повідомлення. Типовим значенням є Внутрішнє (або Syslog). Використовується для категоризації повідомлень, коли сервер Syslog їх отримує.

Спеціальний токен

Деяким службам керування журналами, як-от SumoLogic, може знадобитися спеціальний токен, який входить до повідомлень системного журналу, щоб допомогти визначити, куди ці повідомлення мають надходити. Кастомний токен надає вам послугу керування журналами.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

Тестування з'єднання

Натисніть «Перевірити підключення», щоб перевірити параметри IP/домену, порту та протоколу. Якщо введено коректні значення, відображається підтвердження успіху.

Малюнок 15: (Лише англійською мовою) Успішне підключення банера

На консолі сервера Syslog ви отримаєте наступне повідомлення про тестове підключення:

Малюнок 16: (Лише англійською мовою) Повідомлення про тестове з'єднання

sl_file_upload

Подія, яка повідомляє адміністратору про те, що файл завантажено до постачальника хмарних послуг.

Агентом, який генерує подію, може бути один або кілька з наведених нижче компонентів.

• Комп'ютер Mac
• Вікна
• Андроїд
• IOS

Вантажопідйомність
Постачальника	Процес, який виконує завантаження.
Файл	Інформація про файл, який завантажується, включає, ідентифікатор ключа, шлях, ім'я файлу та розмір.
Геометрія	Локація, де відбулася ця подія.
Loggedinuser	Користувач, який увійшов у систему.

Приклад:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Подія, яка відбувається, коли Користувач змінює політику папок через консоль керування папками.

Агентом, який генерує подію, може бути один або кілька з наведених нижче компонентів.

• Комп'ютер Mac
• Вікна
• Андроїд
• IOS

Вантажопідйомність
Шлях до папки	Папка, в якій було змінено рівень захисту
Захист папок	Рядок, який визначає рівень захисту: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Геометрія	Локація, де відбулася ця подія.
Loggedinuser	Користувач, який увійшов у систему.

Приклад:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Подія, яка повідомляє адміністратору про блокування доступу до постачальника хмарних послуг.

Агентом, який генерує подію, може бути один або кілька з наведених нижче компонентів.

• Комп'ютер Mac
• Вікна
• Андроїд
• IOS

Вантажопідйомність
Адреса	Процес, який виконує завантаження.
Процес	Інформація про файл, який завантажується, включає, ідентифікатор ключа, шлях, ім'я файлу та розмір.
Застосування	Тип процесу, який намагається отримати доступ до заблокованого постачальника хмарних послуг. Додаток, проксі-сервер або браузер
Мережева дія	Тип дії, що відбувається. (лише одне значення Заблоковано)
Геометрія	Локація, де відбулася ця подія.
Loggedinuser	Користувач, який увійшов у систему.

Приклад:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Події, пов'язані з діями, пов'язаними із захищеними повідомленнями електронної пошти Dell Data Guardian.

Агентом, який генерує подію, може бути один або кілька з наведених нижче компонентів.

• Комп'ютер Mac
• Вікна
• Андроїд
• IOS

Вантажопідйомність
Повідомлення електронної пошти	Масив об'єктів електронної пошти
keyId	Ідентифікатор ключа, який використовується для захисту електронної пошти.
Суб'єкт	Тема листа
До	Адреси електронної пошти, на які було надіслано листа.
Куб.М.	Адреси електронної пошти, на які було скопійовано електронний лист.
Вср	Адреси електронної пошти, на які було наосліп скопійовано електронний лист.
Від	Адреса електронної пошти особи, яка надіслала листа.
Вкладення	Назви вкладень, доданих до електронного листа
Дія	"Відкрив", "Створив", "Відповів", "Надіслав"
Loggedinuser	Користувач, який увійшов у систему.

Приклад:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Події, які стосуються дій, пов'язаних із захищеними офісними документами Dell Data Guardian.

Агентом, який генерує подію, може бути один або кілька з наведених нижче компонентів.

• Комп'ютер Mac
• Вікна
• Андроїд
• IOS

Вантажопідйомність
Файл	Інформація про файл зашифровано, розшифровано або видалено.
clientType	Тип клієнта, який було встановлено. Зовнішнє або внутрішнє
Дія	Створено, доступно, змінено, незахищено, AttemptAccess
Slaction	Новий, Відкритий, Оновлений, Підмітаючий, Водяний знак, BlockCopy, RepairedTampering, DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Геометрія	Локація, де відбулася ця подія.
Від	Позначка часу підсумкової події, коли вона почалася.
До	Позначка часу підсумкової події, коли подія завершилася.
Loggedinuser	Користувач, який увійшов у систему.
Appinfo	Відомості про програму, яка використовує захищений Office Document

Приклад:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Подія, яка відбувається, коли комп'ютер видає подію.

Агентом, який генерує подію, може бути один або кілька з наведених нижче компонентів.

• Комп'ютер Mac
• Вікна
• Андроїд
• IOS

Вантажопідйомність
Дія	Що робить комп'ютер приклади - Login, Logout, PrintScreenBlocked, ProcessBlocked
Геометрія	Локація, де відбулася ця подія.
clientType	Тип клієнта, який було встановлено. Зовнішнє або внутрішнє
Loggedinuser	Користувач, який увійшов на пристрій.
processInfo	Інформація про процес
Розпорядження	Як був заблокований процес - Припинено, Заблоковано, Немає.
Ім'я	Найменування процесу

Приклад:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Події Cloud Edition, які визначають, коли файл шифрується, розшифровується або видаляється підтримуваним постачальником хмарних послуг.

Агентом, який генерує подію, може бути один або кілька з наведених нижче компонентів.

• Комп'ютер Mac
• Вікна
• Андроїд
• IOS

Вантажопідйомність
Файл	Інформація про файл зашифровано, розшифровано або видалено.
clientType	Тип клієнта, який було встановлено. Зовнішнє або внутрішнє
Дія	Створено, доступно, змінено, видалено
Ім'я хмари	Ім'я файлу в хмарі може відрізнятися від назви файлового тегу вище
Ксенакція	Опис того, що намагається зробити сервіс DG. Значення - Зашифрувати, Розшифрувати, Видалити.
Геометрія	Локація, де відбулася ця подія.
Loggedinuser	Користувач, який увійшов у систему.

Приклад:

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}