Dell Security Management Server 系統記錄與 SIEM 指南

在 9.2 伺服器中，系統已導入與進階威脅預防雲端通訊的能力，可設定將進階威脅事件資料傳送至 SIEM 應用程式。

若要在 Dell Security Management Server 或 Dell Security Management Server Virtual 的 WebUI 內設定此資料，請前往填入 >企業 >進階威脅 （只有透過管理>服務管理工作啟用進階威脅預防時，此標籤才會顯示） >選項。

「選項」頁面有一個 系統記錄/SIEM 核取方塊，可讓我們設定資料的傳送位置。此資料來自 Amazon Web Services 內託管的進階威脅預防伺服器。

如果進階威脅預防系統記錄整合無法成功將系統記錄訊息傳送至您的伺服器，則會針對組織中已確認電子郵件地址的任何系統管理員傳送電子郵件通知，並針對系統記錄問題發出警示。

如果問題在 20 分鐘時間週期結束內解決，則會繼續傳送系統記錄訊息。如果問題在 20 分鐘時間週期結束後才解決，系統管理員必須重新啟用系統記錄訊息。

下面是一個通過埠 5514 的 extsiem.domain.org 的外部完整功能變數名稱 （FQDN） 的配置範例。此組態假定 extsiem.domain.com 具有可解析執行 SIEM 或系統記錄應用程式環境內伺服器的外部 DNS 項目，且連接埠 5514 已從環境閘道轉送至目的地 SIEM 或系統記錄應用程式。

圖 1：(僅限英文版) Dell Data Security 主控台

透過此功能傳來的事件會標示為來自我們的廠商 Cylance。

用於防火牆和存取用途的 IP 和主機名稱資訊

進階威脅預防的 SaaS 為每個地區提供多個 IP 位址。這可讓您在不中斷任何系統記錄服務的情況下進行擴充。設定規則時，請允許所有符合您所在地區的 IP 位址。來自這些 IP 的 Cylance 記錄可隨機變更。

美國 (my.cylance.com 與 my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

澳洲 (my-au.cylance.com)

52.63.15.218
52.65.4.232

歐盟 (my-vs0-euc1.cylance.com 和 my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server 和 Dell Security Management Server Virtual 在 9.7 導入了傳送從代理程式接收之資料的功能。其中包括來自 Dell Endpoint Security Suite Enterprise 的原始未篩選事件，以及來自 Dell Secure Lifecycle 和 Dell Data Guardian 的事件。

伺服器組態

您可以設定 Security Management Server，在 管理>服務管理 >事件管理中傳送代理程式事件資料。此資料可匯出至本機檔案或系統記錄。您有以下有兩個選項：匯出至本機檔案，以及 匯出至系統記錄

圖 2：(僅限英文版) 事件管理

匯出到本地檔，更新audit-export.log檔，以便通用轉發器使用它。檔案的預設位置為 C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\。

此檔案每兩小時會使用資料更新一次。此檔案可由轉送程式擷取並使用。如需轉送程式的詳細資訊，請參閱您用於接收此資料的特定系統記錄或 SIEM 應用程式，因為轉送程式會根據應用程式而有所不同。

圖 3：(僅限英文版) 匯出至本機檔案

匯出至系統記錄 可讓您直接連線至環境中的內部 SIEM 或系統記錄伺服器。這些記錄的格式簡單，以 RFC-3164 封裝於 json 套裝內。此資料來自 Dell Security Management Server，並直接傳送至 SIEM 或系統記錄伺服器。此資料會使用「工作」，每兩小時收集並傳送一次。

圖 4：(僅限英文版) 匯出至系統記錄

在上方會列出傳送的 Dell Endpoint Security Suite Enterprise 事件資料。一般而言，SaaS 會傳送此資料，讓 Dell Security Management Server 能夠在代理程式存回清查時收集此資料，並將其轉送至設定的 SIEM 或系統記錄應用程式。

代理程式事件資料包含先前提到的 Dell Endpoint Security Suite Enterprise 事件資料，以及 Dell Secure Lifecycle 和 Dell Data Guardian 資料。此資料也會以事件表示。

應用程式控制

只有啟用「應用程式控制」功能的使用者才會看到此選項。應用程式控制事件代表裝置處於「應用程式控制」模式時所發生的動作。選取此選項會在嘗試修改、複製可執行檔，或嘗試從裝置或網路位置執行檔案時，傳送訊息至系統記錄伺服器。

圖 5：(僅限英文版) 拒絕 PE 檔案變更範例訊息

圖 6：（僅英文）拒絕從外部磁碟機執行範例訊息

稽核記錄

選取此選項會將 SaaS 中執行的使用者動作稽核記錄傳送至系統記錄伺服器。即使未選取此選項，稽核記錄事件亦會出現在「稽核記錄」畫面中。

圖 7：(僅限英文版) 將稽核記錄轉送至系統記錄範例訊息

裝置

選取此選項可將裝置事件傳送至系統記錄伺服器。

• 當註冊新裝置時，您會收到兩則關於此事件的訊息：Registration 與 SystemSecurity

圖 8：(僅限英文版) 裝置註冊事件範例訊息

• 移除裝置時

圖 9：(僅限英文版) 移除裝置事件範例訊息

• 當裝置的原則、區域、名稱或記錄層級遭到變更時。

圖 10：(僅限英文版) 裝置更新事件範例訊息

記憶體保護

選取此選項時，會將任何可能視為租戶裝置攻擊的記憶體利用嘗試，記錄到系統記錄伺服器。記憶體利用動作有四種類型：

• 無：允許，因為並未針對此違規定義任何原則。
• 允許：由原則允許
• 封鎖：由原則封鎖執行
• 終止：程序已終止。

圖 11：(僅限英文版) 記憶體保護事件範例訊息

指令檔控制

選取此選項會將所有新找到的指令檔記錄至系統記錄伺服器，進階威脅預防判定該判定有罪。

系統記錄指令檔控制事件包含下列屬性：

• 警示：允許執行指令檔。會將指令檔控制事件傳送至主控台。
• 封鎖：不允許執行指令檔。會將指令檔控制事件傳送至主控台。

報告頻率

第一次偵測到指令檔控制事件時，會使用系統記錄傳送訊息，並包含完整事件資訊。根據 SaaS 的伺服器時間，同一天的重複後續事件不會使用系統記錄傳送。

如果特定指令檔控制事件的計數器大於一個，則會使用系統記錄傳送事件，並包含當天發生的所有重複事件計數。如果計數器等於一個，則不會使用系統記錄傳送其他訊息。

判斷指令檔控制事件是否為重複時會使用下列邏輯：

• 查看重要資訊：裝置、雜湊、使用者名稱、封鎖和警示
• 針對一天中收到的第一個事件，將計數器值設為 1。封鎖和警示具有個別的計數器。
• 具有相同鍵的所有後續事件將遞增計數器
• 計數器會根據 SaaS 的伺服器時間，在每個日曆日重設。

圖 12：(僅限英文版) 指令檔控制範例訊息

威脅

選取此選項會將任何新發現的威脅，或針對現有威脅的變更記錄至系統記錄伺服器。變更包括威脅的移除、隔離、棄權或執行。

威脅事件有五種類型：

• threat_found：在「不安全」狀態中發現的新威脅。
• threat_removed：已移除的現有威脅。
• threat_quarantined：在隔離狀態中找到的新威脅。
• threat_waived：在棄權狀態中找到的新威脅。
• threat_changed：現有威脅的行為已變更 (例如：分數、隔離狀態、執行狀態）

有六種威脅分類類型：

• 無法使用檔案：由於上傳限制 （例如檔案過大而無法上傳），檔案無法進行分析。
• 惡意軟體：此檔案歸類為惡意軟體。
• 可能的 PUP：檔案是可能不需要的程式 (PUP)。
• PUP：檔案被視為可能不需要的程式 (PUP)。
• 受信任：此檔案被視為受信任的檔案。
• 未分類：ATP 尚未分析此檔案。

圖 13：(僅限英文版) 威脅事件範例訊息

威脅分類

Dell 的 Advanced Threat Prevention 每天都會觀察數以百計的威脅，並分類其是否為惡意軟體，或是可能不需要的程式 (PUP)。

選取此選項後，系統會在發生這些事件時通知您。

圖 14：(僅限英文版) 威脅分類範例訊息

安全性資訊和事件管理 (SIEM)

指定要傳送事件的系統記錄伺服器或 SIEM 類型。

通訊協定

這必須與您在系統記錄伺服器上設定的內容相符。您可以選擇 UDP 或 TCP。預設為 TCP，我們鼓勵客戶使用此選項。不建議使用 UDP，因為它不能保證訊息傳送。

TLS/SSL

只有在通訊協定指定為 TCP 時才可使用。TLS/SSL 可確保系統記錄訊息在傳輸至系統記錄伺服器時經過加密。我們鼓勵客戶選擇此選項。請確定您的系統記錄伺服器已設定為接聽 TLS/SSL 訊息。

IP/網域

指定客戶設定之系統記錄伺服器的 IP 位址或完整合格網域名稱。請諮詢您的內部網路專家，確保防火牆和網域設定已正確設定。

連接埠

指定系統記錄伺服器接聽訊息之機器上的連接埠號碼。這必須為介於 1 到 65535 之間的數字。標準值包括：UDP 為 512、TCP 為 1235 或 1468，以及 6514 用於安全 TCP （例如：已啟用 TLS/SSL 的 TCP）

重要性

指定應出現在系統記錄伺服器中的訊息嚴重程度 （這是主觀欄位，您可以將其設定為任何您想要的層級）。嚴重性的值不會變更轉送至系統記錄的訊息。

設施

指定記錄訊息的應用程式類型。預設值為「內部」(或系統記錄)。這用於在系統記錄伺服器接收訊息時進行分類。

自訂權杖

如 SumoLogic 等某些記錄管理服務可能需要包含在系統記錄訊息中的自訂權杖，以協助識別這些訊息應該前往何處。自訂權杖可為您提供記錄管理服務。

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==

測試連線

按一下「測試連線」以測試 IP/網域、連接埠和通訊協定設定。如果輸入的值有效，便會顯示成功確認訊息。

圖 15：(僅限英文版) 連線成功橫幅

在系統記錄伺服器主控台上，您會收到下列測試連線訊息：

圖 16：(僅限英文版) 測試連線訊息

sl_file_upload

有檔案上傳至雲端提供商時告知管理員的事件。

產生事件的代理程式可能是下列一或多項：

• Mac
• Windows
• Android
• IOS

裝載
提供者	執行上傳的進程。
檔案	有關要上傳的檔的資訊包括keyid、路徑、檔名和大小。
幾何形狀	此事件發生的地點。
Loggedinuser	登入裝置的使用者。

範例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

使用者透過資料夾管理主控台變更資料夾原則時，所發生的事件。

產生事件的代理程式可能是下列一或多項：

• Mac
• Windows
• Android
• IOS

裝載
資料夾路徑	保護等級遭到變更的資料夾
資料夾保護	定義保護等級的字串：UsePolicy、ForceAllow、ForceProtect、PreExisting_ForceAllow、PreExisting_ForceAllow_Confirmed
幾何形狀	此事件發生的地點。
Loggedinuser	登入裝置的使用者。

範例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

當存取雲端提供商遭到鎖定時，告知系統管理員的事件。

產生事件的代理程式可能是下列一或多項：

• Mac
• Windows
• Android
• IOS

裝載
地址	執行上傳的進程。
程序	有關要上傳的檔的資訊包括keyid、路徑、檔名和大小。
應用程式	嘗試存取封鎖雲端提供商的程式類型。應用程式、代理或瀏覽器
網動	發生的行動類型。(僅有一個值「Blocked」)
幾何形狀	此事件發生的地點。
Loggedinuser	登入裝置的使用者。

範例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

處理與 Dell Data Guardian 受保護電子郵件訊息相關之行動的事件。

產生事件的代理程式可能是下列一或多項：

• Mac
• Windows
• Android
• IOS

裝載
Email messages	電子郵件物件陣列
keyId	用來保護電子郵件的金鑰 ID。
主旨	電子郵件主旨行
TB	電子郵件傳送到的電子郵件位址。
cc	電子郵件複製到的電子郵件位址。
密件抄送	電子郵件被盲人複製到的電子郵件位址。
從	發送電子郵件的人員的電子郵件位址。
附件	電子郵件附件的名稱
動作	「Opened」、「Created」、「Responded」、「Sent」
Loggedinuser	登入裝置的使用者。

範例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

處理與 Dell Data Guardian 受保護 office 文件相關之行動的事件。

產生事件的代理程式可能是下列一或多項：

• Mac
• Windows
• Android
• IOS

裝載
檔案	已加密、解密或已刪除等檔案資訊。
clientType	已安裝的用戶端類型。外部或內部
動作	Created、Accessed、Modified、Unprotected、AttemptAccess
斯萊特	New、Open、Updated、Swept、Watermarked、BlockCopy、RepairedTampering、 DetectedTampering、Unprotected、Deleted、RequestAccess、GeoBlocked、RightClickProtected、PrintBlocked
幾何形狀	此事件發生的地點。
從	摘要事件開始時的時間戳。
TB	事件結束時摘要事件的時間戳記。
Loggedinuser	登入裝置的使用者。
應用資訊	使用受保護 Office 文件的應用程式資訊

範例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

電腦發出事件時所發生的事件。

產生事件的代理程式可能是下列一或多項：

• Mac
• Windows
• Android
• IOS

裝載
動作	電腦正在執行的動作範例 - 登入、登出、PrintScreenBlocked、ProcessBlocked
幾何形狀	此事件發生的地點。
clientType	已安裝的用戶端類型。外部或內部
Loggedinuser	登入裝置的使用者。
processInfo	有關流程的資訊
處置	程序遭到封鎖的方式 - 已終止、已封鎖、無。
名稱	程式名稱

範例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

從支援的雲端提供商加密、解密或刪除檔案時所指定的 Cloud Edition 事件。

產生事件的代理程式可能是下列一或多項：

• Mac
• Windows
• Android
• IOS

裝載
檔案	已加密、解密或已刪除等檔案資訊。
clientType	已安裝的用戶端類型。外部或內部
動作	Created、Accessed、Modified、Deleted
雲端名稱	雲端中的檔案名稱可能與上方檔案標籤內的名稱不同
Xenaction	DG 服務嘗試執行的動作說明。值 - Encrypt、Decrypt、Deleted。
幾何形狀	此事件發生的地點。
Loggedinuser	登入裝置的使用者。

範例：

{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}