Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

Guida a Syslog e SIEM di Dell Security Management Server

Summary: Questo articolo descrive il processo di integrazione Security Information and Event Management.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Prodotti interessati:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Che cos'è un server o appliance SIEM (Security Information and Event Management)?

SIEM può importare dati ed eseguire regole o report basati sui dati. L'obiettivo è aggregare i dati da varie origini, identificare anomalie nei dati e intraprendere le azioni appropriate in base ai dati.

Quali opzioni è necessario inviare a un'applicazione SIEM o Syslog?

Dell Security Management Server e Dell Security Management Server Virtual offrono ciascuno due modi diversi per utilizzare i dati in un'applicazione SIEM o Syslog.

Nella versione 9.2 del server è stata introdotta la possibilità di comunicare con il cloud Advanced Threat Prevention, che consentiva di configurare l'invio di dati di eventi di minacce avanzate a un'applicazione SIEM.

Per configurare questi dati nell'interfaccia utente web di Dell Security Management Server o Dell Security Management Server Virtual, passare a Populations >Enterprise >Advanced Threats (questa scheda è visibile solo se Advanced Threat Prevention è stato abilitato tramite l'attività Management >Services Management). >

La pagina Options contiene una casella di controllo per Syslog/SIEM che consente di configurare la posizione in cui vengono inviati i dati. Questi dati provengono dai server Advanced Threat Prevention in hosting all'interno di Amazon Web Services.

Se l'integrazione Syslog di Advanced Threat Prevention non è in grado di distribuire i messaggi Syslog al server, viene inviata una notifica e-mail a qualsiasi amministratore con un indirizzo e-mail confermato nell'organizzazione, avvisandoli del problema con Syslog.

Se il problema viene risolto entro 20 minuti, i messaggi Syslog continuano a essere distribuiti. Se il problema viene risolto dopo 20 minuti, un amministratore deve riabilitare i messaggi Syslog.

Di seguito è riportato un esempio di configurazione: quella di un nome di dominio completo (FQDN) esterno di extsiem.domain.org sulla porta 5514. Questa configurazione presuppone che extsiem.domain.com disponga di una voce DNS esterna risolvibile nel server all'interno dell'ambiente che esegue l'applicazione SIEM o Syslog e che la porta 5514 sia stata inoltrata dal gateway dell'ambiente all'applicazione SIEM o Syslog di destinazione.

Console Dell Data Security
Figura 1. Dell Data Security Console (solo in inglese)

Gli eventi generati da questa funzionalità hanno il marchio Cylance, un nostro fornitore.

Informazioni su IP e nome host per firewall e per scopi di accesso

SaaS for Advanced Threat Prevention dispone di diversi indirizzi IP per ogni area geografica. Ciò consente l'espansione senza interrompere alcun servizio syslog. Consentire tutti gli indirizzi IP basati sulla propria area durante la configurazione delle regole. I registri con origine Cylance da uno di questi IP possono cambiare in modo casuale.

Nota: Questi indirizzi IP devono rimanere statici; tuttavia, è possibile che Cylance aggiorni questo elenco in futuro. Le modifiche vengono comunicate mediante l'invio di un'e-mail agli amministratori della console Cylance. È responsabilità dell'amministratore di rete aggiornare le proprie regole in risposta alle modifiche.

Stati Uniti (my.cylance.com and my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

Australia (my-au.cylance.com)

52.63.15.218
52.65.4.232

Unione Europea (my-vs0-euc1.cylance.com and my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Dell Security Management Server e Dell Security Management Server Virtual hanno introdotto la possibilità di inviare eventi ricevuti dagli agent nella versione 9.7. Sono inclusi gli eventi non elaborati e non filtrati di Dell Endpoint Security Suite Enterprise e gli eventi di Dell Secure Lifecycle e Dell Data Guardian.

Configurazione server

È possibile configurare Security Management Server per l'invio dei dati degli eventi dell'agent all'interno di Management>Services Management >Event Management. Questi dati possono essere esportati in un file locale o in Syslog. Qui sono disponibili due opzioni: Esporta in file locale ed esporta in Syslog

Gestione degli eventi
Figura 2. Events Management (solo in inglese)

Esporta in file locale, aggiorna il file audit-export.log in modo che un server di inoltro universale lo utilizzi. Il percorso predefinito di questo file è C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Questo file viene aggiornato ogni due ore con i dati. Questo file può essere prelevato e utilizzato da un server d'inoltro. Per ulteriori informazioni sui server d'inoltro, vedere l'applicazione Syslog o SIEM specifica scelta per utilizzare questi dati, in quanto i server d'inoltro differiscono in base all'applicazione.

Esporta in file locale
Figura 3. Export to Local File (solo in inglese)

Esporta in Syslog consente la connessione diretta a un server SIEM o Syslog interno all'interno dell'ambiente. Questi registri sono formattati in un formato semplice basato su RFC-3164 in un pacchetto json. Questi dati provengono da Dell Security Management Server e vengono inviati direttamente al server SIEM o Syslog. Questi dati vengono raccolti e inviati ogni due ore utilizzando un lavoro.

Esporta in Syslog
Figura 4. Export to Syslog (solo in inglese)

I dati degli eventi di Dell Endpoint Security Suite Enterprise inviati sono elencati in precedenza. In genere, SaaS invia questi dati, consentendo a Dell Security Management Server di raccogliere questi dati dagli agenti mentre eseguono il check-in con gli inventari e li inoltrano all'applicazione SIEM o Syslog configurata.

I dati degli eventi dell'agent contengono sia i dati degli eventi Dell Endpoint Security Suite Enterprise menzionati in precedenza, sia i dati di Dell Secure Lifecycle e Dell Data Guardian. Questi dati sono inclusi anche negli eventi.

Application Control

Questa opzione è visibile solo agli utenti con la funzione Application Control abilitata. Gli eventi Application Control rappresentano azioni che si verificano quando il dispositivo è in modalità Application Control. Se si seleziona questa opzione, viene inviato un messaggio al server Syslog ogni volta che si tenta di modificare o copiare un file eseguibile o quando si tenta di eseguire un file da un dispositivo o da un percorso di rete.

Messaggio di esempio per negare la modifica del file PE
Figura 5. Messaggio di esempio per modifica del file PE negata (solo in inglese)

Messaggio di esempio per l'esecuzione negata da un unità esterna
Figura 6. (solo in inglese) Messaggio di esempio per l'esecuzione negata da un unità esterna

Audit Log

Se si seleziona questa opzione, viene inviato l'audit log delle azioni dell'utente eseguite in SaaS al server Syslog. Gli eventi Audit Log vengono visualizzati nella schermata Audit Log, anche quando questa opzione è deselezionata.

Messaggio di esempio per l'inoltro dell'audit log a Syslog
Figura 7. Messaggio di esempio per audit log inoltrato a Syslog (solo in inglese)

Devices

Se si seleziona questa opzione, gli eventi dei dispositivi vengono inviati al server Syslog.

  • Quando viene registrato un nuovo dispositivo, vengono visualizzati due messaggi per questo evento: Registration e SystemSecurity
Nota: i messaggi SystemSecurity vengono generati anche quando un utente effettua l'accesso a un dispositivo. Questo messaggio può verificarsi in momenti diversi, non solo durante la registrazione.

Messaggio di esempio per l'evento registrato del dispositivo
Figura 8. Messaggio di esempio per evento di dispositivo registrato (solo in inglese)

  • Quando un dispositivo viene rimosso

Messaggio di esempio per l'evento dispositivo rimosso
Figura 9. Messaggio di esempio per evento di dispositivo rimosso (solo in inglese)

  • In caso di modifica di livello di registrazione, policy, zona o nome di un dispositivo.

Messaggio di esempio per l'evento di aggiornamento del dispositivo
Figura 10. Messaggio di esempio per evento di dispositivo aggiornato (solo in inglese)

Memory Protection

La selezione di questa opzione registra eventuali tentativi di exploit della memoria che potrebbero essere considerati come un attacco da uno qualsiasi dei dispositivi del tenant al server Syslog. Esistono quattro tipi di azioni di exploit della memoria:

  • None: consentito poiché non è stata definita alcuna policy per questa violazione.
  • Allowed: consentito dalla policy.
  • Blocked: bloccato dall'esecuzione dalla policy.
  • Terminated: Il processo è stato terminato.

Messaggio di esempio di evento di protezione della memoria
Figura 11. Messaggio di esempio per evento di protezione della memoria (solo in inglese)

Controllo mediante script

Selezionando questa opzione, tutti gli script appena trovati vengono registrati nel server Syslog giudicati condannati da Advanced Threat Prevention.

Gli eventi Script Control di Syslog contengono le seguenti proprietà:

  • avviso l'esecuzione dello script è consentita. Viene inviato un evento Script Control alla console.
  • Block: l'esecuzione dello script non è consentita. Viene inviato un evento Script Control alla console.

Frequenza di reporting

Al primo rilevamento di un evento Script Control viene inviato un messaggio mediante Syslog con le informazioni complete relative all'evento. Ogni evento successivo considerato duplicato non viene inviato mediante Syslog per il resto del giorno (in base all'ora del server SaaS).

Se il contatore di uno specifico evento Script Control è maggiore di uno, viene inviato un evento mediante Syslog con il numero di tutti gli eventi duplicati scaduti in quel giorno. Se il contatore corrisponde a uno, non viene inviato alcun messaggio aggiuntivo mediante Syslog.

Per determinare se un evento Script Control è un duplicato, si utilizza la seguente logica:

  • Osservare le informazioni sulla chiave: Device, Hash, Username, Block e Alert.
  • Per il primo evento ricevuto in un giorno, impostare un valore di contatore su 1. Sono disponibili contatori distinti per Block e Alert.
  • Tutti gli eventi successivi con la stessa chiave incrementano il contatore
  • Il contatore viene reimpostato ogni giorno di calendario, in base all'ora del server SaaS.
Nota: se lo script A viene eseguito su un dispositivo 1 alle 23:59 del giorno 20-09-2016 e poi di nuovo alle 00:05 e 00:15 del giorno 21-09-2016, si ottiene quanto segue:
  • Un messaggio syslog viene inviato il 20-09-2016 per l'evento Controllo script per quel giorno.
  • Un messaggio Syslog viene inviato il giorno 21-09-2016 per i due eventi Script Control duplicati del giorno stesso.
Nota: il giorno 21-09-2016 viene inviato un solo messaggio Syslog, poiché gli eventi sono duplicati dell'evento che si è verificato il giorno 20-09-2016.

Esempio di messaggio di controllo script
Figura 12. Messaggio di esempio di Script Control (solo in inglese)

Minacce

La selezione di questa opzione registra le nuove minacce rilevate, o le modifiche riscontrate per una minaccia esistente, nel server Syslog. Le modifiche includono la rimozione, la messa in quarantena, l'annullamento o l'esecuzione di una minaccia.

Sono disponibili cinque tipi di evento di minaccia:

  • threat_found: è stata rilevata una nuova minaccia in stato Unsafe.
  • threat_removed: una minaccia esistente è stata rimossa.
  • threat_quarantined: è stata rilevata una nuova minaccia in stato Quarantine.
  • threat_waived: è stata rilevata una nuova minaccia in stato Waived.
  • threat_changed: il comportamento di una minaccia esistente è cambiato (esempi: Punteggio, stato di quarantena, stato di esecuzione

Esistono sei tipi di classificazione delle minacce:

  • File Unavailable: A causa di un vincolo di caricamento (ad esempio, il file è troppo grande per essere caricato), il file non è disponibile per l'analisi.
  • Malware: il file è stato classificato come malware.
  • Possible PUP: il file potrebbe essere un programma potenzialmente indesiderato.
  • PUP: il file è considerato un programma potenzialmente indesiderato.
  • Trusted: il file è considerato attendibile.
  • Unclassified: ATP non ha analizzato questo file.

Messaggio di esempio di evento di minaccia
Figura 13. Messaggio di esempio di evento di minaccia (solo in inglese)

Threat Classifications

Ogni giorno, Dell Advanced Threat Prevention classifica centinaia di minacce come malware o programmi potenzialmente indesiderati.

Selezionando questa opzione, si riceve una notifica quando si verificano questi eventi.

Esempio di messaggio di classificazione delle minacce
Figura 14: Messaggio di esempio di classificazione delle minacce (solo in inglese)

Security Information and Event Management (SIEM)

Specifica il tipo di server Syslog o SIEM a cui inviare gli eventi.

Protocollo

Deve corrispondere alla configurazione nel server Syslog. Le scelte sono UDP o TCP. TCP è l'impostazione predefinita e consigliata ai clienti. UDP non è consigliata, in quanto non garantisce la consegna dei messaggi.

TLS/SSL

Disponibile solo se il protocollo specificato è TCP. TLS/SSL garantisce che il messaggio Syslog venga crittografato in transito verso il server Syslog. Si consiglia ai clienti di selezionare questa opzione. Assicurarsi che il server Syslog sia configurato per l'ascolto dei messaggi TLS/SSL.

IP/Domain

Specifica l'indirizzo IP o il nome di dominio completo del server Syslog configurato dal cliente. Contattare gli esperti della rete interna per assicurarsi che le impostazioni del firewall e del dominio siano configurate correttamente.

Porta

Specifica il numero di porta sui computer in cui il server Syslog è in ascolto dei messaggi. Deve essere un numero compreso tra 1 e 65.535. I valori tipici sono: 512 per UDP, 1235 o 1468 per TCP e 6514 per TCP protetto (ad esempio: TCP con TLS/SSL abilitato)

Gravità

Specifica la gravità dei messaggi che devono essere visualizzati nel server Syslog (si tratta di un campo soggettivo ed è possibile impostarlo sul livello desiderato). Il valore di gravità non modifica i messaggi che vengono inoltrati a Syslog.

Facility

Specifica il tipo di applicazione che registra il messaggio. L'impostazione predefinita è Internal (o Syslog). Viene utilizzata per classificare i messaggi quando il server Syslog li riceve.

Custom Token

Alcuni servizi di gestione dei registri, come SumoLogic, potrebbero richiedere un token personalizzato incluso nei messaggi Syslog per identificare la destinazione di questi messaggi. Il token personalizzato fornisce il servizio di gestione dei registri.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Nota: Il campo Custom Token è disponibile con tutte le opzioni SIEM o Syslog, non solo con SumoLogic. È possibile digitare qualsiasi informazione come tag personalizzato per le informazioni Syslog.

Test della connessione

Cliccare su Test Connection per testare le impostazioni IP/Domain, Port e Protocol. Se vengono inseriti valori validi, viene visualizzata una conferma di operazione riuscita.

Banner connessione riuscita
Figura 15. Banner di connessione riuscita (solo in inglese)

Nella console del server Syslog viene visualizzato il seguente messaggio di test della connessione:

Verifica connessione messaggio
Figura 16. Messaggio di test della connessione (solo in inglese)

sl_file_upload

Evento che indica a un amministratore quando un file è stato sottoposto ad upload su un provider di cloud.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Provider Processo che esegue il caricamento.
File Le informazioni sul file caricato includono keyid, percorso, nome file e dimensioni.
Geometria Il luogo in cui si è svolto l'evento.
Utente loggato Utente che ha effettuato l'accesso al dispositivo.
Esempio:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Evento che si verifica quando un utente modifica la policy di cartella tramite la console di gestione delle cartelle.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Folderpath cartella in cui è stato modificato il livello di protezione
Protezione cartelle Stringa che definisce un livello di protezione: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometria Il luogo in cui si è svolto l'evento.
Utente loggato Utente che ha effettuato l'accesso al dispositivo.
Esempio:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Evento che indica a un amministratore quando è stato bloccato l'accesso a un provider di cloud.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Indirizzo Processo che esegue il caricamento.
Processo Le informazioni sul file caricato includono keyid, percorso, nome file e dimensioni.
Application tipo di processo che tenta di accedere a un provider di cloud bloccato: App, Proxy o Browser.
Netazione tipo di azione in corso (solo un valore Blocked).
Geometria Il luogo in cui si è svolto l'evento.
Utente loggato Utente che ha effettuato l'accesso al dispositivo.
Esempio:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Eventi relativi alle azioni associate ai messaggi e-mail protetti di Dell Data Guardian.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Messaggi e-mail array di oggetti e-mail
keyId ID chiave utilizzato per proteggere l'e-mail.
Subject oggetto dell'e-mail
Per Indirizzi e-mail a cui è stata inviata l'e-mail.
cc Indirizzi e-mail in cui è stata copiata l'e-mail.
Ccn Indirizzi e-mail per i quali l'e-mail è stata copiata alla cieca.
Da Indirizzo e-mail della persona che ha inviato l'e-mail.
Allegati nomi degli allegati aggiunti all'e-mail
Action "Aperto", "Creato", "Risposto", "Inviato"
Utente loggato Utente che ha effettuato l'accesso al dispositivo.
Esempio:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Eventi relativi alle azioni associate ai documenti Office protetti di Dell Data Guardian.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
File informazioni sul file crittografate, decrittografate o eliminate.
clientType tipo di client installato: External o Internal
Action Created, Accessed, Modified, Unprotected, AttemptAccess
Slaction New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering,
DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometria Il luogo in cui si è svolto l'evento.
Da Timestamp per l'evento di riepilogo quando è iniziato.
Per Timestamp per l'evento di riepilogo quando l'evento è terminato.
Utente loggato Utente che ha effettuato l'accesso al dispositivo.
Appinfo informazioni sull'applicazione che utilizza il documento Office protetto.
Esempio:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Evento che si verifica quando il computer genera un evento.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
Action Esempi di operazioni eseguite dal computer: Login, Logout, PrintScreenBlocked, ProcessBlocked
Geometria Il luogo in cui si è svolto l'evento.
clientType tipo di client installato: Esterno o interno
Utente loggato Utente che ha effettuato l'accesso al dispositivo.
processInfo Informazioni sul processo
Disposizione Modalità di blocco del processo - Terminato, Bloccato, Nessuno.
Name nome del processo
Esempio:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition Eventi che specificano quando un file viene crittografato, decrittografato o eliminato da un provider di cloud supportato.

L'agent che genera l'evento può essere uno o più dei seguenti tipi:

  • Mac
  • Windows
  • Android
  • IOS
Payload  
File informazioni sul file crittografate, decrittografate o eliminate.
clientType tipo di client installato: External o Internal
Action Created, Accessed, Modified, Deleted
Nome cloud Il nome del file nel cloud potrebbe essere diverso da quello nel tag file riportato sopra.
Xenaction descrizione dell'operazione tentata dal servizio DG: Values - Encrypt, Decrypt, Deleted.
Geometria Il luogo in cui si è svolto l'evento.
Utente loggato Utente che ha effettuato l'accesso al dispositivo.
Esempio:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Additional Information

   

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124929
Article Type: How To
Last Modified: 30 Apr 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.