Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

Dell Security Management Server Syslog- und SIEM-Handbuch)

Summary: In diesem Artikel wird der Integrationsprozess für Sicherheitsinformationen und Ereignismanagement beschrieben.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Betroffene Produkte:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Endpoint Security Suite Enterprise

Was ist ein SIEM-Server oder eine Appliance (Security Information and Event Management)?

SIEM kann Daten importieren und Regeln oder Berichte ausführen, die auf den Daten basieren. Ziel ist es, Daten aus verschiedenen Quellen zu aggregieren, Anomalien in den Daten zu identifizieren und basierend auf den Daten geeignete Maßnahmen zu ergreifen.

Welche Optionen muss ich an ein SIEM oder eine Syslog-Anwendung senden?

Dell Security Management Server und Dell Security Management Server Virtual bieten jeweils zwei verschiedene Möglichkeiten, Daten in einer SIEM- oder Syslog-Anwendung zu nutzen.

Auf dem Server 9.2 wurde die Fähigkeit zur Kommunikation mit der Advanced Threat Prevention-Cloud eingeführt, wodurch die Konfiguration dazu ermöglicht wurde, Advanced Threat Event-Daten an eine SIEM-Anwendung zu senden.

Um diese Daten in der WebUI von Dell Security Management Server oder Dell Security Management Server Virtual zu konfigurieren, gehen Sie zu Populations >Enterprise >Advanced Threats (diese Registerkarte ist nur sichtbar, wenn Advanced Threat Prevention über die Aufgabe Management >Services Management aktiviert wurde) >Options.

Die Seite "Options" verfügt über ein Kontrollkästchen für Syslog/SIEM, mit dem wir konfigurieren können, wohin die Daten gesendet werden. Diese Daten stammen von den Advanced Threat Prevention-Servern, die in Amazon Web Services gehostet werden.

Wenn die Advanced Threat Prevention Syslog-Integration Syslog-Nachrichten nicht erfolgreich an Ihren Server senden kann, wird eine E-Mail-Benachrichtigung an alle AdministratorInnen mit einer bestätigten E-Mail-Adresse im Unternehmen gesendet, die sie über das Syslog-Problem informiert.

Wenn das Problem vor Ende des 20-Minuten-Zeitraums behoben wurde, werden weiterhin Syslog-Meldungen versendet. Wenn das Problem nach Ende des 20-Minuten-Zeitraums behoben wurde, müssen AdministratorInnen die syslog-Meldungen erneut aktivieren.

Hier ist eine Beispielkonfiguration eines externen vollqualifizierten Domänennamens (FQDN) von extsiem.domain.org über Port 5514. Bei dieser Konfiguration wird davon ausgegangen, dass extsiem.domain.com über einen externen DNS-Eintrag verfügt, der auf den Server innerhalb der Umgebung aufgelöst wird, auf dem die SIEM- oder Syslog-Anwendung ausgeführt wird, und Port 5514 vom Gateway der Umgebung an das Ziel-SIEM oder die Syslog-Anwendung weitergeleitet wurde.

Dell Data Security-Konsole
Abbildung 1: (Nur in englischer Sprache) Dell Data Security-Konsole

Ereignisse, die über diese Funktion kommen, erhalten ein Branding von unserem Anbieter Cylance.

IP- und Hostnameninformationen für Firewall- und Zugriffszwecke

Das SaaS für Advanced Threat Prevention verfügt über mehrere IP-Adressen für jede Region. Dies ermöglicht eine Erweiterung ohne Unterbrechung eines Syslog-Services. Lassen Sie bei der Konfiguration Ihrer Regeln alle IP-Adressen zu, die auf Ihrer Region basieren. Protokolle von einer Cylance-Quelle von einer dieser IP-Adressen können sich zufällig ändern.

Hinweis: Diese IP-Adressen sollten statisch bleiben. Es ist jedoch möglich, dass Cylance diese Liste in Zukunft aktualisieren wird. Änderungen werden per E-Mail an Cylance-KonsolenadministratorInnen kommuniziert. Es liegt in der Verantwortung des Netzwerkadministrators, seine Regeln als Reaktion auf Änderungen zu aktualisieren.

USA (my.cylance.com and my-vs2.cylance.com)

52.2.154.63
52.20.244.157
52.71.59.248
52.72.144.44
54.88.241.49

AU (my-au.cylance.com)

52.63.15.218
52.65.4.232

EU (my-vs0-euc1.cylance.com and my-vs1-euc1.cylance.com)

52.28.219.170
52.29.102.181
52.29.213.11

Für Dell Security Management Server und Dell Security Management Server Virtual wurde in Version 9.7 die Möglichkeit eingeführt, von Agents empfangene Ereignisse zu senden. Dies umfasst die unverarbeiteten, ungefilterten Ereignisse von Dell Endpoint Security Suite Enterprise und Ereignisse von Dell Secure Lifecycle und Dell Data Guardian.

Serverkonfiguration

Sie können Security Management Server so konfigurieren, dass Agent-Ereignisdaten innerhalb von Management>Services Management Event >Management gesendet werden. Diese Daten können in eine lokale Datei oder ein Syslog exportiert werden. Zwei Optionen stehen zur Verfügung: In lokale Datei exportieren und in Syslog exportieren

Ereignismanagement
Abbildung 2: (Nur in englischer Sprache) Ereignismanagement

In lokale Datei exportieren aktualisiert die audit-export.log Datei, sodass sie von einer universellen Weiterleitung verwendet wird. Der Standardspeicherort dieser Datei ist C:\Program Files\Dell\Enterprise Edition\Security Server\logs\siem\.

Diese Datei wird alle zwei Stunden mit Daten aktualisiert. Diese Datei kann von einer Weiterleitung aufgenommen und genutzt werden. Weitere Informationen zu Weiterleitungen finden Sie in der spezifischen Syslog- oder SIEM-Anwendung, die Sie zur Aufnahme dieser Daten nutzen, da Weiterleitungen je nach Anwendung unterschiedlich sind.

In lokale Datei exportieren
Abbildung 3: (Nur in englischer Sprache) In lokale Datei exportieren

Der Export in Syslog ermöglicht die direkte Verbindung zu einem internen SIEM- oder Syslog-Server innerhalb der Umgebung. Diese Protokolle werden in einem einfachen Format formatiert, das auf RFC-3164 in einem JSON-Bundle basiert. Diese Daten stammen vom Dell Security Management Server und werden direkt an den SIEM- oder Syslog-Server gesendet. Diese Daten werden alle zwei Stunden mithilfe eines Jobs erfasst und gesendet.

In Syslog exportieren
Abbildung 4: (Nur in englischer Sprache) In Syslog exportieren

Die Ereignisdaten von Dell Endpoint Security Suite Enterprise, die gesendet werden, sind oben aufgeführt. In der Regel sendet SaaS diese Daten, sodass der Dell Security Management Server diese Daten von den Agenten erfassen kann, während diese die Bestände überprüfen und an die konfigurierte SIEM- oder Syslog-Anwendung weiterleiten.

Agent-Ereignisdaten enthalten sowohl die zuvor erwähnten Ereignisdaten von Dell Endpoint Security Suite Enterprise als auch Daten von Dell Secure Lifecycle und Dell Data Guardian. Diese Daten werden auch in Ereignissen angezeigt.

Anwendungskontrolle

Diese Option ist nur für NutzerInnen sichtbar, für die die Anwendungssteuerungsfunktion aktiviert ist. Anwendungssteuerungsereignisse stellen Aktionen dar, die auftreten, wenn sich das Gerät im Anwendungssteuerungsmodus befindet. Wenn Sie diese Option auswählen, wird eine Meldung an den Syslog-Server gesendet, wenn versucht wird, eine ausführbare Datei zu ändern, zu kopieren oder wenn versucht wird, eine Datei von einem Gerät oder Netzwerkspeicherort auszuführen.

Beispielmeldung für
Abbildung 5: (Nur in englischer Sprache) Beispielmeldung für „Deny PE File Change“

Beispielmeldung für
Abbildung 6: (Nur Englisch) Beispielmeldung für "deny execution from a external drive"

Auditprotokoll

Wenn Sie diese Option auswählen, wird das Auditprotokoll der im SaaS durchgeführten Nutzeraktionen an den Syslog-Server gesendet. Auditprotokollereignisse werden auf dem Bildschirm „Audit Log“ angezeigt, selbst wenn diese Option deaktiviert ist.

Beispielmeldung für Auditprotokoll, das an Syslog weitergeleitet wird
Abbildung 7: (Nur in englischer Sprache) Beispielmeldung für Auditprotokoll, das an Syslog weitergeleitet wird

Geräte

Wenn Sie diese Option auswählen, werden Geräteereignisse an den Syslog-Server gesendet.

  • Wenn ein neues Gerät registriert ist, erhalten Sie zwei Meldungen für dieses Ereignis: Registration und SystemSecurity
Hinweis: Systemsicherheitsmeldungen werden auch erzeugt, wenn sich NutzerInnen bei einem Gerät anmelden. Diese Meldung kann zu verschiedenen Zeiten auftreten, nicht nur während der Registrierung.

Beispielmeldung für Ereignis
Abbildung 8: (Nur in englischer Sprache) Beispielmeldung für Ereignis „Gerät registriert“

  • Wenn ein Gerät entfernt wird

Beispielmeldung für Ereignis
Abbildung 9: (Nur in englischer Sprache) Beispielmeldung für Ereignis „Gerät entfernt“

  • Wenn sich die Richtlinie, die Zone, der Name oder die Protokollierungsebene eines Geräts geändert hat.

Beispielmeldung für Ereignis
Abbildung 10: (Nur in englischer Sprache) Beispielmeldung für Ereignis „Gerät aktualisiert“

Schutz des Arbeitsspeichers

Wenn Sie diese Option auswählen, werden alle Arbeitsspeicher-Exploit-Versuche auf dem Syslog-Server protokolliert, die als Angriff von einem beliebigen Gerät des Mandanten betrachtet werden können. Es gibt vier Arten von Arbeitsspeicher-Exploit-Aktionen:

  • None: Zulässig, weil keine Policy für diesen Verstoß definiert wurde.
  • Allowed: Zulässig gemäß Policy
  • Blocked: Ausführung durch Policy blockiert
  • Terminated: Der Prozess wurde beendet.

Beispielmeldung eines Arbeitsspeicherschutzereignisses
Abbildung 11: (Nur in englischer Sprache) Beispielmeldung für das Ereignis „Arbeitsspeicherschutz“

Skriptkontrolle

Wenn Sie diese Option auswählen, werden alle neu gefundenen Skripte auf dem Syslog-Server protokolliert, die von Advanced Threat Prevention überführt werden.

Syslog Skriptkontrollereignisse enthalten die folgenden Eigenschaften:

  • Achtung: Das Skript kann ausgeführt werden. Ein Skriptkontrollereignis wird an die Konsole gesendet.
  • Block: Das Skript darf nicht ausgeführt werden. Ein Skriptkontrollereignis wird an die Konsole gesendet.

Reporting-Häufigkeit

Wenn zum ersten Mal ein Skriptkontrollereignis erkannt wird, wird eine Nachricht über Syslog mit vollständigen Ereignisinformationen gesendet. Jedes nachfolgende Ereignis, das als Duplikat betrachtet wird, wird für den Rest des Tages (basierend auf der SaaS-Serverzeit) nicht mit Syslog gesendet.

Wenn der Zähler für ein bestimmtes Skriptkontrollereignis größer als eins ist, wird über Syslog ein Ereignis mit der Anzahl aller doppelten Ereignisse gesendet, die an diesem Tag aufgetreten sind. Wenn der Zähler gleich eins ist, wird keine zusätzliche Meldung über Syslog gesendet.

Ob ein Skriptkontrollereignis ein Duplikat ist, wird mit folgender Logik ermittelt:

  • Wichtigste Informationen betrachten: Gerät, Hash, Nutzername, Block und Warnmeldung
  • Für das erste Ereignis, das an einem Tag empfangen wurde, einen Zählerwert von 1 festlegen. Es gibt separate Zähler für Block und Alert.
  • Alle nachfolgenden Ereignisse mit demselben Schlüssel erhöhen den Zähler
  • Der Zähler wird jeden Kalendertag gemäß der SaaS-Serverzeit zurückgesetzt.
Hinweis: Wenn Skript A auf Gerät 1 am 20.09.2016 um 23:59 Uhr und am 21.09.2016 um 00:05 Uhr und am 21.09.2016 um 00:05 Uhr und 00:15 Uhr ausgeführt wird, lautet das Ergebnis:
  • Eine Syslog-Meldung wird am 20.09.2016 für das Skriptkontrollereignis für diesen Tag gesendet.
  • Eine Syslog-Meldung wird am 21.09.2016 für die beiden doppelten Skriptkontrollereignisse für diesen Tag gesendet.
Hinweis: Nur eine Syslog-Meldung wird am 21.09.2016 gesendet, da es sich bei den Ereignissen um Duplikate des Ereignisses handelt, das am 20.09.2016 aufgetreten ist.

Beispielmeldung der Skriptkontrolle
Abbildung 12: (Nur in englischer Sprache) Beispielmeldung der Skriptkontrolle

Bedrohungen

Bei Auswahl dieser Option werden alle neu gefundenen Bedrohungen oder Änderungen, die für eine vorhandene Bedrohung beobachtet wurden, auf dem Syslog-Server protokolliert. Zu den Änderungen gehört, dass eine Bedrohung entfernt, unter Quarantäne gestellt, freigegeben oder ausgeführt wird.

Es gibt fünf Bedrohungsereignistypen:

  • threat_found: Eine neue Bedrohung wurde im Status Unsafe gefunden.
  • threat_removed: Eine vorhandene Bedrohung wurde entfernt.
  • threat_quarantined: Eine neue Bedrohung wurde im Status Quarantine gefunden.
  • threat_waived: Eine neue Bedrohung wurde im Status Waived gefunden.
  • threat_changed: Das Verhalten einer vorhandenen Bedrohung hat sich geändert (Beispiele: Bewertung, Quarantänestatus, Ausführungsstatus)

Es gibt sechs Bedrohungsklassifizierungstypen:

  • File Unavailable: Aufgrund einer Uploadbeschränkung (z. B. Datei ist zu groß zum Hochladen) ist die Datei nicht für die Analyse verfügbar.
  • Malware: Die Datei wurde als Malware klassifiziert.
  • Possible PUP: Die Datei kann ein potenziell unerwünschtes Programm (PUP) sein.
  • PUP: Die Datei wird als potenziell unerwünschtes Programm (PUP) betrachtet.
  • Trusted: Die Datei gilt als vertrauenswürdig.
  • Unclassified: ATP hat diese Datei nicht analysiert.

Beispielmeldung eines Bedrohungsereignisses
Abbildung 13: (Nur in englischer Sprache) Beispielmeldung eines Bedrohungsereignisses

Bedrohungsklassifizierungen

Jeden Tag stuft Dell Advanced Threat Prevention Hunderte von Bedrohungen entweder als Malware oder potenziell unerwünschte Programme (PUPs) ein.

Wenn Sie diese Option auswählen, werden Sie benachrichtigt, wenn diese Ereignisse auftreten.

Beispielmeldung zur Bedrohungsklassifizierung
Abbildung 14: (Nur in englischer Sprache) Beispielmeldung zur Bedrohungsklassifizierung

SIEM (Security Information and Event Management)

Gibt den Typ des Syslog-Servers oder SIEM an, an den Ereignisse gesendet werden sollen.

Protokoll

Dies muss mit dem übereinstimmen, was Sie auf Ihrem Syslog-Server konfiguriert haben. Die Auswahlmöglichkeiten sind UDP oder TCP. TCP ist die Standardeinstellung und wir empfehlen KundInnen, sie zu verwenden. UDP wird nicht empfohlen, da die Nachrichtenbereitstellung nicht garantiert ist.

TLS/SSL

Nur verfügbar, wenn das angegebene Protokoll TCP ist. TLS/SSL stellt sicher, dass die Syslog-Meldung während der Übertragung an den Syslog-Server verschlüsselt wird. Wir empfehlen KundInnen, diese Option auszuwählen. Stellen Sie sicher, dass Ihr Syslog-Server so konfiguriert ist, dass er auf TLS-/SSL-Nachrichten überwacht.

IP/Domain

Gibt die IP-Adresse oder den vollständig qualifizierten Domainnamen des Syslog-Servers an, den die KundInnen eingerichtet haben. Wenden Sie sich an Ihre internen NetzwerkexpertInnen, um sicherzustellen, dass die Firewall- und Domaineinstellungen ordnungsgemäß konfiguriert sind.

Schnittstelle

Gibt die Portnummer auf den Maschinen an, die der Syslog-Server auf Meldungen überwacht. Muss eine Zahl zwischen 1 und 65535 sein. Typische Werte sind: 512 für UDP, 1235 oder 1468 für TCP und 6514 für Secured TCP (z. B.: TCP mit aktiviertem TLS/SSL)

Schweregrad

Gibt den Schweregrad der Meldungen an, die auf dem Syslog-Server angezeigt werden sollen (dies ist ein subjektives Feld und Sie können es auf eine beliebige Stufe einstellen). Der Wert des Schweregrads ändert nicht die Nachrichten, die an Syslog weitergeleitet werden.

Anlage

Gibt an, welche Art von Anwendung die Meldung protokolliert. Der Standardwert ist Internal (oder Syslog). Dies wird verwendet, um die Meldungen zu kategorisieren, wenn der Syslog-Server sie empfängt.

Benutzerdefiniertes Token

Einige Protokollverwaltungsservices, wie SumoLogic, benötigen möglicherweise ein benutzerdefiniertes Token, das in Syslog-Meldungen enthalten ist, um zu ermitteln, wohin diese Meldungen gehen sollen. Das benutzerdefinierte Token stellt Ihren Protokollverwaltungsservice bereit.

4uOHzVv+ZKBheckRJouU3+XojMn02Yb0DOKlYwTZuDU1K+PsY27+ew==
Hinweis: Das Feld "Custom Token" ist mit allen SIEM- oder Syslog-Optionen verfügbar, nicht nur mit SumoLogic. Es ist möglich, beliebige Informationen als benutzerdefiniertes Tag in die Syslog-Informationen einzugeben.

Testen der Verbindung

Klicken Sie auf „Test Connection“, um die IP-/Domain-, Port- und Protokolleinstellungen zu testen. Wenn gültige Werte eingegeben werden, wird eine Erfolgsbestätigung angezeigt.

Banner
Abbildung 15: (Nur in englischer Sprache) Banner „Verbindung erfolgreich“

In der Syslog-Serverkonsole erhalten Sie die folgende Testverbindungsmeldung:

Meldung
Abbildung 16: (Nur in englischer Sprache) Meldung „Verbindung testen“

sl_file_upload

Ereignis, das AdministratorInnen darüber informiert, wann eine Datei zu einem Cloud-Anbieter hochgeladen wurde.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Anbieter Prozess, der den Upload durchführt.
Datei Informationen über die hochgeladene Datei umfassen Schlüssel-ID, Pfad, Dateiname und Größe.
Geometrie Der Ort, an dem diese Veranstaltung stattgefunden hat.
Loggedinuser Nutzer, der beim Gerät angemeldet ist.
Beispiel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"provider":"Sync Provider",
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
}
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_upload",
"version":1
}

sl_folder_override

Ereignis, das auftritt, wenn NutzerInnen die Ordner-Policy über die Ordnerverwaltungskonsole ändern.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Ordnerpfad Ordner, in dem das Schutzlevel geändert wurde
Ordnerschutz Eine Zeichenfolge, die ein Schutzlevel definiert: UsePolicy, ForceAllow, ForceProtect, PreExisting_ForceAllow, PreExisting_ForceAllow_Confirmed
Geometrie Der Ort, an dem diese Veranstaltung stattgefunden hat.
Loggedinuser Nutzer, der beim Gerät angemeldet ist.
Beispiel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"folderpath":"Folder Path",
"folderprotection:"ForceProtect"
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_file_overrride",
"version":1
}

sl_net_info

Ereignis, das einen Administrator darüber informiert, wenn der Zugriff auf einen Cloud-Anbieter blockiert wurde.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Adresse Prozess, der den Upload durchführt.
Prozess Informationen über die hochgeladene Datei umfassen Schlüssel-ID, Pfad, Dateiname und Größe.
Anwendung Art des Prozesses, der versucht, auf einen blockierten Cloud-Anbieter zuzugreifen. App, Proxy oder Browser
Netaction Art der ausgeführten Aktion. (Nur ein Wert „Blocked“)
Geometrie Der Ort, an dem diese Veranstaltung stattgefunden hat.
Loggedinuser Nutzer, der beim Gerät angemeldet ist.
Beispiel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"address":"www.yahoo.com",
"process":"process.exe",
"application":"Proxy",
"netaction":"Blocked",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": " sl_net_info",
"version":1
}

sl_protected_email

Ereignisse, die sich auf Aktionen beziehen, die im Zusammenhang mit durch Dell Data Guardian geschützten E-Mail-Nachrichten stehen.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
E-Mail-Nachrichten Array von E-Mail-Objekten
keyId Schlüssel-ID, die zum Schutz der E-Mail verwendet wird.
Betreff Betreffzeile der E-Mail
Zu: E-Mail-Adressen, an die die E-Mail gesendet wurde.
cc E-Mail-Adressen, an die die E-Mail kopiert wurde.
Bcc E-Mail-Adressen, an die die E-Mail blind kopiert wurde.
Von E-Mail-Adresse der Person, die die E-Mail gesendet hat.
Anlagen Namen von Anhängen, die der E-Mail hinzugefügt wurden.
Aktion "Geöffnet", "erstellt", "geantwortet", "gesendet"
Loggedinuser Nutzer, der beim Gerät angemeldet ist.
Beispiel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
""emails": [{
"keyid": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"subject": "Test Subject",
"from":"dvader@empire.net",
"to": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"cc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"bcc": ["myemail@yahoo.com", "anotheremail@gmail.com"],
"attachments": ["myDocx.docx", "HelloWorld.txt"],
"action": "Open"
}],
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_email",
"version":1
}

sl_protected_file

Ereignisse, die sich auf Aktionen beziehen, die im Zusammenhang mit durch Dell Data Guardian geschützten Office-Dokumenten stehen.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Datei Dateiinformationen dazu wurden Encrypted, Decrypted oder Deleted.
clientType Clienttyp, der installiert wurde. External oder Internal
Aktion Created, Accessed, Modified, Unprotected, AttemptAccess
Slaction New, Open, Updated, Swept, Watermarked, BlockCopy, RepairedTampering,
DetectedTampering, Unprotected, Deleted, RequestAccess, GeoBlocked, RightClickProtected, PrintBlocked
Geometrie Der Ort, an dem diese Veranstaltung stattgefunden hat.
Von Zeitstempel für das zusammenfassende Ereignis zu Beginn des Ereignisses.
Zu: Zeitstempel für das zusammenfassende Ereignis, wann das Ereignis beendet wurde.
Loggedinuser Nutzer, der beim Gerät angemeldet ist.
Appinfo Informationen über die Anwendung, die das geschützte Office-Dokument verwendet.
Beispiel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"from":1234567
"to":1234567
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Accessed",
"slaction":"Open"
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_protected_file",
"version":1
}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""TestPath"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Created""
""slaction"":""New"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""Open"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"" ,
""slaction"":""Updated"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Swept"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""Watermarked"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""BlockedCopy"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""DetectedTampering"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Modified"",
""slaction"":""RightClickProtected"",""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""file"":{""keyid"":""Test Key
Id"",""path"":""Test Path"",""filename"":""Original
Name"",""size"":1234},""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"",""appinfo"":{ ""app"":""Word"", ""information"":
""Print blocked protected office document open."" },""loggedinuser"":""test@domain.org""}

""payload"":{""from"":12345678"",""to"":12345678,""clientType"":""external"",""action"":""Accessed"",
""slaction"":""PrintBlocked"","appinfo":{ ""app"":""Reader"", ""information"":""Print blocked
while protected PDF open."" },""loggedinuser"":""test@domain.org""}

sl_system

Ereignis, das auftritt, wenn der Computer ein Ereignis ausgibt.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Aktion Was der Computer tut, Beispiele: Anmeldung, Abmeldung, PrintScreenBlocked, ProcessBlocked
Geometrie Der Ort, an dem diese Veranstaltung stattgefunden hat.
clientType Clienttyp, der installiert wurde. Extern oder intern
Loggedinuser Nutzer, der sich beim Gerät angemeldet hat.
processInfo Informationen zum Prozess
Disposition Wie der Prozess blockiert wurde – beendet, blockiert, Keine.
Name Name des Prozesses
Beispiel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"action":"login","clientType":"external","loggedinuser":"test@domain.org",
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_system",
"version":1
}

"payload":
{"action":"PrintScreenBlocked","clientType":"external","loggedinuser":"test@domain.org"}

"payload": { "action": "processblocked","clientType": "external","loggedinuser":
"test@domain.org","processinfo": {"name": "winword.exe","disposition": "Terminated"}

sl_xen_file

Cloud Edition-Ereignisse, die angeben, wann eine Datei von einem unterstützten Cloud-Anbieter verschlüsselt, entschlüsselt oder gelöscht wird.

Der Agent, der das Ereignis erzeugt, kann einer oder mehrere der folgenden sein:

  • Mac
  • Windows
  • Android
  • iOS
Payload  
Datei Dateiinformationen dazu wurden Encrypted, Decrypted oder Deleted.
clientType Clienttyp, der installiert wurde. External oder Internal
Aktion Created, Accessed, Modified, Deleted
Cloud-Name Der Name der Datei in der Cloud unterscheidet sich möglicherweise von dem im obigen Datei-Tag
Xenaction Beschreibung, was der DG-Service zu tun versucht. Werte: Encrypt, Decrypt, Deleted.
Geometrie Der Ort, an dem diese Veranstaltung stattgefunden hat.
Loggedinuser Nutzer, der beim Gerät angemeldet ist.
Beispiel:
{
"source": {
"agent": "c4b28f9b-0fe8-4f40-b8de-705753492d46",
"user": "test@domain.org",
"device": "A5474602085.domain.org",
"plugin": "ae69b049-602d-4f10-81f8-f0f126cb10f3"
},
"timestamp": 1456328219437,
"payload": {
"file": {
"keyid": "Test Key Id",
"path": "Test Path",
"filename": "Original Name",
"size": 1234
},
"clientType": "internal",
"action": "Created",
"cloudname":"Cloud Name",
"xenaction":"Encrypt",
""loggedinuser"":""test@domain.org""
},
"geometry": {
"type": "Point",
"coordinates": [115.24631773614618,
41.082960184314317]
},
"moniker": "sl_xen_file",
"version":1
}

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Additional Information

   

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124929
Article Type: How To
Last Modified: 30 Apr 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.