Sobre Arquitetura e funcionamento

  • 2 minuto(s) lido(s)
Prev Next

Fluxo de dados e captura de eventos

O motor de User Behavior da Segura® é projetado para capturar, analisar e correlacionar continuamente eventos de acesso privilegiado em múltiplos vetores da infraestrutura.
O fluxo de dados é composto por:

  • Sessões monitoradas: captura de atividades em tempo real em sessões RDP, SSH, Web (HTML5), banco de dados, API, aplicações locais e endpoints remotos.
  • Integração com logs e auditoria: consome registros internos do Segura® (logs de auditoria, gravações de sessão, registros de checkout de credenciais) e pode integrar logs externos de SIEM, SOAR, EDR, Threat Intelligence e ITSM para contexto ampliado.
  • Metadados contextuais: inclui informações sobre dispositivo, localização, rede, horário, método de acesso, tipo de credencial, política aplicada, origem geográfica e histórico do usuário.
  • Eventos disparados: cada ação de usuário, checkout de credencial, início/fim de sessão, execução de comando, consulta de segredo. É enriquecida e registrada com contexto completo, formando uma linha do tempo detalhada e correlacionável.

Engenharia analítica e processamento em camadas

O núcleo do Behavior Analítico da plataforma Segura® segue um modelo de processamento em múltiplas camadas:

  • Coleta: agrega dados de sessões vivas, logs de eventos, integrações externas e sinais de segurança. Suporta ingestão massiva sem degradação de performance.
  • Análise e correlação: normaliza, enriquece e correlaciona eventos em múltiplos domínios. Vai além de ações isoladas, analisando sequências, frequência, desvios e interações.
  • Modelagem de baseline: cria perfis comportamentais dinâmicos para cada usuário, credencial e ativo, utilizando machine learning para definir o que é comum considerando horários, comandos, dispositivos, padrões de digitação, recursos acessados, duração de sessões, etc.
  • Avaliação em tempo real e limites dinâmicos: novos eventos são comparados com o baseline usando limites adaptativos (ajustados por IA/ML). Isso permite identificar anomalias mesmo quando padrões mudam gradualmente.
  • Orquestração de resposta e triggers: ao detectar desvio ou comportamento suspeito (ex: acesso fora do horário, visualização excessiva, uso de dispositivo novo, comando anormal), o sistema dispara respostas adaptativas como alertas, MFA, suspensão de sessão ou integração automática com SOAR para contenção.

Integração com logs, sessões e dados externos

  • Sessões: todos os eventos de sessão (RDP, SSH, web, API, banco de dados) são correlacionados ao comportamento histórico do usuário e contexto ativo.
  • Logs e auditoria: cada ação, avaliação e resposta é registrada de forma imutável, formando uma trilha detalhada para compliance, investigação forense e relatórios regulatórios.
  • Sinais Externos: o Behavior Engine pode consumir indicadores de risco de sistemas externos (SIEM, SOAR, EDR, Threat Intelligence), elevando a precisão na detecção de ameaças e permitindo respostas automáticas baseadas em eventos externos (como bloqueio instantâneo em caso de IOC confirmado).

Decisão e fluxo de orquestração

Fluxo típico de decisão e orquestração

  1. Ação: usuário executa uma atividade (ex: inicia sessão, consulta senha, executa comando).
  2. Captura e enriquecimento: evento é registrado com contexto total (quem, quando, onde, como e por quê).
  3. Avaliação baseline: sistema compara comportamento atual com baseline individual e modelo de risco.
  4. Limites e avaliação dinâmica: se o comportamento está dentro do esperado, o acesso prossegue normalmente. Se excede limites dinâmicos, triggers são acionadas.
  5. Resposta automatizada: dependendo do nível de risco e política, o sistema pode alertar a equipe, exigir MFA, suspender sessão, revogar acesso ou acionar playbooks automáticos via SOAR.

Segurança, conformidade e valor

  • Segurança adaptativa: o motor se ajusta em tempo real a mudanças de comportamento, reduzindo o tempo de resposta a ameaças internas ou contas comprometidas.
  • Execução automatizada: ações suspeitas ou anômalas resultam em execução imediata de políticas, sem necessidade de intervenção manual.
  • Relatórios e conformidade: relatórios e dashboards oferecem visibilidade completa para gestão de riscos, auditoria e atendimento a regulamentações.