Sobre Monitoramento de sessões em tempo real e contínuo

  • 2 minuto(s) lido(s)
Prev Next

O Behavior Engine da plataforma Segura® monitora cada sessão privilegiada, RDP, SSH, Web, Banco de dados, API, comandos locais, entre outras, em tempo real. Capturando sinais e eventos detalhados desde o início até o término da sessão. Essa análise contínua permite identificar padrões normais, desvios comportamentais e riscos emergentes sem atrasos.

O que é capturado

  • Padrões de Digitação: analisa velocidade, ritmo, e estilo de digitação durante a sessão.
    • Detecta inconsistências, como mudanças de operador, uso de scripts automáticos ou comandos fora do padrão.
  • Fluxo de comandos e navegação
    • Monitora a sequência de comandos, arquivos acessados, e caminhos de navegação em aplicações ou terminais.
    • Detecta execuções atípicas, saltos inesperados entre recursos ou padrões de automação.
  • Duração e contexto das sessões
    • Avalia se a sessão está compatível com o baseline de tempo de uso.
    • Identifica sessões excessivamente longas, curtas ou em horários não usuais.
  • Dispositivo, local e contexto de rede
    • Registra o endpoint, geolocalização, endereço IP, VPN, e ambiente do usuário.
    • Cruza esses dados com o histórico do usuário para detectar acessos de novos locais ou dispositivos suspeitos.

Análise adaptativa e atualização do perfil

  • Perfil dinâmico: o perfil do usuário é constantemente atualizado, incorporando mudanças legítimas e identificando adaptações rápidas (ex: viagens, mudanças de escala).
  • Identificação proativa de riscos: qualquer sinal de desvio relevante, como um comando novo, uso de credencial atípica, acesso fora do horário, ou troca de dispositivo. Imediatamente é avaliado pelo motor analítico, podendo disparar respostas automáticas.
  • Atualização em tempo real: não há delay na resposta. O sistema reage em tempo real à atividade suspeita, reduzindo a janela de exposição a ameaças.

Casos de Uso

  • Detecção de takeover/impostor: mudanças no padrão de digitação, uso de comandos, ou horário podem indicar que a conta foi comprometida.
  • Identificação de automação não autorizada: sequências repetitivas, sem variação humana, são rapidamente detectadas, prevenindo uso indevido de scripts.
  • Acesso não autorizado ou improvisado: Sessões iniciadas de novos dispositivos, localizações remotas inesperadas, ou horários incompatíveis com o perfil do usuário geram alertas automáticos e podem requerer MFA imediato.
  • Rastreamento forense: todo evento anômalo é registrado com contexto detalhado, apoiando auditoria, compliance e investigações pós-incidente.

Integração com políticas e respostas

  • Políticas adaptativas: regras e workflows podem ser configurados para reagir automaticamente a anomalias, escalando a resposta conforme o risco detectado.
  • Orquestração de resposta: a integração com SIEM, SOAR e outros módulos da plataforma Segura® permite acionamento de playbooks automáticos, MFA adicional, pausa/bloqueio de sessão, encaminhamento para análise, notificação de times de segurança e muito mais.
  • Zero standing privilege: a análise contínua garante que qualquer privilégio concedido possa ser revogado dinamicamente em caso de risco, alinhando-se às melhores práticas de zero trust.