Visão geral e capacidades técnicas

  • 11 minuto(s) lido(s)
Prev Next

O Discovery oferece uma abordagem abrangente para a descoberta, inventário e governança de ativos e credenciais privilegiadas em ambientes corporativos. Esta documentação detalha as funcionalidades, integrações e capacidades técnicas do módulo, alinhando-se às melhores práticas de segurança e conformidade.

Ambientes suportados

O Discovery é compatível com diversos tipos de ambientes, incluindo:

  • On-Premises
  • Híbridos
  • Cloud

Protocolos de conexão

A plataforma pode se conectar a dispositivos na rede utilizando protocolos padrão, sem a necessidade de instalação de agentes locais:

  • SSH / TELNET
  • RDP
  • UDP
  • TCP

Durante a descoberta, são coletadas informações como hostname, endereço IP, lista de credenciais, tipo de privilégio e dados de registro do usuário, como data do último acesso e alteração de senha.

Identificação automática de contas privilegiadas em sistemas operacionais

É possível identificar automaticamente contas privilegiadas nos seguintes ambientes:

  • Windows: Server 2022–2008, 11–7, XP
  • Linux: RHEL, CentOS, Ubuntu, Debian, SUSE, Fedora, Amazon, Rocky, Alma
  • macOS: Ventura, Monterey, Big Sur, Catalina, Mojave, High Sierra
  • UNIX: AIX, Solaris, HP-UX, FreeBSD, OpenBSD, NetBSD, SCO, Tru64, IRIX
  • Bancos de Dados: Oracle, SQL Server, MySQL, PostgreSQL, MongoDB, entre outros

Integrações nativas e conectores personalizados

APIs nativas e conectores personalizados permitem a integração com ferramentas externas e fluxos de trabalho, facilitando a automação e a interoperabilidade com sistemas existentes.

Suporte a DevOps

O Discovery possui capacidades específicas para ambientes DevOps:

  • Docker: Containers, Serviços, Nós, Segredos (Permissões/Usuários) – apenas se gerenciados externamente
  • Kubernetes: Pods, Deployments, Serviços, Segredos, ConfigMaps, Nós, Namespaces, RBAC (Roles, RoleBindings, Service Accounts, Usuários/Grupos)
  • Jenkins: Jobs, Nós, Usuários, Plugins, Credenciais (Senhas, tokens e chaves)
  • Ansible: Playbooks, Roles, Inventários, Módulos, Vaults

Recursos especiais

Shadow Admins

O Segura Discovery identifica automaticamente contas com privilégios elevados não documentados — os chamados Administradores Sombra. Essas contas podem aumentar privilégios ou comprometer o ambiente, mesmo sem fazerem parte formalmente de grupos administrativos.

Como funciona

O Segura Discovery realiza uma varredura aprofundada de:

  • Contas de usuário, grupos e Listas de Controle de Acesso (ACLs)
  • Delegação, herança de permissões e permissões em objetos críticos (usuários, grupos, UOs, GPOs, etc.)

Lógica de Detecção (Heurística do Administrador Sombra)

O Segura identifica Administradores Sombra por meio das seguintes análises:

  • Permissões elevadas sem associação a grupos administrativos:
    • "Gravar", "Modificar", "Controle Total" em objetos críticos
  • Capacidade de escalonamento indireto:
    • Contas com direito a alterar a associação a grupos, redefinir senhas e delegar acesso
  • ACLs personalizadas e herança de permissões:
    • Análise detalhada em nível de objeto
  • Ambientes Unix-like:
    • Análise de sudoers, permissões de arquivo e comandos executáveis
  • Ambientes de nuvem (Azure, AWS, GCP, Google Workspace):
    • Avaliação de permissões e políticas efetivas que permitem escalonamento indireto

Tipos de Conta, Plataformas e Critérios

Plataforma Tipo de Conta Critérios de Administrador Sombra
Windows Local, Serviço, Órfão ACLs elevadas, herança, permissões delegadas
Active Directory Usuário de domínio, Delegado, Serviço Delegações, ACLs personalizadas, Gravação/Modificação em objetos críticos
Linux/UNIX/macOS Local, Sudoers, Serviço sudoers com NOPASSWD, comandos delegados fora do grupo root
Nuvem (Azure, AWS...) Usuário, Serviço, Delegados Políticas/funções com permissão de escalonamento indireto
Google Workspace Usuário, Administrador, Delegados Funções delegadas, permissões de aplicativos de terceiros

Ativos Windows

O Discovery realiza descoberta avançada de componentes e contas específicas de ambientes Windows, oferecendo visibilidade granular para auxiliar na gestão de riscos, auditoria e compliance em infraestrutura Microsoft.

Tipos de ativos identificados

  • Active Directory Managed Service Accounts (gMSA/MSA): Descoberta e inventário de contas de serviço gerenciadas e vinculadas ao AD, com análise de permissões associadas.
  • Administrative Accounts and Groups: Identificação de usuários com privilégios administrativos locais e grupos críticos no domínio ou máquina.
  • Application Pools: Coleta de informações sobre pools de aplicações do IIS, incluindo configurações, contas vinculadas e status de execução.
  • COM+ / DCOM Applications: Mapeamento de componentes COM/DCOM registrados, identificando permissões, usuários associados e serviços dependentes.
  • IIS (Internet Information Services): Descoberta de sites, bindings, diretórios virtuais e certificados associados ao IIS.
  • Logon Scripts: Identificação de scripts executados durante logon de usuários, com análise de conteúdo e permissões.
  • Orphan Users: Detecção de contas locais ou de domínio não mais associadas a dispositivos ou grupos válidos.
  • Remote Desktop Users: Mapeamento de usuários com permissão para RDP, incluindo configurações de grupo e políticas aplicadas.
  • SCOM Run As Accounts: Inventário de contas utilizadas para execução de tarefas no System Center Operations Manager (SCOM), com análise de escopo.
  • Shared Folders: Identificação de pastas compartilhadas e permissões de acesso em estações e servidores Windows.
  • Virtual IIS Directories: Descoberta de diretórios virtuais configurados no IIS, com análise de caminhos físicos e permissões.
  • Windows Auto Login Configurations: Detecção de configurações de login automático (AutoAdminLogon) e riscos associados.
  • Windows Scheduled Tasks: Coleta de tarefas agendadas com detalhes de execução, contas utilizadas e frequência.
  • Windows Services: Inventário de serviços em execução, tipos de inicialização e contas de serviço vinculadas.

Gerenciamento de contas e credenciais em ambientes clusterizados

O Discovery oferece integração nativa com APIs de cluster do Windows (Windows Failover Cluster, Cluster Shared Volume) e soluções de cluster de terceiros (VMware vSphere, Hyper-V, entre outros). Essa integração garante a descoberta, rotação e gerenciamento de contas de serviço e credenciais de forma orquestrada, sem causar downtime ou impacto na disponibilidade dos serviços clusterizados.

Glossário

O Discovery conta com um glossário técnico automatizado que centraliza a definição dos ativos descobertos, seus atributos e relações. Esse recurso especial facilita a compreensão operacional, padroniza a nomenclatura utilizada e apoia análises, auditorias e integrações com sistemas externos.

Principais funcionalidades

  • Mapeamento de termos técnicos: Compila definições e descrições de todos os tipos de ativos identificados, incluindo contas privilegiadas, serviços, aplicações, certificados, tarefas agendadas, segredos e mais.
  • Relações entre ativos: Organiza associações entre objetos (ex.: contas ligadas a serviços, certificados vinculados a aplicações, grupos administrativos conectados a usuários), proporcionando visão contextualizada.
  • Padronização de vocabulário: Garante consistência na forma como ativos e atributos são apresentados em dashboards, relatórios e exportações.
  • Integração com outros recursos: Suporta funcionalidades como topologia, segmentação e visualizações de risco com base em um vocabulário técnico padronizado e enriquecido.

Integração com CMDBs

Compatibilidade com sistemas de gerenciamento de configuração (CMDBs):

  • ServiceNow
  • BMC Helix
  • SolarWinds

Suporte a dispositivos e sistemas

  • Máquinas Virtuais
  • Sistemas iLO
    1. HPE iLO (Integrated Lights-Out):
      Versões suportadas: iLO 4 e iLO 5
      Suportado em servidores HPE ProLiant Gen9, Gen10 e Gen11
    2. Dell iDRAC (Integrated Dell Remote Access Controller):
      Versões suportadas: iDRAC7, iDRAC8, iDRAC9
      Suportado em servidores Dell PowerEdge de 13ª, 14ª e 15ª gerações
    3. Lenovo XClarity / IMM (Integrated Management Module):
      Módulos suportados: IMM2, IMM3 e XClarity Controller
      Usado em servidores Lenovo ThinkSystem e System x
    4. Fujitsu iRMC (Integrated Remote Management Controller):
      Versões suportadas: iRMC S4, iRMC S5
      Suportado em servidores Fujitsu PRIMERGY
  • Dispositivos de Rede: Cisco IOS, F5 BIG-IP, Fortinet, Juniper, Palo Alto, SonicWall, entre outros
  • Atributos e Ativos do AD: IIS, Pools de Aplicações, Tarefas Agendadas
  • SNMP
  • Importações via CSV

Aplicações web

Identificação de contas administrativas, certificados de serviços e contas de sistema em aplicações web como:

  • Apache
  • Elastic Beanstalk
  • F5 BIG-IP
  • GlassFish
  • Google App Engine
  • IIS
  • JBoss
  • Jetty
  • ASP.NET Core Kestrel
  • OpenShift
  • PM2
  • SAP NetWeaver
  • Tomcat
  • WebLogic
  • WebSphere
  • Entre outras

SCADA e outros sistemas

Suporte à descoberta em sistemas SCADA e outros ambientes industriais,redes air-gapped e zonas militares como DMZ.

Integrações de segurança

  • Mapeamento de Vulnerabilidades
  • Validação de Segmentação
  • Mapeamento de Topologia
  • Glossário
  • Integração com Threat Intelligence/SIEM/SOAR
  • Notificações sobre Credenciais Descobertas

AI Agents e governança de privilégios

Ambientes corporativos modernos dependem cada vez mais de agentes de IA — entidades não humanas, autônomas ou semiautônomas, que executam tarefas, tomam decisões e interagem com sistemas usando inteligência artificial. Esses agentes são comumente encontrados em automação de processos robóticos (RPA), assistentes digitais, chatbots, ferramentas de orquestração de segurança e outras plataformas de automação inteligente.

No contexto do Gerenciamento de Acesso Privilegiado (PAM), os agentes de IA representam uma classe nova e crescente de identidades não humanas que devem ser governadas com o mesmo rigor que os usuários humanos. Agentes de IA mal configurados ou não monitorados podem apresentar riscos significativos ao operar com privilégios elevados em sistemas críticos.

O que são agentes de IA?

Na Segura, definimos agentes de IA como:
Identidades não humanas (por exemplo, contas de serviço ou identidades de aplicação) que utilizam inteligência artificial para executar ações, tomar decisões e acessar sistemas de forma autônoma ou semiautônoma em nome de usuários ou processos de negócios.
Esses agentes normalmente operam usando credenciais dedicadas e contas persistentes e atuam como entidades autônomas em fluxos de trabalho de TI e negócios. Eles podem ser responsáveis por interagir com APIs, automatizar decisões ou gerenciar processos sem intervenção humana direta.

Capacidades principais:

  • Identificação automática de AI agents: Mapeamento de bots, assistentes virtuais, RPA bots (UiPath, Automation Anywhere, Blue Prism), agentes de DevOps (Jenkins, GitLab Runner, AWS Lambda, Azure Pipelines) e agentes de segurança (SOAR, SIEM, EDR) em uso.

  • Inventário de privilégios: Descoberta de contas de serviço, tokens, secrets, roles, policies e permissões associadas a cada AI agent, independente do ambiente (on-prem, cloud, container, edge).

  • Classificação de risco e policy violations: Análise do nível de privilégio, detecção de acesso excessivo ou desvio de políticas, com alertas automatizados.

  • Automated access reviews: Geração de relatórios sobre o uso e exposição de AI agents para apoiar revisões de acesso, auditorias e conformidade.

  • Integração com SIEM/SOAR/IGA: Todos os eventos de descoberta, alterações de privilégio ou exposições são integrados a sistemas externos para resposta rápida, governança centralizada e automação de remediação.

Como funciona:

  • Descoberta via APIs nativas, conectores customizáveis, e integrações CI/CD: O Discovery varre ambientes cloud (AWS, Azure, GCP), pipelines (Jenkins, GitLab), plataformas RPA/Chatbot, SaaS e containers, utilizando APIs, credenciais de leitura, varredura de logs, e análise de metadados.

  • Mapeamento dinâmico e contínuo: O processo é periódico ou em tempo real, conforme políticas, garantindo visibilidade contínua sobre todos os AI agents e seus privilégios.

Compliance e auditoria:

Todas as descobertas, classificações e eventos relacionados a AI agents são registrados em logs imutáveis, auditáveis e exportáveis, permitindo resposta rápida a requisitos regulatórios e investigações.

Secrets

O Discovery oferece descoberta automatizada, inventário e governança de segredos e credenciais privilegiadas em todo o ambiente digital. A plataforma assegura detecção contínua, classificação de riscos e remediação de exposições de dados sensíveis em infraestrutura de nuvem, pipelines DevOps, logs/monitoramento, ferramentas de colaboração, código de aplicações e ambientes de execução.

Principais funcionalidades

  • Varredura abrangente de segredos: Detecção em serviços de nuvem, sistemas de log/monitoramento, pipelines CI/CD, variáveis de ambiente, repositórios de código-fonte e ferramentas de colaboração.
  • Monitoramento contínuo e em tempo real: Scans automatizados garantem identificação e gerenciamento rápidos de novos segredos.
  • Onboarding automático e aplicação de políticas: Segredos descobertos são integrados ao Segura® Secrets Manager, com políticas automáticas de rotação, revogação e remediação.
  • Alertas integrados e conformidade: Alertas baseados em risco, trilhas de auditoria completas e dashboards de conformidade.
  • Detecção personalizável: Padrões de detecção, frequência de scans e fluxos de onboarding adaptáveis às necessidades da empresa.
  • Gestão de segredos para AI agents: Detecção, inventário, rotação e entrega dinâmica de segredos utilizados por AI agents e automação inteligente.

Cenários suportados

  1. Infraestrutura de nuvem: Identificação de segredos em AWS, Azure, GCP, Oracle Cloud, Alibaba Cloud.
  2. Logs e sistemas de monitoramento: Scans em Splunk, ELK Stack, Prometheus, Grafana, Datadog, servidores Syslog.
  3. Pipelines CI/CD: Detecção em Jenkins, GitLab CI, GitHub Actions, Azure DevOps, Bitbucket Pipelines.
  4. Variáveis de ambiente: Scans em servidores, containers (Kubernetes, Docker) e workloads em nuvem.
  5. Ferramentas de colaboração e chatbots: Identificação de tokens de API, credenciais de bots, segredos de integração e webhooks em Slack e Microsoft Teams.
  6. Repositórios de código-fonte: Detecção de segredos em GitHub, GitLab, Bitbucket e Azure DevOps.
  7. AI agents e automação inteligente: Identificação, onboarding e governança de segredos utilizados por AI agents em pipelines CI/CD, plataformas de orquestração, ambientes cloud, edge e SaaS, bots em plataformas colaborativas, agentes de segurança e automação RPA. Suporta rotação automática, entrega dinâmica e revogação baseada em contexto ou ciclo de vida da automação.

Plataformas suportadas

  • Nuvem: AWS, Azure, GCP, Oracle Cloud, Alibaba Cloud
  • Logs/Monitoramento: Splunk, ELK Stack, Prometheus, Grafana, Datadog, Syslog
  • Pipelines CI/CD: Jenkins, GitLab CI, GitHub Actions, Azure DevOps, Bitbucket Pipelines
  • Ambientes: Linux, Windows, macOS, Kubernetes, Docker
  • Colaboração: Slack, Microsoft Teams
  • Código-Fonte: GitHub, GitLab, Bitbucket, Azure DevOps
  • AI agents & automação: UiPath, Automation Anywhere, Blue Prism, Microsoft Copilot, ServiceNow Virtual Agent, Slackbot, Google Gemini, Jenkins, GitLab Runner, AWS Lambda, Azure Pipelines, SOAR, SIEM, EDR, e quaisquer automações que demandem segredos ou credenciais de acesso a sistemas e APIs.

Tipos de segredos suportados

  • Chaves de API
  • Senhas de banco de dados
  • Tokens de acesso
  • Chaves SSH
  • Certificados
  • Credenciais de serviço
  • Segredos de webhook
  • Credenciais de bot
  • Outros valores sensíveis

Plataformas de colaboração e aplicativos de mensagens

O Discovery oferece descoberta contínua, inventário e governança de segredos, tokens de API e credenciais privilegiadas armazenadas ou expostas em plataformas de colaboração e mensagens, como Slack e Microsoft Teams. Inclui alertas baseados em risco, remediação automatizada via Secrets Manager e registro completo de auditoria.

Plataformas suportadas

  • Slack
  • Microsoft Teams

Ativos suportados

  • Tokens de API
  • Credenciais de bot
  • Webhooks
  • Segredos de integração
  • Chaves de aplicativos OAuth
  • Principais de serviço

Middleware empresarial e barramentos de serviço

  • Middleware empresarial: MuleSoft, TIBCO, IBM Integration Bus, SAP PI/PO
  • RPA e trabalhadores digitais: UiPath, Automation Anywhere, Blue Prism
  • Gateways de API e proxies de integração: Apigee, Kong, AWS API Gateway, NGINX Plus

Descobertas

Chaves SSH

O Discovery permite a identificação automatizada de chaves SSH em ambientes corporativos. A plataforma realiza varreduras em sistemas e dispositivos para localizar chaves públicas e privadas, associando-as a contas de usuário e serviços específicos. Isso facilita a gestão centralizada de chaves SSH, garantindo conformidade com políticas de segurança e reduzindo riscos associados a acessos não autorizados.