Segura coleta informações e eventos do ambiente para monitorar várias métricas de produtos, incluindo identificadores de tabelas e o status dos robôs em execução. Esses dados podem ser enviados para soluções SIEM para monitoramento.
As soluções SIEM fornecem uma visão abrangente para os administradores de Segurança da Informação, permitindo-lhes monitorar atividades no ambiente de TI através de dados de logs. O SIEM utiliza esses registros para identificar, categorizar e analisar incidentes e eventos, gerando relatórios de segurança que cobrem atividades suspeitas ou maliciosas.
Além disso, o SIEM pode enviar alertas por diferentes canais, como SMS, mensagens instantâneas, e-mail e abertura de tickets, se detectar ameaças potenciais com base em regras de configuração estabelecidas.
Os alertas enviados pelo Segura incluem:
- Autenticação de usuário no dispositivo.
- Login remoto no dispositivo.
- Falhas no servidor do Segura.
- Expiração de senha.
Segura é compatível com as ferramentas SIEM mais utilizadas no mercado e oferece suporte para envio de mensagens nos seguintes formatos:
- CEF
- Syslog (RFC 5424)
- Sensage
Mensagens CEF
CEF é um formato de mensagem criado para padronizar o envio de informações para SIEM e segue a ordem CEF:0|MT4|Segura|3.27.0-4|336.501|UPDATE INCIDENT|9|Extensions.
| Campo |
Descrição |
Valor de Exemplo |
| Versão |
A versão do formato CEF. |
0 |
| Fabricante |
O nome da empresa responsável pelo produto. |
MT4 |
| Produto |
O nome do produto gerando o evento. |
Segura |
| Versão do Produto |
A versão do produto. |
3.27.0-4 |
| ID do Evento |
O ID do evento que ocorreu. Cada ID é único para identificar o evento. |
336501 |
| Nome do Evento |
O tipo de evento que ocorreu. Indica a natureza do evento (por exemplo, "Update Incident"). |
Update Incident |
| Severidade |
A severidade do evento que ocorreu. Varia de 1 (menos severo) a 10 (mais severo). |
9 |
Além disso, o sistema apresenta uma lista de extensões que fornecem informações detalhadas sobre o evento.
Mensagens RFC 5424
O Segura também suporta arquivos syslog que seguem o padrão RFC 5424. O cabeçalho deste formato de mensagem contém os seguintes campos:
- prioridade: de acordo com o tipo de evento
- facility: 1 (usuário)
- App: Segura
- procid: PID do processo atual
- message: mensagem do evento
Mensagens suportadas
Estes são alguns dos formatos de mensagens que são nativos do Segura e podem ser exportados para uma solução SIEM externa:
### Tipo de Mensagem (SUID)
| SUID |
Eventos |
| 8 |
Perda / Recuperação de Conectividade |
| 9 |
Rotação de senha |
| 15 |
Backup completo |
| 17 |
Senha alterada |
| 153 |
Sessão Iniciada / Encerrada |
| 164 |
Visualização de senha |
| dst |
Endereço IP do dispositivo alvo do evento |
| dhost |
Nome do host do dispositivo afetado pelo evento |
Backup
| Chave |
Exemplo |
Descrição |
| msg |
Backup enviado para o servidor 'localhost:/srv/backup' via local |
|
| suid |
|
Tipo de Notificação |
| sname |
Script Assíncrono: 8 |
ID do Script de Backup |
| suser |
|
Não aplicável |
| spid |
|
ID Único da Notificação |
| dhost |
localhost |
Nome do servidor de backup |
Conectividade Perdida
| Chave |
Exemplo |
Descrição |
| msg |
Appliance localhost (127.0.0.1) perdeu conectividade SSH |
|
| suid |
|
Tipo de Notificação |
| sname |
Script Assíncrono: 9 |
Nome do usuário que perdeu conectividade |
| suser |
|
Não aplicável |
| spid |
|
ID Único da Notificação |
| dst |
.0.1 |
Endereço IP do dispositivo |
| dhost |
localhost |
Nome do servidor de backup |
| dport |
|
Porta do dispositivo |
Conectividade Restaurada
| Chave |
Exemplo |
Descrição |
| msg |
Appliance localhost (127.0.0.1) recuperou conectividade SSH |
|
| suid |
|
Tipo de Notificação |
| sname |
Script Assíncrono: 9 |
Nome do usuário que teve a conexão restaurada |
| suser |
|
Não aplicável |
| spid |
|
ID Único da Notificação |
| dst |
.0.1 |
Endereço IP do dispositivo |
| dhost |
localhost |
Nome do servidor de backup |
Senha alterada
| Chave |
Exemplo |
Descrição |
| msg |
Senha do localhost (127.0.0.1) - Usuário de Domínio - root alterada pelo usuário stlee |
Mensagem do evento |
| suid |
|
ID Único da Notificação |
| sname |
Stephen Lee |
Usuário que alterou a senha |
| suser |
|
Não aplicável |
| spid |
|
ID Único da Notificação |
| duser |
root |
Nome de usuário da senha alterada |
| dst |
.0.1 |
Endereço IP do dispositivo |
| dhost |
localhost |
Nome do dispositivo da senha |
Visualização de senha
| Chave |
Exemplo |
Descrição |
| msg |
Senha do localhost (127.0.0.1) - Usuário de Domínio - root visualizada pelo usuário stlee |
Mensagem do evento |
| suid |
|
Tipo de Notificação |
| sname |
Stephen Lee |
Usuário que visualizou a senha |
| suser |
|
Não aplicável |
| spid |
|
ID Único da Notificação |
| duser |
root duid=35 |
Nome de usuário da senha |
| dst |
.0.1 |
Endereço IP do dispositivo |
| dhost |
localhost |
Nome do dispositivo da senha |
Sessão Encerrada
| Chave |
Exemplo |
Descrição |
| msg |
Sessão encerrada para localhost (127.0.0.1) - Usuário Privilegiado de Domínio - srv_admin pelo usuário Stephen Lee (stlee) |
Mensagem do evento |
| suid |
|
Tipo de Notificação |
| sname |
Stephen Lee |
Nome do usuário que encerrou a sessão |
| suser |
stlee |
Detalhes de login do usuário que encerrou a sessão |
| spid |
|
ID do Processo |
| dst |
.10.156 |
Endereço IP alvo |
| dport |
|
Não aplicável |
| duser |
cqss |
Usuário solicitado |
Mensagens Tipo (SUID)
| SUID |
Eventos |
| 8 |
Perda / Recuperação de Conectividade |
| 9 |
Rotação de senha |
| 15 |
Backup completo |
| 17 |
Senha alterada |
| 153 |
Sessão Iniciada / Encerrada |
| 164 |
Visualização de senha |
| dst |
Endereço IP do dispositivo alvo do evento |
| dhost |
Nome do host do dispositivo afetado pelo evento |
Mensagens RFC 5424
O Segura também suporta arquivos syslog que seguem o padrão RFC 5424. O cabeçalho deste formato de mensagem contém os seguintes campos:
- prioridade: de acordo com o tipo de evento
- facility: 1 (usuário)
- App: Segura
- procid: PID do processo atual
- message: mensagem do evento
Mensagens suportadas (continuação)
Senha alterada (continuação)
| Chave |
Exemplo |
Descrição |
| msg |
Senha do localhost (127.0.0.1) - Usuário de Domínio - root alterada pelo usuário stlee |
Mensagem do evento |
| suid |
|
ID Único da Notificação |
| sname |
Stephen Lee |
Usuário que alterou a senha |
| suser |
|
Não aplicável |
| spid |
|
ID Único da Notificação |
| duser |
root |
Nome de usuário da senha alterada |
| dst |
.0.1 |
Endereço IP do dispositivo |
| dhost |
localhost |
Nome do dispositivo da senha |
Visualização de senha (continuação)
| Chave |
Exemplo |
Descrição |
| msg |
Senha do localhost (127.0.0.1) - Usuário de Domínio - root visualizada pelo usuário stlee |
Mensagem do evento |
| suid |
|
Tipo de Notificação |
| sname |
Stephen Lee |
Usuário que visualizou a senha |
| suser |
|
Não aplicável |
| spid |
|
ID Único da Notificação |
| duser |
root |
Nome de usuário da senha |
| dst |
.0.1 |
Endereço IP do dispositivo |
| dhost |
localhost |
Nome do dispositivo da senha |
Sessão Iniciada
| Chave |
Exemplo |
Descrição |
| msg |
Sessão iniciada para localhost (127.0.0.1) - Usuário Privilegiado de Domínio - root pelo usuário Stephen Lee (stlee) |
Mensagem do evento |
| suid |
|
Tipo de Notificação |
| sname |
Stephen Lee |
Nome do usuário que iniciou a sessão |
| suser |
stlee |
Detalhes de login do usuário que iniciou a sessão |
| spid |
|
ID do Processo |
| dst |
.0.1 |
Endereço IP do dispositivo |
| dport |
|
Porta do dispositivo |
| duser |
root |
Login utilizado na sessão remota |
Troca realizada
| Chave |
Exemplo |
Descrição |
| msg |
Sessão encerrada para localhost (127.0.0.1) - Usuário Privilegiado de Domínio - pelo usuário Stephen Lee (stlee) |
Mensagem do evento |
| suid |
|
Usuário logado |
| sname |
Script Assíncrono: 17 |
ID do Script de alteração de senha |
| suser |
|
Não aplicável |
| spid |
|
Tipo de Notificação |
| dst |
.0.1 |
Endereço IP do dispositivo |
| duser |
root |
Usuário associado à alteração de senha |
Solicitação de senha
| Chave |
Exemplo |
Descrição |
| msg |
Usuário 'Stephen Lee' fez uma solicitação. Detalhes da Solicitação: Ação de visualização de senha para o credencial cqss no dispositivo win2012 (192.168.10.156) |
Mensagem do evento |
| suid |
|
Usuário logado |
| sname |
Stephen Lee |
Nome do usuário logado |
| suser |
stlee |
Nome de usuário do solicitante |
| spid |
|
ID do Processo |
| dst |
.10.156 |
Endereço IP alvo |
| duser |
cqss |
Usuário solicitado |
| cs1Label |
GMUD |
Rótulo do campo |
| cs1 |
|
ID do arquivo |
| cs2Label |
Validade Início |
Rótulo do campo |
| cs2 |
-01-19 10:41:00 |
Data e hora da solicitação |
| cs3Label |
Validade Fim |
Rótulo do campo |
| cs3 |
-01-19 11:41:00 |
Data e hora de expiração da solicitação |
| cs4Label |
Aprovador |
Rótulo do campo |
| cs4 |
Administrator |
Aprovador |
| cs5Label |
Solicitante |
Rótulo do campo |
| cs5 |
Stephen |
Usuário solicitante |
| cs6Label |
Ação |
Rótulo do campo |
| cs7 |
Visualizar senha |
Descrição da Ação |
Solicitação Aprovada
| Chave |
Exemplo |
Descrição |
| msg |
Solicitação aprovada pela Administradora em 19/01/2017 10:44:30. Código: S000296 Solicitante: Steven Lee Solicitado em: 19/01/2017 10:44:13 Detalhes da Solicitação: Ação de visualização de senha para o credencial cqss no dispositivo win2012 (192.168.10.156) |
Mensagem do evento |
| suid |
|
Usuário logado |
| sname |
Leia West |
Nome do usuário logado |
| suser |
lwest |
Nome de usuário do log |
| spid |
|
ID do Processo |
| dst |
.10.156 |
Endereço IP alvo |
| duser |
cqss |
Usuário associado ao credencial solicitado |
Mensagens suportadas (continuação)
Execução de Comando Detectada - Bloquear e Encerrar Sessão
| Chave |
Exemplo |
Descrição |
| msg |
Um comando auditado foi detectado! Ação: comando bloqueado e sessão encerrada |
Mensagem do evento |
| suid |
|
Usuário logado |
| sname |
Caleb |
Usuário do Segura que iniciou a sessão |
| suser |
caleb |
Nome de usuário que iniciou a sessão |
| spid |
|
Tipo de Mensagem |
| dst |
.0.1 |
Endereço IP do dispositivo alvo |
| dport |
|
Porta utilizada |
| duser |
usrmanut |
Usuário associado ao dispositivo alvo |
Execução de Comando Detectada - Bloquear
| Chave |
Exemplo |
Descrição |
| msg |
Um comando auditado foi detectado! Ação: Notificação enviada e comando permitido |
Mensagem do evento |
| suid |
|
Usuário logado |
| sname |
Caleb |
Usuário que iniciou a sessão |
| suser |
caleb |
Nome de usuário que iniciou a sessão |
| spid |
|
Tipo de Mensagem |
| dst |
.0.1 |
Endereço IP do dispositivo |
| dport |
|
Porta utilizada |
| duser |
usrmanut |
Usuário que iniciou a sessão |
Erro ao alterar senha
| Chave |
Exemplo |
Descrição |
| msg |
Erro ao alterar senha 'Windows SQL Test Remote App (192.168.30.55) - Usuário de Domínio – 'stleeadm': O dispositivo 'Windows SQL Test Remote App (192.168.30.55)' não possui conectividade Windows RPC |
Mensagem do evento |
| suid |
|
Usuário logado |
| sname |
Stephen Lee |
Nome do usuário que iniciou a sessão |
| suser |
stlee |
Nome de usuário que iniciou a sessão |
| spid |
|
Tipo de Mensagem |
| dst |
.30.55 |
Endereço IP alvo |
| dpt |
|
Não aplicável |
| duser |
stleeadm |
Usuário associado à tentativa de alteração |
Mudança em arquivo armazenado
| Chave |
Exemplo |
Descrição |
| msg |
Um arquivo de sessão foi modificado! |
|
| suid |
|
Usuário logado |
| sname |
Script Assíncrono: 12 |
Nome do usuário logado |
| suser |
asc_12 |
Nome de usuário |
| spid |
|
ID do Processo |
| dst |
|
Não aplicável |
| dpt |
|
Não aplicável |
| duser |
|
Não aplicável |
| cs1Label |
Id |
Rótulo do campo |
| cs1 |
|
ID do arquivo |
| cs2Label |
Tamanho Inicial |
Rótulo do campo |
| cs2 |
|
Tamanho inicial |
| cs3Label |
Tamanho Final |
Rótulo do campo |
| cs3 |
|
Tamanho final em bytes |
| cs4Label |
Checksum Inicial |
Rótulo do campo |
| cs4 |
f5751777b74f8e2f2... |
Checksum anterior |
| cs5Label |
Checksum Final |
Rótulo do campo |
| cs5 |
284f1555574548901... |
Checksum do arquivo |
Chave Mestra - Usuários que visualizaram sua parte da chave
| Chave |
Exemplo |
Descrição |
| msg |
O usuário acessou sua parte da chave. |
|
| suid |
|
Usuário logado |
| sname |
Stephen Lee |
Nome do usuário logado |
| suser |
stlee |
Nome de usuário que iniciou a sessão |
| Method |
POST |
|
| act |
Usuário visualizou sua parte da chave |
|
| ServiceName |
Backup |
|
Chave Mestra - Download de PDF com sua parte da chave
| Chave |
Exemplo |
Descrição |
| msg |
O Usuário fez download do PDF com sua parte da chave. |
|
| suid |
|
Usuário logado |
| sname |
Stephen Lee |
Nome do usuário logado |
| suser |
stlee |
Nome de usuário que iniciou a sessão |
| Method |
POST |
|
| act |
Usuário fez download do PDF com sua parte da chave |
|
| ServiceName |
Backup |
|
Chave Mestra - Início de Cerimônia de Chave
| Chave |
Exemplo |
Descrição |
| msg |
O processo de cerimônia de chave iniciou. |
|
| suid |
|
Usuário logado |
| sname |
José da Silva |
Nome do usuário logado |
| suser |
jsilva |
Nome de usuário que iniciou a sessão |
| spriv |
Administrador |
|
| Method |
POST |
Valor fixo |
| act |
Processo de cerimônia iniciado |
Ação realizada |
| ServiceName |
Backup |
|
Chave Mestra - Fim de Cerimônia de Chave
| Chave |
Exemplo |
Descrição |
| msg |
Processo de cerimônia completado. |
|
| suid |
|
Usuário logado |
| sname |
José da Silva |
Nome do usuário logado |
| suser |
jsilva |
Nome de usuário que iniciou a sessão |
| spriv |
Administrador |
|
| Method |
GET |
|
| act |
Processo de cerimônia completado |
|
| ServiceName |
Backup |
|
Chave Mestra - Guardião de Chave Mestra Inativo
| Chave |
Exemplo |
Descrição |
| msg |
O guardião da chave mestra está atualmente inativo. |
|
| suid |
|
ID do usuário logado |
| sname |
Jane Doe |
Nome de usuário |
| suser |
jdoe |
Nome de usuário do solicitante |
| spriv |
Usuário |
Camada de aplicação |
| dvc |
.225.14 |
Host IPv4 do dispositivo |
| spid |
|
PID interno |
| act |
Incidente |
Ação realizada |
| dproc |
master_key_guardian |
Nome do processo alvo |
Chave Mestra - Falha na recuperação
| Chave |
Exemplo |
Descrição |
| msg |
A tentativa de recuperação falhou. |
Partes de chave inválidas |
| requestMethod |
POST |
Valor fixo |
| act |
Falha na tentativa de recuperação |
Tipo de falha de recuperação |
| sourceServiceName |
Chave Mestra |
Módulo de operação |
| originIP |
.148.162 |
Endereço IP do usuário solicitante |
| country |
Brasil |
Geolocalização: país |
| state |
São Paulo |
Geolocalização: estado |
| city |
Taboão da Serra |
Geolocalização: cidade |
| latitude |
|
Geolocalização: latitude GPS |
| longitude |
|
Geolocalização: longitude GPS |
| partsNeeded |
|
Partes de chave necessárias para recuperação |
| partsSent |
|
Número de tentativas com partes de chave enviadas |
| suid |
|
ID do usuário logado |
| sname |
|
Nome do usuário logado |
| suser |
|
Nome de usuário do solicitante |
| spriv |
Usuário |
Camada de aplicação |
| dvc |
.2.17 |
Host IPv4 do dispositivo |
| spid |
|
PID interno |
| src |
.0.1 |
Endereço IP de origem |
| act |
Incidente |
Ação realizada |
| dproc |
master_key_guardian |
Nome do processo alvo |
Chave Mestra - Recuperação bem-sucedida
| Chave |
Exemplo |
Descrição |
| msg |
Tentativa de recuperação bem-sucedida. |
As partes de chave foram validadas |
| requestMethod |
POST |
Valor fixo |
| act |
Tentativa de recuperação bem-sucedida |
Tipo de recuperação bem-sucedida |
| sourceServiceName |
Chave Mestra |
Módulo de operação |
| originIP |
.10.13 |
Endereço IP do usuário solicitante |
| country |
Brasil |
Geolocalização: país |
| state |
São Paulo |
Geolocalização: estado |
| city |
Taboão da Serra |
Geolocalização: cidade |
| latitude |
|
Geolocalização: latitude GPS |
| longitude |
|
Geolocalização: longitude GPS |
| partsNeeded |
|
Partes de chave necessárias para recuperação |
| partsSent |
|
Número de tentativas com partes de chave enviadas |
| suid |
|
ID do usuário logado |
| sname |
|
Nome do usuário logado |
| suser |
|
Nome de usuário do solicitante |
| spriv |
Usuário |
Camada de aplicação |
| dvc |
.10.20 |
Host IPv4 do dispositivo |
| spid |
|
PID interno |
| src |
.10.13 |
Endereço IP de origem |
| act |
Incidente |
Ação realizada |
| dproc |
master_key_guardian |
Nome do processo alvo |
Relatórios - Agendamento de E-mail
| Chave |
Exemplo |
Descrição |
| dvc |
.20.30 |
IP do Servidor Segura |
| spid |
|
ID do Processo no Sistema Operacional |
| src |
.20.10 |
Endereço IP do usuário que realizou a operação |
| suid |
|
ID do usuário que realizou a operação |
| sname |
John Doe |
Nome do usuário que realizou a operação |
| suser |
jdoe |
Nome de usuário de quem realizou a operação |
| spriv |
Administrador |
Usuário privilegiado utilizado para a operação |
| msg |
Agendamento de relatório - Criação |
Operação realizada |
| requestMethod |
POST |
Método HTTP utilizado |
| act |
Agendamento de relatório - Criação |
Operação realizada |
| sourceServiceName |
Agendamento de relatórios |
Categoria de operação |
| cs1Label |
Usuário |
Rótulo para usuário solicitante |
| cs1 |
John Doe |
Usuário solicitante |
| cs2Label |
ID do Usuário |
Rótulo para ID do usuário |
| cs2 |
|
ID do usuário |
| cs3Label |
Agendamento |
Rótulo para o nome do agendamento |
| cs3 |
My schedule |
Nome do agendamento |
| cs4Label |
ID do Agendamento |
Rótulo para o ID do agendamento |
| cs4 |
|
ID do agendamento |
| cs5Label |
Relatórios adicionados |
Rótulo para relatórios adicionados |
| cs5 |
Configurações ➔ Autenticação ➔ Autenticação multifator ➔ Provedores |
Relatórios adicionados |
| cs7Label |
Usuários adicionados |
Rótulo para usuários adicionados |
| cs7 |
jdoe - John Doe |
Usuários que receberão a notificação |
Relatórios - Atualizar um Agendamento
| Chave |
Exemplo |
Descrição |
| dvc |
.20.30 |
IP do Servidor Segura |
| spid |
|
ID do Processo no Sistema Operacional |
| src |
.20.10 |
Endereço IP do usuário que realizou a operação |
| suid |
|
ID do usuário que realizou a operação |
| sname |
John Doe |
Nome do usuário que realizou a operação |
| suser |
jdoe |
Nome de usuário de quem realizou a operação |
| spriv |
Administrador |
Usuário privilegiado utilizado para a operação |
| msg |
Agendamento de relatório - Atualização |
Operação realizada |
| requestMethod |
POST |
Método HTTP utilizado |
| act |
Agendamento de relatório - Atualização |
Operação realizada |
| sourceServiceName |
Agendamento de relatórios |
Categoria de operação |
| cs1Label |
Usuário |
Rótulo para nome do usuário solicitante |
| cs1 |
John Doe |
Usuário solicitante |
| cs2Label |
ID do Usuário |
Rótulo para ID do usuário |
| cs2 |
|
ID do usuário |
| cs3Label |
Agendamento |
Rótulo para o nome do agendamento |
| cs3 |
My schedule |
Nome do agendamento |
| cs4Label |
ID do Agendamento |
Rótulo para o ID do agendamento |
| cs4 |
|
ID do agendamento |
| cs5Label |
Relatórios adicionados |
Rótulo para relatórios adicionados |
| cs5 |
None |
Relatórios adicionados |
| cs6Label |
Relatórios removidos |
Rótulo para relatórios removidos |
| cs6 |
None |
Relatórios removidos |
| cs7Label |
Usuários adicionados |
Rótulo para usuários adicionados |
| cs7 |
None |
Usuários adicionados |
| cs8Label |
Usuários removidos |
Rótulo para usuários removidos |
| cs8 |
None |
Usuários removidos |
Relatórios - Exclusão
| Chave |
Exemplo |
Descrição |
| dvc |
.20.30 |
IP do Servidor Segura |
| spid |
|
ID do Processo no Sistema Operacional |
| src |
.20.10 |
Endereço IP do usuário que realizou a operação |
| suid |
|
ID do usuário que realizou a operação |
| sname |
John Doe |
Nome do usuário que realizou a operação |
| suser |
jdoe |
Nome de usuário de quem realizou a operação |
| spriv |
Administrador |
Usuário privilegiado utilizado para a operação |
| msg |
Agendamento de relatório - Exclusão |
Operação realizada |
| requestMethod |
POST |
Método HTTP utilizado |
| act |
Agendamento de relatório - Exclusão |
Operação realizada |
| sourceServiceName |
Agendamento de relatórios |
Categoria de operação |
| cs1Label |
Usuário |
Rótulo para usuário solicitante |
| cs1 |
John Doe |
Usuário solicitante |
| cs2Label |
ID do Usuário |
Rótulo para ID do usuário |
| cs2 |
|
ID do usuário |
| cs3Label |
Agendamento |
Rótulo para o nome deste agendamento |
| cs3 |
My schedule |
Nome do agendamento |
| cs4Label |
ID do Agendamento |
Rótulo para o ID do agendamento |
| cs4 |
|
ID do agendamento |