Segura® coleta informações e eventos do ambiente para monitorar várias métricas de produtos, incluindo identificadores de tabelas e o status dos robôs em execução. Esses dados podem ser enviados para soluções SIEM para monitoramento.
As soluções SIEM fornecem uma visão abrangente para os administradores de Segurança da Informação, permitindo-lhes monitorar atividades no ambiente de TI através de dados de logs. O SIEM utiliza esses registros para identificar, categorizar e analisar incidentes e eventos, gerando relatórios de segurança que cobrem atividades suspeitas ou maliciosas.
Além disso, o SIEM pode enviar alertas por diferentes canais, como SMS, mensagens instantâneas, e-mail e abertura de tickets, se detectar ameaças potenciais com base em regras de configuração estabelecidas.
Os alertas enviados pelo Segura® incluem:
- Autenticação de usuário no dispositivo.
- Login remoto no dispositivo.
- Falhas no servidor do Segura®.
- Expiração de senha.
Segura® é compatível com as ferramentas SIEM mais utilizadas no mercado e oferece suporte para envio de mensagens nos seguintes formatos: - CEF
- Syslog (RFC 5424)
- Sensage
Mensagens CEF
CEF é um formato de mensagem criado para padronizar o envio de informações para SIEM e segue a ordem CEF:0|MT4|Segura®|3.27.0-4|336.501|UPDATE INCIDENT|9|Extensions.
| Campo | Descrição | Valor de Exemplo |
|---|---|---|
| Versão | A versão do formato CEF. | 0 |
| Fabricante | O nome da empresa responsável pelo produto. | MT4 |
| Produto | O nome do produto gerando o evento. | Segura® |
| Versão do Produto | A versão do produto. | 3.27.0-4 |
| ID do Evento | O ID do evento que ocorreu. Cada ID é único para identificar o evento. | 336501 |
| Nome do Evento | O tipo de evento que ocorreu. Indica a natureza do evento (por exemplo, "Update Incident"). | Update Incident |
| Severidade | A severidade do evento que ocorreu. Varia de 1 (menos severo) a 10 (mais severo). | 9 |
Além disso, o sistema apresenta uma lista de extensões que fornecem informações detalhadas sobre o evento.
Mensagens RFC 5424
O Segura® também suporta arquivos syslog que seguem o padrão RFC 5424. O cabeçalho deste formato de mensagem contém os seguintes campos:
- prioridade: de acordo com o tipo de evento
- facility: 1 (usuário)
- App: Segura®
- procid: PID do processo atual
- message: mensagem do evento
Mensagens suportadas
Estes são alguns dos formatos de mensagens que são nativos do Segura® e podem ser exportados para uma solução SIEM externa:
Tipo de Mensagem (SUID)
| SUID | Eventos |
|---|---|
| 8 | Perda / Recuperação de Conectividade |
| 9 | Rotação de senha |
| 15 | Backup completo |
| 17 | Senha alterada |
| 153 | Sessão Iniciada / Encerrada |
| 164 | Visualização de senha |
| dst | Endereço IP do dispositivo alvo do evento |
| dhost | Nome do host do dispositivo afetado pelo evento |
Backup
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Backup enviado para o servidor 'localhost:/srv/backup' via local | |
| suid | Tipo de Notificação | |
| sname | Script Assíncrono: 8 | ID do Script de Backup |
| suser | Não aplicável | |
| spid | ID Único da Notificação | |
| dhost | localhost | Nome do servidor de backup |
Conectividade Perdida
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Appliance localhost (127.0.0.1) perdeu conectividade SSH | |
| suid | Tipo de Notificação | |
| sname | Script Assíncrono: 9 | Nome do usuário que perdeu conectividade |
| suser | Não aplicável | |
| spid | ID Único da Notificação | |
| dst | .0.1 | Endereço IP do dispositivo |
| dhost | localhost | Nome do servidor de backup |
| dport | Porta do dispositivo |
Conectividade Restaurada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Appliance localhost (127.0.0.1) recuperou conectividade SSH | |
| suid | Tipo de Notificação | |
| sname | Script Assíncrono: 9 | Nome do usuário que teve a conexão restaurada |
| suser | Não aplicável | |
| spid | ID Único da Notificação | |
| dst | .0.1 | Endereço IP do dispositivo |
| dhost | localhost | Nome do servidor de backup |
Senha alterada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Senha do localhost (127.0.0.1) - Usuário de Domínio - root alterada pelo usuário stlee | Mensagem do evento |
| suid | ID Único da Notificação | |
| sname | Stephen Lee | Usuário que alterou a senha |
| suser | Não aplicável | |
| spid | ID Único da Notificação | |
| duser | root | Nome de usuário da senha alterada |
| dst | .0.1 | Endereço IP do dispositivo |
| dhost | localhost | Nome do dispositivo da senha |
Visualização de senha
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Senha do localhost (127.0.0.1) - Usuário de Domínio - root visualizada pelo usuário stlee | Mensagem do evento |
| suid | Tipo de Notificação | |
| sname | Stephen Lee | Usuário que visualizou a senha |
| suser | Não aplicável | |
| spid | ID Único da Notificação | |
| duser | root duid=35 | Nome de usuário da senha |
| dst | .0.1 | Endereço IP do dispositivo |
| dhost | localhost | Nome do dispositivo da senha |
Sessão Encerrada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Sessão encerrada para localhost (127.0.0.1) - Usuário Privilegiado de Domínio - srv_admin pelo usuário Stephen Lee (stlee) | Mensagem do evento |
| suid | Tipo de Notificação | |
| sname | Stephen Lee | Nome do usuário que encerrou a sessão |
| suser | stlee | Detalhes de login do usuário que encerrou a sessão |
| spid | ID do Processo | |
| dst | .10.156 | Endereço IP alvo |
| dport | Não aplicável | |
| duser | cqss | Usuário solicitado |
Mensagens Tipo (SUID)
| SUID | Eventos |
|---|---|
| 8 | Perda / Recuperação de Conectividade |
| 9 | Rotação de senha |
| 15 | Backup completo |
| 17 | Senha alterada |
| 153 | Sessão Iniciada / Encerrada |
| 164 | Visualização de senha |
| dst | Endereço IP do dispositivo alvo do evento |
| dhost | Nome do host do dispositivo afetado pelo evento |
Mensagens RFC 5424
O Segura® também suporta arquivos syslog que seguem o padrão RFC 5424. O cabeçalho deste formato de mensagem contém os seguintes campos:
- prioridade: de acordo com o tipo de evento
- facility: 1 (usuário)
- App: Segura®
- procid: PID do processo atual
- message: mensagem do evento
Mensagens suportadas (continuação)
Senha alterada (continuação)
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Senha do localhost (127.0.0.1) - Usuário de Domínio - root alterada pelo usuário stlee | Mensagem do evento |
| suid | ID Único da Notificação | |
| sname | Stephen Lee | Usuário que alterou a senha |
| suser | Não aplicável | |
| spid | ID Único da Notificação | |
| duser | root | Nome de usuário da senha alterada |
| dst | .0.1 | Endereço IP do dispositivo |
| dhost | localhost | Nome do dispositivo da senha |
Visualização de senha (continuação)
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Senha do localhost (127.0.0.1) - Usuário de Domínio - root visualizada pelo usuário stlee | Mensagem do evento |
| suid | Tipo de Notificação | |
| sname | Stephen Lee | Usuário que visualizou a senha |
| suser | Não aplicável | |
| spid | ID Único da Notificação | |
| duser | root | Nome de usuário da senha |
| dst | .0.1 | Endereço IP do dispositivo |
| dhost | localhost | Nome do dispositivo da senha |
Sessão Iniciada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Sessão iniciada para localhost (127.0.0.1) - Usuário Privilegiado de Domínio - root pelo usuário Stephen Lee (stlee) | Mensagem do evento |
| suid | Tipo de Notificação | |
| sname | Stephen Lee | Nome do usuário que iniciou a sessão |
| suser | stlee | Detalhes de login do usuário que iniciou a sessão |
| spid | ID do Processo | |
| dst | .0.1 | Endereço IP do dispositivo |
| dport | Porta do dispositivo | |
| duser | root | Login utilizado na sessão remota |
Troca realizada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Sessão encerrada para localhost (127.0.0.1) - Usuário Privilegiado de Domínio - pelo usuário Stephen Lee (stlee) | Mensagem do evento |
| suid | Usuário logado | |
| sname | Script Assíncrono: 17 | ID do Script de alteração de senha |
| suser | Não aplicável | |
| spid | Tipo de Notificação | |
| dst | .0.1 | Endereço IP do dispositivo |
| duser | root | Usuário associado à alteração de senha |
Solicitação de senha
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Usuário 'Stephen Lee' fez uma solicitação. Detalhes da Solicitação: Ação de visualização de senha para o credencial cqss no dispositivo win2012 (192.168.10.156) | Mensagem do evento |
| suid | Usuário logado | |
| sname | Stephen Lee | Nome do usuário logado |
| suser | stlee | Nome de usuário do solicitante |
| spid | ID do Processo | |
| dst | .10.156 | Endereço IP alvo |
| duser | cqss | Usuário solicitado |
| cs1Label | GMUD | Rótulo do campo |
| cs1 | ID do arquivo | |
| cs2Label | Validade Início | Rótulo do campo |
| cs2 | -01-19 10:41:00 | Data e hora da solicitação |
| cs3Label | Validade Fim | Rótulo do campo |
| cs3 | -01-19 11:41:00 | Data e hora de expiração da solicitação |
| cs4Label | Aprovador | Rótulo do campo |
| cs4 | Administrator | Aprovador |
| cs5Label | Solicitante | Rótulo do campo |
| cs5 | Stephen | Usuário solicitante |
| cs6Label | Ação | Rótulo do campo |
| cs7 | Visualizar senha | Descrição da Ação |
Solicitação aprovada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Solicitação aprovada pela Administradora em 19/01/2017 10:44:30. Código: S000296 Solicitante: Steven Lee Solicitado em: 19/01/2017 10:44:13 Detalhes da Solicitação: Ação de visualização de senha para o credencial cqss no dispositivo win2012 (192.168.10.156) | Mensagem do evento |
| suid | Usuário logado | |
| sname | Leia West | Nome do usuário logado |
| suser | lwest | Nome de usuário do log |
| spid | ID do Processo | |
| dst | .10.156 | Endereço IP alvo |
| duser | cqss | Usuário associado ao credencial solicitado |
Solicitação reprovada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Informação ’teste’ visualizada | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| spid | PID do processo | |
| dst | .10.156 | IP Destino |
| dpt | Não utilizado | |
| duser | cqss | Login do usuário solicitado |
| cs1Label | GMUD | Label do campo |
| cs1 | Id do arquivo | |
| cs2Label | Início Validade | Label do campo |
| cs2 | -01-19 10:41:00 | Data de início da solicitação |
| cs3Label | Fim Validade | Label do campo |
| cs3 | -01-19 11:41:00 | Data de validade da solicitação |
| cs4Label | Aprovador | Label do campo |
| cs4 | Administrador | Usuário Aprovador |
| cs5Label | Solicitante | Label do campo |
| cs5 | Maria da Silva | Usuário Solicitante |
| Cs6 | Ação | Label do campo |
| Cs7 | Visualizar senha | Descrição da ação |
Mensagens suportadas (continuação)
Execução de Comando Detectada - Bloquear e Encerrar Sessão
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um comando auditado foi detectado! Ação: comando bloqueado e sessão encerrada | Mensagem do evento |
| suid | Usuário logado | |
| sname | Caleb | Usuário do Segura® que iniciou a sessão |
| suser | caleb | Nome de usuário que iniciou a sessão |
| spid | Tipo de Mensagem | |
| dst | .0.1 | Endereço IP do dispositivo alvo |
| dport | Porta utilizada | |
| duser | usrmanut | Usuário associado ao dispositivo alvo |
Execução de Comando Detectada - Bloquear
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um comando auditado foi detectado! Ação: Notificação enviada e comando permitido | Mensagem do evento |
| suid | Usuário logado | |
| sname | Caleb | Usuário que iniciou a sessão |
| suser | caleb | Nome de usuário que iniciou a sessão |
| spid | Tipo de Mensagem | |
| dst | .0.1 | Endereço IP do dispositivo |
| dport | Porta utilizada | |
| duser | usrmanut | Usuário que iniciou a sessão |
Erro ao alterar senha
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Erro ao alterar senha 'Windows SQL Test Remote App (192.168.30.55) - Usuário de Domínio – 'stleeadm': O dispositivo 'Windows SQL Test Remote App (192.168.30.55)' não possui conectividade Windows RPC | Mensagem do evento |
| suid | Usuário logado | |
| sname | Stephen Lee | Nome do usuário que iniciou a sessão |
| suser | stlee | Nome de usuário que iniciou a sessão |
| spid | Tipo de Mensagem | |
| dst | .30.55 | Endereço IP alvo |
| dpt | Não aplicável | |
| duser | stleeadm | Usuário associado à tentativa de alteração |
Mudança em arquivo armazenado
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um arquivo de sessão foi modificado! | |
| suid | Usuário logado | |
| sname | Script Assíncrono: 12 | Nome do usuário logado |
| suser | asc_12 | Nome de usuário |
| spid | ID do Processo | |
| dst | Não aplicável | |
| dpt | Não aplicável | |
| duser | Não aplicável | |
| cs1Label | Id | Rótulo do campo |
| cs1 | ID do arquivo | |
| cs2Label | Tamanho Inicial | Rótulo do campo |
| cs2 | Tamanho inicial | |
| cs3Label | Tamanho Final | Rótulo do campo |
| cs3 | Tamanho final em bytes | |
| cs4Label | Checksum Inicial | Rótulo do campo |
| cs4 | f5751777b74f8e2f2... | Checksum anterior |
| cs5Label | Checksum Final | Rótulo do campo |
| cs5 | 284f1555574548901... | Checksum do arquivo |
Chave Mestra - Usuários que visualizaram sua parte da chave
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | O usuário acessou sua parte da chave. | |
| suid | Usuário logado | |
| sname | Stephen Lee | Nome do usuário logado |
| suser | stlee | Nome de usuário que iniciou a sessão |
| Method | POST | |
| act | Usuário visualizou sua parte da chave | |
| ServiceName | Backup |
Chave Mestra - Download de PDF com sua parte da chave
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | O Usuário fez download do PDF com sua parte da chave. | |
| suid | Usuário logado | |
| sname | Stephen Lee | Nome do usuário logado |
| suser | stlee | Nome de usuário que iniciou a sessão |
| Method | POST | |
| act | Usuário fez download do PDF com sua parte da chave | |
| ServiceName | Backup |
Chave Mestra - Início de Cerimônia de Chave
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | O processo de cerimônia de chave iniciou. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Nome de usuário que iniciou a sessão |
| spriv | Administrador | |
| Method | POST | Valor fixo |
| act | Processo de cerimônia iniciado | Ação realizada |
| ServiceName | Backup |
Chave Mestra - Fim de Cerimônia de Chave
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Processo de cerimônia completado. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Nome de usuário que iniciou a sessão |
| spriv | Administrador | |
| Method | GET | |
| act | Processo de cerimônia completado | |
| ServiceName | Backup |
Chave Mestra - Guardião de Chave Mestra Inativo
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | O guardião da chave mestra está atualmente inativo. | |
| suid | ID do usuário logado | |
| sname | Jane Doe | Nome de usuário |
| suser | jdoe | Nome de usuário do solicitante |
| spriv | Usuário | Camada de aplicação |
| dvc | .225.14 | Host IPv4 do dispositivo |
| spid | PID interno | |
| act | Incidente | Ação realizada |
| dproc | master_key_guardian | Nome do processo alvo |
Chave Mestra - Falha na recuperação
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | A tentativa de recuperação falhou. | Partes de chave inválidas |
| requestMethod | POST | Valor fixo |
| act | Falha na tentativa de recuperação | Tipo de falha de recuperação |
| sourceServiceName | Chave Mestra | Módulo de operação |
| originIP | .148.162 | Endereço IP do usuário solicitante |
| country | Brasil | Geolocalização: país |
| state | São Paulo | Geolocalização: estado |
| city | Taboão da Serra | Geolocalização: cidade |
| latitude | Geolocalização: latitude GPS | |
| longitude | Geolocalização: longitude GPS | |
| partsNeeded | Partes de chave necessárias para recuperação | |
| partsSent | Número de tentativas com partes de chave enviadas | |
| suid | ID do usuário logado | |
| sname | Nome do usuário logado | |
| suser | Nome de usuário do solicitante | |
| spriv | Usuário | Camada de aplicação |
| dvc | .2.17 | Host IPv4 do dispositivo |
| spid | PID interno | |
| src | .0.1 | Endereço IP de origem |
| act | Incidente | Ação realizada |
| dproc | master_key_guardian | Nome do processo alvo |
Chave Mestra - Recuperação bem-sucedida
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Tentativa de recuperação bem-sucedida. | As partes de chave foram validadas |
| requestMethod | POST | Valor fixo |
| act | Tentativa de recuperação bem-sucedida | Tipo de recuperação bem-sucedida |
| sourceServiceName | Chave Mestra | Módulo de operação |
| originIP | .10.13 | Endereço IP do usuário solicitante |
| country | Brasil | Geolocalização: país |
| state | São Paulo | Geolocalização: estado |
| city | Taboão da Serra | Geolocalização: cidade |
| latitude | Geolocalização: latitude GPS | |
| longitude | Geolocalização: longitude GPS | |
| partsNeeded | Partes de chave necessárias para recuperação | |
| partsSent | Número de tentativas com partes de chave enviadas | |
| suid | ID do usuário logado | |
| sname | Nome do usuário logado | |
| suser | Nome de usuário do solicitante | |
| spriv | Usuário | Camada de aplicação |
| dvc | .10.20 | Host IPv4 do dispositivo |
| spid | PID interno | |
| src | .10.13 | Endereço IP de origem |
| act | Incidente | Ação realizada |
| dproc | master_key_guardian | Nome do processo alvo |
Relatórios - Agendamento de E-mail
| Chave | Exemplo | Descrição |
|---|---|---|
| dvc | .20.30 | IP do Servidor Segura® |
| spid | ID do Processo no Sistema Operacional | |
| src | .20.10 | Endereço IP do usuário que realizou a operação |
| suid | ID do usuário que realizou a operação | |
| sname | John Doe | Nome do usuário que realizou a operação |
| suser | jdoe | Nome de usuário de quem realizou a operação |
| spriv | Administrador | Usuário privilegiado utilizado para a operação |
| msg | Agendamento de relatório - Criação | Operação realizada |
| requestMethod | POST | Método HTTP utilizado |
| act | Agendamento de relatório - Criação | Operação realizada |
| sourceServiceName | Agendamento de relatórios | Categoria de operação |
| cs1Label | Usuário | Rótulo para usuário solicitante |
| cs1 | John Doe | Usuário solicitante |
| cs2Label | ID do Usuário | Rótulo para ID do usuário |
| cs2 | ID do usuário | |
| cs3Label | Agendamento | Rótulo para o nome do agendamento |
| cs3 | My schedule | Nome do agendamento |
| cs4Label | ID do Agendamento | Rótulo para o ID do agendamento |
| cs4 | ID do agendamento | |
| cs5Label | Relatórios adicionados | Rótulo para relatórios adicionados |
| cs5 | Configurações ➔ Autenticação ➔ Autenticação multifator ➔ Provedores | Relatórios adicionados |
| cs7Label | Usuários adicionados | Rótulo para usuários adicionados |
| cs7 | jdoe - John Doe | Usuários que receberão a notificação |
Relatórios - Atualizar um Agendamento
| Chave | Exemplo | Descrição |
|---|---|---|
| dvc | .20.30 | IP do Servidor Segura® |
| spid | ID do Processo no Sistema Operacional | |
| src | .20.10 | Endereço IP do usuário que realizou a operação |
| suid | ID do usuário que realizou a operação | |
| sname | John Doe | Nome do usuário que realizou a operação |
| suser | jdoe | Nome de usuário de quem realizou a operação |
| spriv | Administrador | Usuário privilegiado utilizado para a operação |
| msg | Agendamento de relatório - Atualização | Operação realizada |
| requestMethod | POST | Método HTTP utilizado |
| act | Agendamento de relatório - Atualização | Operação realizada |
| sourceServiceName | Agendamento de relatórios | Categoria de operação |
| cs1Label | Usuário | Rótulo para nome do usuário solicitante |
| cs1 | John Doe | Usuário solicitante |
| cs2Label | ID do Usuário | Rótulo para ID do usuário |
| cs2 | ID do usuário | |
| cs3Label | Agendamento | Rótulo para o nome do agendamento |
| cs3 | My schedule | Nome do agendamento |
| cs4Label | ID do Agendamento | Rótulo para o ID do agendamento |
| cs4 | ID do agendamento | |
| cs5Label | Relatórios adicionados | Rótulo para relatórios adicionados |
| cs5 | None | Relatórios adicionados |
| cs6Label | Relatórios removidos | Rótulo para relatórios removidos |
| cs6 | None | Relatórios removidos |
| cs7Label | Usuários adicionados | Rótulo para usuários adicionados |
| cs7 | None | Usuários adicionados |
| cs8Label | Usuários removidos | Rótulo para usuários removidos |
| cs8 | None | Usuários removidos |
Relatórios - Exclusão
| Chave | Exemplo | Descrição |
|---|---|---|
| dvc | .20.30 | IP do Servidor Segura® |
| spid | ID do Processo no Sistema Operacional | |
| src | .20.10 | Endereço IP do usuário que realizou a operação |
| suid | ID do usuário que realizou a operação | |
| sname | John Doe | Nome do usuário que realizou a operação |
| suser | jdoe | Nome de usuário de quem realizou a operação |
| spriv | Administrador | Usuário privilegiado utilizado para a operação |
| msg | Agendamento de relatório - Exclusão | Operação realizada |
| requestMethod | POST | Método HTTP utilizado |
| act | Agendamento de relatório - Exclusão | Operação realizada |
| sourceServiceName | Agendamento de relatórios | Categoria de operação |
| cs1Label | Usuário | Rótulo para usuário solicitante |
| cs1 | John Doe | Usuário solicitante |
| cs2Label | ID do Usuário | Rótulo para ID do usuário |
| cs2 | ID do usuário | |
| cs3Label | Agendamento | Rótulo para o nome deste agendamento |
| cs3 | My schedule | Nome do agendamento |
| cs4Label | ID do Agendamento | Rótulo para o ID do agendamento |
| cs4 | ID do agendamento |