SIEM
  • 8 minutos de leitura
  • Tema escuro
    Tema claro
  • Pdf

SIEM

  • Tema escuro
    Tema claro
  • Pdf

Resumo do artigo

O senhasegura coleta informações e eventos do ambiente para monitorar diversas métricas do produto, incluindo identificadores de tabelas e o status dos robôs em execução. Esses dados podem ser enviados a soluções de SIEM para monitoramento.

As soluções SIEM fornecem uma visão ampla aos administradores de Segurança da Informação, permitindo que eles monitorem as atividades no ambiente de TI por meio dos dados de log. O SIEM utiliza esses registros para identificar, categorizar e analisar incidentes e eventos, gerando relatórios de segurança que abrangem atividades suspeitas ou maliciosas. 

Além disso, o SIEM é capaz de enviar alertas por diferentes canais, como SMS, mensagens instantâneas, e-mail e abertura de chamados, caso detecte possíveis ameaças de segurança, conforme as regras de configuração estabelecidas. 

Os alertas enviados pelo senhasegura incluem:

  • Autenticação de um usuário no dispositivo.
  • Login remoto em um dispositivo.
  • Falhas no servidor senhasegura.
  • Expiração da senha.

O senhasegura é compatível com as ferramentas SIEM mais utilizadas no mercado e oferece suporte para envio de mensagens nos formatos:

  • CEF
  • Syslog (RFC 5424)
  • Sensage

Mensagens em formato CEF

O CEF é um formato de mensagens criado para padronizar o envio de informações para SIEM e segue o formato CEF:0|MT4|senhasegura|3.27.0-4|336.501|UPDATE INCIDENT|9|Extensões.

ItemDescrição
VersãoA versão do formato CEF. No exemplo acima, usamos '0'.
EmpresaO nome da empresa responsável pelo produto. No exemplo acima, usamos 'MT4'.
ProdutoO nome do produto que está gerando o evento. No exemplo acima, usamos 'senhasegura'.
Versão do produtoA versão do produto. No exemplo acima, usamos '3.27.0-4'.
ID do eventoO ID do evento ocorrido. Cada ID é exclusivo para identificar o evento. No exemplo acima, usamos '336.501'.
Nome do eventoO tipo de evento ocorrido. No exemplo acima, usamos 'Update Incident' para indicar que ocorreu um incidente de atualização.
SeveridadeA gravidade ou importância do evento. A sequência vai de 1 até 10. Quanto maior o número, mais grave é o incidente.

Adicionalmente, é apresentada uma lista de extensões que fornecem informações detalhadas sobre o evento.


Mensagens em formato RFC 5424

Neste modo as mensagens do SYSLOG são enviadas conforme a RFC 5424. Os campos são configurados com os seguintes valores:

  • Priority: conforme o tipo do evento
  • facility: 1 (user)
  • App: senhasegura
  • Procid: PID do processo atual
  • Message: mensagem do evento

Mensagens configuradas

As seguintes mensagens são configuradas para envio através do SIEM:

Tipos de mensagens(SUID)

SUIDDescrição
8Conectividade Perda/Recuperação
9Troca de senhas executada
15Backup realizado
17Senha alterada
153Sessão Iniciada/Finalizada
164Senha Visualizada
dstIP do dispositivo de destino do evento
dhostHostname do dispositivo afetado pelo evento

Backup

ChaveExemploDescrição
msgBackup enviado para servidor ’localhost:/srv/backup’ via localMensagem com informação sobre a ação
suid
Tipo de mensagem
snameScript Assíncrono: 8Identificador do script do backup
suser
Não se aplica
spid
Identificador único da notificação
dhostlocalhostNome do servidor onde o backup é gerado

Perda de conectividade

ChaveExemploDescrição
msgO equipamento localhost (127.0.0.1) perdeu a conectividade SSH
suid
Tipo de mensagem
snameScript Assíncrono: 9Nome do usuário que perdeu a conectividade
suser
Não se aplica
spid
Identificador único da notificação
dst.0.1IP do dispositivo
dhostlocalhostNome do servidor onde o backup é gerado
dport
Porta do dispositivo

Conectividade restabelecida

ChaveExemploDescrição
msgO equipamento localhost (127.0.0.1) recuperou a conectividade SSH
suid
Tipo de mensagem
snameScript Assíncrono: 9Nome do usuário que teve a sessão restabelecida
suser
Não se aplica
spid
Identificador único da notificação
dst.0.1IP do dispositivo
dhostlocalhostNome do servidor onde o backup é gerado
dport
Porta do dispositivo

Senha alterada

ChaveExemploDescrição
msgSenha localhost (127.0.0.1) - Usuário Domínio - root alterada pelo usuário jsilva
suid
Identificador único da notificação
snameJosé da SilvaNome do usuário que alterou a senha
suser
Não se aplica
spid
Identificador único da notificação
duserrootUsername da senha alterada
duid

dst.0.1IP do dispositivo
dhostlocalhostNome do dispositivo da senha

Senha visualizada

ChaveExemploDescrição
msgSenha localhost (127.0.0.1) - Usuário Domínio - root alterada pelo usuário jsilva
suid
Tipo de mensagem
snameJosé da SilvaUsuário que visualizou a senha
suser
Não se aplica
spid
Identificador único da notificação
duserroot duid=35Username da senha visualizada
dst.0.1IP do dispositivo da senha
dhostlocalhostNome do dispositivo da senha

Sessão finalizada

ChaveExemploDescrição
msgSessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - srv_admin pelo usuário José da Silva (jsilva)
suid
Identifica o tipo de mensagem
snameJosé da SilvaUsuário que finalizou a sessão
suserjsilvalogin do usuário que finalizou a sessão
spid
Identificador único da notificação
dst.0.1IP do dispositivo
dposrt
Porta do dispositivo
dusersrv_adminLogin utilizado na sessão remota

Sessão iniciada

ChaveExemploDescrição
msgSessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - root pelo usuário José da Silva (jsilva)
suid
Identifica o tipo de mensagem
snameJosé da SilvaUsuário que iniciou sessão
suserjsilvaLogin do usuário que iniciou sessão
spid
Identificador único da notificação
dst.0.1IP do dispositivo
dpt
Porta do dispositivo
duserrootLogin utilizado na sessão remota

Troca executada

ChaveExemploDescrição
msgSessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - root pelo usuário José da Silva (jsilva)
suid
Tipo de mensagem
snameScript Assíncrono: 17Identificador do script de troca de senhas
suser
Não é utilizado nesta interface
spid
Identifica o tipo de mensagem
dst.0.1IP do dispositivo
duserrootusuário da senha trocada

Comandos auditados e executados

ChaveExemploDescrição
msgUm comando auditado foi detectado! Ação: ”[Ação tomada]”
suid
Usuário logado
snameJosé da SilvaUsuário que iniciou sessão
suserjsilvaLogin do usuário que iniciou sessão
spid
Não se aplica
dst
Não se aplica
dpt
Não se aplica
duser
Não se aplica

Informação visualizada

ChaveExemploDescrição
msgInformação ’teste’ visualizada.
suid
Usuário logado
snameJosé da SilvaUsuário que iniciou sessão
suserjsilvaLogin do usuário que iniciou sessão
spid
Tipo de mensagem
dst
Não se aplica
dpt
Não se aplica
duser
Não se aplica

Informação alterada

ChaveExemploDescrição
msgInformação ’teste’ alterada
suid
Usuário logado
snameJosé da SilvaUsuário que iniciou sessão
suserjsilvaLogin do usuário que iniciou sessão
spid
Tipo de mensagem
dst
Não se aplica
dpt
Não se aplica
duser
Não se aplica

Solicitação de acesso à senha

ChaveExemploDescrição
msgO usuário ’José da Silva’ criou uma solicitação. Detalhes da solicitação: Ação de visualizar senha para a credencial cqss no dispositivo win2012 (192.168.10.156)
suid
Usuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
spid
PID do processo
dst.10.156IP Destino
dpt
Não se aplica
dusercqssUsuário solicitado
cs1LabelGMUDLabel do campo
cs1
Id do arquivo
cs2LabelInício ValidadeLabel do campo
cs2-01-19 10:41:00Data de início da solicitação
cs3LabelFim ValidadeLabel do campo
cs3-01-19 11:41:00Data de validade da solicitação
cs4LabelAprovadorLabel do campo
cs4AdministradorUsuário Aprovador
cs5LabelSolicitanteLabel do campo
cs5José da SilvaUsuário Solicitante
Cs6AçãoLabel do campo
Cs7Visualizar senhaDescrição da ação

Solicitação aprovada

ChaveExemploDescrição
msgSolicitação aprovada por Administrador em 19/01/2017 10:44:30. Código: S000296 Solicitante: José da Silva Solicitada em: 19/01/2017 10:44:13 Detalhes da solicitação: Ação de visualizar senha para a credencial cqss no dispositivo win2012 (192.168.10.156)
suid
Usuário logado
snameMaria da SilvaNome do usuário logado
susermsilvaLogin do usuário logado
spid
PID do processo
dst.10.156IP Destino
dpt
Não utilizado
dusercqssUsuário da credencial solicitada
cs1LabelGMUDLabel do campo
cs1
ID do arquivo
cs2LabelInício ValidadeLabel do campo
cs2-01-19 10:41:00Data de início da solicitação
cs3LabelFim ValidadeLabel do campo
cs3-01-19 11:41:00Data de validade da solicitação
cs4LabelAprovadorLabel do campo
cs4AdministradorUsuário Aprovador
cs5LabelSolicitanteLabel do campo
cs5José da SilvaUsuário Solicitante
Cs6AçãoLabel do campo
Cs7Visualizar senhaDescrição da ação

Solicitação reprovada

ChaveExemploDescrição
msgInformação ’teste’ visualizada.
suid
Usuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
spid
PID do processo
dst.10.156IP Destino
dpt
Não utilizado
dusercqssLogin do usuário solicitado
cs1LabelGMUDLabel do campo
cs1
Id do arquivo
cs2LabelInício ValidadeLabel do campo
cs2-01-19 10:41:00Data de início da solicitação
cs3LabelFim ValidadeLabel do campo
cs3-01-19 11:41:00Data de validade da solicitação
cs4LabelAprovadorLabel do campo
cs4AdministradorUsuário Aprovador
cs5LabelSolicitanteLabel do campo
cs5Maria da SilvaUsuário Solicitante
Cs6AçãoLabel do campo
Cs7Visualizar senhaDescrição da ação

Comando detectado - Bloquear e interromper sessão

ChaveExemploDescrição
msgUm comando auditado foi detectado! Ação: Comando bloqueado e sessão interrompida
suid
Usuário logado
snameRomarioUsuário que iniciou sessão
suserromarioLogin do usuário que iniciou sessão
spid
Tipo de mensagem
dst.0.1IP destino
dpt
Porta utilizada
dusercofreUsuário utilizado para iniciar a sessão

Comando detectado - loquear

ChaveExemploDescrição
msgUm comando auditado foi detectado! Ação: Comando notificado e permitido
suid
Usuário logado
snameRomarioUsuário que iniciou sessão
suserromarioLogin do usuário que iniciou sessão
spid
Tipo de mensagem
dst.0.1IP destino
dpt
Porta utilizada
dusercofreUsuário utilizado para iniciar a sessão

Erro na troca de senha

ChaveExemploDescrição
msgErro ao trocar senha ’Windows SQL Teste Remote App (192.168.30.55) - Usuario Domínio – ’jsilvaadm’: O dispositivo ’Windows SQL Teste Remote App (192.168.30.55)’ não possui conectividade Windows RPC
suid
Usuário logado
snameJosé da SilvaNome do usuário que iniciou sessão
suserJsilvaLogin do usuário que iniciou sessão
spid
Tipo de mensagem
dst.30.5
5IP destino
dpt
Não se aplica
duserjsilvaadmUsuário utilizado para iniciar a sessão

Arquivo do armazém alterado

ChaveExemploDescrição
msgUm arquivo de sessão foi modificado!
suid
Usuário logado
snameScript Assíncrono: 12Nome do usuário logado
suserasc_12Login do usuário logado
spid
PID do processo
dst
Não se aplica
dpt
Não se aplica
duser
Não se aplica
cs1LabelIdLabel do campo
cs1
Id do arquivo
cs2LabelTamanho InicialLabel do campo
cs2
Tamanho inicial do arquivo em bytes
cs3LabelTamanho FinalLabel do campo
cs3
Tamanho final do arquivo em bytes
cs4LabelChecksum inicialLabel do campo
cs4f5751777b74f8e2f2…Checksum anterior do arquivo
cs5LabelChecksum finalLabel do campo
cs5284f1555574548901…Checksum atual do arquivo

Chave Mestra - Usuários que visualizaram a sua parte da chave

ChaveExemploDescrição
msgO usuário viu sua parte da solicitação de chave.
suid
Usuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
MethodPOSTValor fixo
actO usuário viu sua parte da fonte de chave.Ação performada
ServiceNameBackup

Chave Mestra - Usuário que realizou o download do PDF com a sua parte da chave

ChaveExemploDescrição
msgO usuário baixou o PDF com sua parte da solicitação de chave.
suid
Usuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
MethodPOSTValor fixo
actO usuário baixou o PDF com sua parte da fonte de chave.Ação performada
ServiceNameBackup

Chave Mestra - Processo de cerimônia iniciado

ChaveExemploDescrição
msgProcesso de cerimônia iniciado.
suid
Usuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
sprivAdministrador
MethodPOSTValor fixo
actProcesso de cerimônia iniciado.Ação performada
ServiceNameBackup

Chave Mestra - Processo de cerimônia finalizado

ChaveExemploDescrição
msgProcesso de cerimônia finalizado.
suid
Usuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
sprivAdministrador
MethodGETValor fixo
actProcesso de cerimônia finalizado.Ação performada
ServiceNameBackup

Chave Mestra - Guardião inativo

ChaveExemploDescrição
msgChave Mestra - Guardião inativo.
suid
ID do usuário logado
snameJohn DoeNome do usuário
suserjdoeUsername do usuário
sprivUsuárioCamada de aplicação
dvc.225.14Host IPv4 do dispositivo
spid
PID interno
actIncidenteAção performada
dprocmaster_key_guardianNome do processo de destino

Chave Mestra - Falha na tentativa de recuperação

ChaveExemploDescrição
msgFalha na tentativa de recuperaçãoAs frações da chave são inválidas
requestMethodPOSTValor fixo
actFalha na tentativa de recuperaçãoTipo de falha da tentativa de recuperação da Chave Mestra
sourceServiceNameMaster KeyMódulo de operação
originIP.148.162IP do usuário solicitante
countryBrazilSolicitar geolocalização do país
stateSao PauloSolicitar geolocalização do estado
cityTaboao da SerraSolicitar geolocalização da cidade
latitude
Solicitar geolocalização de GPS latitude
longitude
Solicitar geolocalização de GPS latitude
partsNeeded
Frações necessárias para realizar a recuperação
partsSent
Número de tentativas de frações enviadas
suid
ID do usuário logado
sname
Nome do usuário
suser
Username do usuário
sprivUsuárioCamada de aplicação
dvc.2.17Host IPv4 do dispositivo
spid
PID interno
src.0.1Endereço do IP fonte
actIncidenteAção performada
dprocmaster_key_guardianNome do processo de destino

Chave Mestra - Tentativa de recuperação bem-sucedida

ChaveExemploDescrição
msgTentativa de recuperação bem-sucedidaAs frações chave usadas são válidas
requestMethodPOSTValor fixo
actTentativa de recuperação bem-sucedidaTipo de recuperação de chave mestra bem-sucedida
sourceServiceNameMaster KeyMódulo de operação
originIP.10.13Solicitar IP do usuário
countryBrazilSolicitar geolocalização do país
stateSao PauloSolicitar geolocalização do estado
cityTaboao da SerraSolicitar geolocalização da cidade
latitude
Solicitar geolocalização de GPS latitude
longitude
Solicitar geolocalização de GPS latitude
partsNeeded
Frações necessárias para realizar a recuperação
partsSent
Número de tentativas de frações enviadas
suid
ID de usuário registrado
sname
Nome do usuário
suser
Username do usuário
sprivUsuárioCamada de aplicação
dvc.10.20Host do dispositivo IPv4
spid
PID interno
src.10.13Endereço IP de origem
actIncidenteAção performada
dprocmaster_key_guardianNome do processo de destino

Agendamento de relatórios de email - Criação

ChaveExemploDescrição
dvc.20.30IP do servidor senhasegura
spid
ID do processo no sistema operacional
src.20.10IP do usuário que realizou a operação
suid
ID do usuário que executou a operação
snameJohn DoeNome do usuário
suserjdoeUsername do usuário
sprivAdministradorUsuário privilegiado que realizou a operação
msgAgendamento de relatórios - CriaçãoOperação que foi realizada
requestMethodPOSTMétodo HTTP usado pelo cliente
actAgendamento de relatórios - CriaçãoOperação que foi realizada
sourceServiceNameAgendamento de relatóriosCategoria de operação que foi executada
cs1LabelUserLabel do nome de usuário solicitante
cs1John DoeNome do solicitante
cs2LabelUser IDLabel de ID do usuário
cs2
ID do usuário
cs3LabelScheduleLabel do nome da agenda
cs3Minha agendaNome da agenda
cs4LabelSchedule IDLabel de ID da agenda
cs4
ID da agenda
cs5LabelAdded reportsLabel de relatórios adicionados
cs5Settings Autenticação Autenticação de multifator ProvedoresLabel adicionada
cs7LabelAdded usersLabel de usuários adicionados
cs7jdoe - John DoeUsuários adicionados para receber notificação

Agendamento de relatórios por email - Atualização

ChaveExemploDescrição
dvc.20.30IP do servidor senhasegura
spid
ID do processo no sistema operacional
src.20.10IP do usuário que realizou a operação
suid
ID do usuário que realizou a operação
snameJohn DoeNome do usuário
suserjdoeUsername do usuário
sprivAdministradorUsuário privilegiado que realizou a operação
msgAgendamento de relatórios - AtualizaçãoOperação que foi realizada
requestMethodPOSTMétodo HTTP usado pelo cliente
actAgendamento de relatórios - AtualizaçãoOperação que foi realizada
sourceServiceNameAgendamento de relatóriosCategoria de operação que foi executada
cs1LabelUserLabel do nome de usuário solicitante
cs1John DoeNome do solicitante
cs2LabelUser IDLabel de ID do usuário
cs2
ID do usuário
cs3LabelScheduleLabel do nome da agenda
cs3Minha agendaNome da agenda
cs4LabelSchedule IDLabel de ID da agenda
cs4
ID da agenda
cs5LabelAdded reportsLabel de relatórios adicionados
cs5NenhumRelatórios adicionados
cs6LabelRemoved reportsLabel de relatórios removidos
cs6NenhumRelatórios removidos
cs7LabelAdded usersLabel de usuários adicionados
cs7NenhumUsuários adicionados
cs8LabelRemoved usersLabel de usuários removidos
cs8NenhumUsuários removidos

Agendamento de relatórios por email - Exclusão

ChaveExemploDescrição
dvc.20.30IP do servidor senhasegura
spid
ID do processo no sistema operacional
src.20.10IP do usuário que realizou a operação
suid
ID do usuário que executou a operação
snameJohn DoeNome do usuário
suserjdoeUsername do usuário
sprivAdministradorUsuário privilegiado que realizou a operação
msgAgendamento de relatórios - ExclusãoOperação que foi realizada
requestMethodPOSTMétodo HTTP usado pelo cliente
actAgendamento de relatórios - ExclusãoOperação que foi realizada
sourceServiceNameAgendamento de relatóriosCategoria de operação que foi executada
cs1LabelUserRótulo do nome de usuário solicitante
cs1John DoeNome de usuário do solicitante
cs2LabelUser IDEtiqueta de ID do usuário
cs2
ID do usuário
cs3LabelScheduleRótulo do nome da programação
cs3My scheduleNome do agendamento
cs4LabelSchedule IDID de agendamento de etiquetas
cs4
Código de agendamento

Este artigo foi útil?