Este documento fornece uma visão conceitual sobre a funcionalidade Exportação de Auditoria no DevOps Secret Manager. Ele detalha como a Segura® Platform consolida informações dispersas para oferecer uma visão unificada de conformidade e governança.
Aplicabilidade
O relatório Exportação de Auditoria foi desenvolvido para atender às necessidades de analistas de segurança e auditores que precisam fornecer evidências rápidas sobre o consumo de segredos.
Em cenários de auditorias recorrentes, a funcionalidade elimina o esforço manual de correlacionar dados, permitindo:
- Conformidade (Compliance): geração de evidências para controles internos e externos.
- Governança: visibilidade total de quais aplicações estão utilizando as credenciais, com quais autorizações e em quais ambientes.
- Resposta a Incidentes: identificação rápida de uso indevido ou não autorizado através da trilha de consumo.
Funcionalidade
A inteligência do relatório reside na correlação de entidades. O sistema processa dados do DevOps Secret Manager, PAM Core e Cloud Entitlements para exibir um registro sempre que houver evidência verificada de vínculo ou consumo.
Estrutura de correlação
O relatório unifica quatro pilares fundamentais:
- Aplicações: metadados como Line of Business, tags e tipo de aplicação.
- Autorizações: identidade do solicitante e ambiente de acesso.
- Secrets: descrição, tags e mecanismos de rotação (engines).
- Credenciais: vínculos com credenciais PAM, cloud, efêmeras ou chaves de Key/Value.
Lógica de temporalidade
O filtro temporal do relatório é baseado na coluna SECRET_LAST_ACCESS. Isso significa que a auditoria foca no uso real do segredo, permitindo identificar acessos via UI, API ou automações em períodos específicos (7, 30 ou 90 dias).
Segurança e privacidade
A Segura® Platform prioriza a segurança dos dados sensíveis mesmo em relatórios de auditoria:
- Mascaramento de dados: o relatório exibe apenas metadados. No caso de segredos do tipo Key/Value, apenas a chave (key) é exportada; o valor (value) nunca é exposto.
- Controle de acesso (RBAC): a visibilidade e a capacidade de exportação respeitam rigorosamente o escopo de acesso do usuário e a permissão
DSM.Applications.List. - Trilha de auditoria: toda solicitação de exportação, alteração de status e download é registrada nos logs de auditoria do sistema.