Conteúdo x
    Integração com SIEM
    • 15 minutos de leitura
    • Imprimir
    • Tema escuro
      Tema claro
    • Pdf
    Conteúdo

    Integração com SIEM

    • 15 minutos de leitura
    • Imprimir
    • Tema escuro
      Tema claro
    • Pdf
    Resumo do artigo

    O senhasegura implementa um sistema robusto de coleta e processamento de eventos de segurança, permitindo o monitoramento abrangente de métricas críticas do ambiente. O sistema realiza o rastreamento sistemático dos seguintes componentes:

    • Identificadores únicos e metadados das tabelas do sistema
    • Métricas de desempenho e estado operacional dos processos automatizados
    • Registros detalhados das atividades e interações dos usuários
    • Indicadores de integridade e performance do sistema

    Esta arquitetura de monitoramento integra-se nativamente com sistemas SIEM (Security Information and Event Management), possibilitando uma gestão centralizada e análise aprofundada dos eventos de segurança.

    Recursos Avançados do SIEM

    A implementação SIEM oferece aos profissionais de Segurança da Informação um conjunto abrangente de funcionalidades:

    • Consolidação centralizada dos dados de segurança do ambiente de TI
    • Monitoramento contínuo e análise em tempo real dos registros de eventos
    • Metodologia estruturada para identificação, classificação e investigação de incidentes
    • Sistema avançado de geração de relatórios analíticos
    • Mecanismos inteligentes para detecção de comportamentos anômalos e atividades maliciosas

    Sistema de Notificações

    A plataforma SIEM incorpora um sistema multifacetado de notificações que opera através dos seguintes canais:

    • Mensagens SMS para alertas críticos
    • Sistemas de mensageria instantânea
    • Comunicações via e-mail
    • Sistema integrado de tickets de suporte

    As notificações são configuradas através de regras personalizáveis, permitindo ajuste fino dos critérios de acionamento baseado em padrões de ameaças identificados.

    Monitoramento no senhasegura

    O sistema mantém vigilância constante sobre eventos críticos, incluindo:

    • Processos de autenticação e autorização nos dispositivos gerenciados
    • Tentativas de acesso remoto e suas respectivas origens
    • Eventos críticos relacionados à infraestrutura do servidor
    • Ciclo de vida e estado das credenciais no sistema

    Especificações de Compatibilidade

    O senhasegura oferece compatibilidade extensiva com soluções SIEM através dos seguintes protocolos padronizados:

    • CEF (Common Event Format) para normalização de eventos
    • Syslog (RFC 5424) para transmissão padronizada de logs
    • Integração nativa com plataforma Sensage

    Esta documentação técnica estabelece as diretrizes fundamentais para implementação e operação da integração SIEM no ambiente senhasegura, garantindo monitoramento eficaz e resposta ágil a incidentes de segurança.

    Mapeamento de Eventos e Parâmetros SIEM

    As tabelas a seguir fornecem uma referência técnica detalhada para a integração SIEM, apresentando especificações estruturadas dos eventos, campos e configurações suportadas pelo senhasegura. Esta documentação tabular estabelece os parâmetros fundamentais para implementação, permitindo que administradores e equipes técnicas configurem adequadamente o monitoramento de eventos críticos. Cada tabela foi organizada sistematicamente para facilitar a consulta durante o processo de integração, manutenção e troubleshooting do ambiente.

    Mensagens em formato CEF

    O CEF é um formato de mensagens criado para padronizar o envio de informações para SIEM e segue o formato CEF:0|MT4|senhasegura|3.27.0-4|336.501|UPDATE INCIDENT|9|Extensões.

    ItemDescrição
    VersãoA versão do formato CEF. No exemplo acima, usamos '0'.
    EmpresaO nome da empresa responsável pelo produto. No exemplo acima, usamos 'MT4'.
    ProdutoO nome do produto que está gerando o evento. No exemplo acima, usamos 'senhasegura'.
    Versão do produtoA versão do produto. No exemplo acima, usamos '3.27.0-4'.
    ID do eventoO ID do evento ocorrido. Cada ID é exclusivo para identificar o evento. No exemplo acima, usamos '336.501'.
    Nome do eventoO tipo de evento ocorrido. No exemplo acima, usamos 'Update Incident' para indicar que ocorreu um incidente de atualização.
    SeveridadeA gravidade ou importância do evento. A sequência vai de 1 até 10. Quanto maior o número, mais grave é o incidente. Adicionalmente, é apresentada uma lista de extensões que fornecem informações detalhadas sobre o evento.

    Mensagens em formato RFC 5424

    Neste modo as mensagens do SYSLOG são enviadas conforme a RFC 5424. Os campos são configurados com os seguintes valores:

    • Priority: conforme o tipo do evento
    • facility: 1 (user)
    • App: senhasegura
    • Procid: PID do processo atual
    • Message: mensagem do evento

    Mensagens configuradas

    As seguintes mensagens são configuradas para envio através do SIEM:

    Tipos de mensagens(SUID)

    SUIDDescrição
    8Conectividade Perda/Recuperação
    9Troca de senhas executada
    15Backup realizado
    17Senha alterada
    153Sessão Iniciada/Finalizada
    164Senha Visualizada
    dstIP do dispositivo de destino do evento
    dhostHostname do dispositivo afetado pelo evento

    Backup

    ChaveExemploDescrição
    msgBackup enviado para servidor 'localhost:/srv/backup' via localMensagem com informação sobre a ação
    suidTipo de mensagem
    snameScript Assíncrono: 8Identificador do script do backup
    suserNão se aplica
    spidIdentificador único da notificação
    dhostlocalhostNome do servidor onde o backup é gerado

    Perda de conectividade

    ChaveExemploDescrição
    msgO equipamento localhost (127.0.0.1) perdeu a conectividade SSH
    suidTipo de mensagem
    snameScript Assíncrono: 9Nome do usuário que perdeu a conectividade
    suserNão se aplica
    spidIdentificador único da notificação
    dst.0.1IP do dispositivo
    dhostlocalhostNome do servidor onde o backup é gerado
    dportPorta do dispositivo

    Conectividade restabelecida

    ChaveExemploDescrição
    msgO equipamento localhost (127.0.0.1) recuperou a conectividade SSH
    suidTipo de mensagem
    snameScript Assíncrono: 9Nome do usuário que teve a sessão restabelecida
    suserNão se aplica
    spidIdentificador único da notificação
    dst.0.1IP do dispositivo
    dhostlocalhostNome do servidor onde o backup é gerado
    dportPorta do dispositivo

    Senha alterada

    ChaveExemploDescrição
    msgSenha localhost (127.0.0.1) - Usuário Domínio - root alterada pelo usuário jsilva
    suidIdentificador único da notificação
    snameJosé da SilvaNome do usuário que alterou a senha
    suserNão se aplica
    spidIdentificador único da notificação
    duserrootUsername da senha alterada
    duid
    dst.0.1IP do dispositivo
    dhostlocalhostNome do dispositivo da senha

    Senha visualizada

    ChaveExemploDescrição
    msgSenha localhost (127.0.0.1) - Usuário Domínio - root alterada pelo usuário jsilva
    suidTipo de mensagem
    snameJosé da SilvaUsuário que visualizou a senha
    suserNão se aplica
    spidIdentificador único da notificação
    duserroot duid=35Username da senha visualizada
    dst.0.1IP do dispositivo da senha
    dhostlocalhostNome do dispositivo da senha

    Sessão finalizada

    ChaveExemploDescrição
    msgSessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - srv_admin pelo usuário José da Silva (jsilva)
    suidIdentifica o tipo de mensagem
    snameJosé da SilvaUsuário que finalizou a sessão
    suserjsilvalogin do usuário que finalizou a sessão
    spidIdentificador único da notificação
    dst.0.1IP do dispositivo
    dposrtPorta do dispositivo
    dusersrv_adminLogin utilizado na sessão remota

    Sessão iniciada

    ChaveExemploDescrição
    msgSessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - root pelo usuário José da Silva (jsilva)
    suidIdentifica o tipo de mensagem
    snameJosé da SilvaUsuário que iniciou sessão
    suserjsilvaLogin do usuário que iniciou sessão
    spidIdentificador único da notificação
    dst.0.1IP do dispositivo
    dptPorta do dispositivo
    duserrootLogin utilizado na sessão remota

    Troca executada

    ChaveExemploDescrição
    msgSessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - root pelo usuário José da Silva (jsilva)
    suidTipo de mensagem
    snameScript Assíncrono: 17Identificador do script de troca de senhas
    suserNão é utilizado nesta interface
    spidIdentifica o tipo de mensagem
    dst.0.1IP do dispositivo
    duserrootusuário da senha trocada

    Comandos auditados e executados

    ChaveExemploDescrição
    msgUm comando auditado foi detectado! Ação: "[Ação tomada]"
    suidUsuário logado
    snameJosé da SilvaUsuário que iniciou sessão
    suserjsilvaLogin do usuário que iniciou sessão
    spidNão se aplica
    dstNão se aplica
    dptNão se aplica
    duserNão se aplica

    Informação visualizada

    ChaveExemploDescrição
    msgInformação 'teste' visualizada.
    suidUsuário logado
    snameJosé da SilvaUsuário que iniciou sessão
    suserjsilvaLogin do usuário que iniciou sessão
    spidTipo de mensagem
    dstNão se aplica
    dptNão se aplica
    duserNão se aplica

    Informação alterada

    ChaveExemploDescrição
    msgInformação 'teste' alterada
    suidUsuário logado
    snameJosé da SilvaUsuário que iniciou sessão
    suserjsilvaLogin do usuário que iniciou sessão
    spidTipo de mensagem
    dstNão se aplica
    dptNão se aplica
    duserNão se aplica

    Solicitação de acesso à senha

    ChaveExemploDescrição
    msgO usuário 'José da Silva' criou uma solicitação. Detalhes da solicitação: Ação de visualizar senha para a credencial cqss no dispositivo win2012 (192.168.10.156)
    suidUsuário logado
    snameJosé da SilvaNome do usuário logado
    suserjsilvaLogin do usuário logado
    spidPID do processo
    dst.10.156IP Destino
    dptNão se aplica
    dusercqssUsuário solicitado
    cs1LabelGMUDLabel do campo
    cs1Id do arquivo
    cs2LabelInício ValidadeLabel do campo
    cs2-01-19 10:41:00Data de início da solicitação
    cs3LabelFim ValidadeLabel do campo
    cs3-01-19 11:41:00Data de validade da solicitação
    cs4LabelAprovadorLabel do campo
    cs4AdministradorUsuário Aprovador
    cs5LabelSolicitanteLabel do campo
    cs5José da SilvaUsuário Solicitante
    Cs6AçãoLabel do campo
    Cs7Visualizar senhaDescrição da ação

    Solicitação aprovada

    ChaveExemploDescrição
    msgSolicitação aprovada por Administrador em 19/01/2017 10:44:30. Código: S000296 Solicitante: José da Silva Solicitada em: 19/01/2017 10:44:13 Detalhes da solicitação: Ação de visualizar senha para a credencial cqss no dispositivo win2012 (192.168.10.156)
    suidUsuário logado
    snameMaria da SilvaNome do usuário logado
    susermsilvaLogin do usuário logado
    spidPID do processo
    dst.10.156IP Destino
    dptNão utilizado
    dusercqssUsuário da credencial solicitada
    cs1LabelGMUDLabel do campo
    cs1ID do arquivo
    cs2LabelInício ValidadeLabel do campo
    cs2-01-19 10:41:00Data de início da solicitação
    cs3LabelFim ValidadeLabel do campo
    cs3-01-19 11:41:00Data de validade da solicitação
    cs4LabelAprovadorLabel do campo
    cs4AdministradorUsuário Aprovador
    cs5LabelSolicitanteLabel do campo
    cs5José da SilvaUsuário Solicitante
    Cs6AçãoLabel do campo
    Cs7Visualizar senhaDescrição da ação

    Solicitação reprovada

    ChaveExemploDescrição
    msgInformação 'teste' visualizada.
    suidUsuário logado
    snameJosé da SilvaNome do usuário logado
    suserjsilvaLogin do usuário logado
    spidPID do processo
    dst.10.156IP Destino
    dptNão utilizado
    dusercqssLogin do usuário solicitado
    cs1LabelGMUDLabel do campo
    cs1Id do arquivo
    cs2LabelInício ValidadeLabel do campo
    cs2-01-19 10:41:00Data de início da solicitação
    cs3LabelFim ValidadeLabel do campo
    cs3-01-19 11:41:00Data de validade da solicitação
    cs4LabelAprovadorLabel do campo
    cs4AdministradorUsuário Aprovador
    cs5LabelSolicitanteLabel do campo
    cs5Maria da SilvaUsuário Solicitante
    Cs6AçãoLabel do campo
    Cs7Visualizar senhaDescrição da ação

    Comando detectado - Bloquear e interromper sessão

    ChaveExemploDescrição
    msgUm comando auditado foi detectado! Ação: Comando bloqueado e sessão interrompida
    suidUsuário logado
    snameRomarioUsuário que iniciou sessão
    suserromarioLogin do usuário que iniciou sessão
    spidTipo de mensagem
    dst.0.1IP destino
    dptPorta utilizada
    dusercofreUsuário utilizado para iniciar a sessão

    Comando detectado - Bloquear

    ChaveExemploDescrição
    msgUm comando auditado foi detectado! Ação: Comando notificado e permitido
    suidUsuário logado
    snameRomarioUsuário que iniciou sessão
    suserromarioLogin do usuário que iniciou sessão
    spidTipo de mensagem
    dst.0.1IP destino
    dptPorta utilizada
    dusercofreUsuário utilizado para iniciar a sessão

    Erro na troca de senha

    ChaveExemploDescrição
    msgErro ao trocar senha 'Windows SQL Teste Remote App (192.168.30.55) - Usuario Domínio – 'jsilvaadm': O dispositivo 'Windows SQL Teste Remote App (192.168.30.55)' não possui conectividade Windows RPC
    suidUsuário logado
    snameJosé da SilvaNome do usuário que iniciou sessão
    suserJsilvaLogin do usuário que iniciou sessão
    spidTipo de mensagem
    dst.30.5IP destino
    dptNão se aplica
    duserjsilvaadmUsuário utilizado para iniciar a sessão

    Arquivo do armazém alterado

    ChaveExemploDescrição
    msgUm arquivo de sessão foi modificado!
    suidUsuário logado
    snameScript Assíncrono: 12Nome do usuário logado
    suserasc_12Login do usuário logado
    spidPID do processo
    dstNão se aplica
    dptNão se aplica
    duserNão se aplica
    cs1LabelIdLabel do campo
    cs1Id do arquivo
    cs2LabelTamanho InicialLabel do campo
    cs2Tamanho inicial do arquivo em bytes
    cs3LabelTamanho FinalLabel do campo
    cs3Tamanho final do arquivo em bytes
    cs4LabelChecksum inicialLabel do campo
    cs4f5751777b74f8e2f2…Checksum anterior do arquivo
    cs5LabelChecksum finalLabel do campo
    cs5284f1555574548901…Checksum atual do arquivo

    Chave Mestra - Usuários que visualizaram a sua parte da chave

    ChaveExemploDescrição
    msgO usuário viu sua parte da solicitação de chave.
    suidUsuário logado
    snameJosé da SilvaNome do usuário logado
    suserjsilvaLogin do usuário logado
    MethodPOSTValor fixo
    actO usuário viu sua parte da fonte de chave.Ação performada
    ServiceNameBackup

    Chave Mestra - Usuário que realizou o download do PDF com a sua parte da chave

    ChaveExemploDescrição
    msgO usuário baixou o PDF com sua parte da solicitação de chave.
    suidUsuário logado
    snameJosé da SilvaNome do usuário logado
    suserjsilvaLogin do usuário logado
    MethodPOSTValor fixo
    actO usuário baixou o PDF com sua parte da fonte de chave.Ação performada
    ServiceNameBackup

    Chave Mestra - Processo de cerimônia iniciado

    ChaveExemploDescrição
    msgProcesso de cerimônia iniciado.
    suidUsuário logado
    snameJosé da SilvaNome do usuário logado
    suserjsilvaLogin do usuário logado
    sprivAdministrador
    MethodPOSTValor fixo
    actProcesso de cerimônia iniciado.Ação performada
    ServiceNameBackup

    Chave Mestra - Processo de cerimônia finalizado

    ChaveExemploDescrição
    msgProcesso de cerimônia finalizado.
    suidUsuário logado
    snameJosé da SilvaNome do usuário logado
    suserjsilvaLogin do usuário logado
    sprivAdministrador
    MethodGETValor fixo
    actProcesso de cerimônia finalizado.Ação performada
    ServiceNameBackup

    Chave Mestra - Guardião inativo

    ChaveExemploDescrição
    msgChave Mestra - Guardião inativo.
    suidID do usuário logado
    snameJohn DoeNome do usuário
    suserjdoeUsername do usuário
    sprivUsuárioCamada de aplicação
    dvc.225.14Host IPv4 do dispositivo
    spidPID interno
    actIncidenteAção performada
    dprocmaster_key_guardianNome do processo de destino

    Chave Mestra - Falha na tentativa de recuperação

    ChaveExemploDescrição
    msgFalha na tentativa de recuperação. As frações da chave são inválidas
    requestMethodPOSTValor fixo
    actFalha na tentativa de recuperaçãoTipo de falha da tentativa de recuperação da Chave Mestra
    sourceServiceNameMaster KeyMódulo de operação
    originIP.148.162IP do usuário solicitante
    countryBrazilSolicitar geolocalização do país
    stateSao PauloSolicitar geolocalização do estado
    cityTaboao da SerraSolicitar geolocalização da cidade
    latitudeSolicitar geolocalização de GPS latitude
    longitudeSolicitar geolocalização de GPS latitude
    partsNeededFrações necessárias para realizar a recuperação
    partsSentNúmero de tentativas de frações enviadas
    suidID do usuário logado
    snameNome do usuário
    suserUsername do usuário
    sprivUsuárioCamada de aplicação
    dvc.2.17Host IPv4 do dispositivo
    spidPID interno
    src.0.1Endereço do IP fonte
    actIncidenteAção performada
    dprocmaster_key_guardianNome do processo de destino

    Chave Mestra - Tentativa de recuperação bem-sucedida

    ChaveExemploDescrição
    msgTentativa de recuperação bem-sucedida. As frações chave usadas são válidas
    requestMethodPOSTValor fixo
    actTentativa de recuperação bem-sucedidaTipo de recuperação de chave mestra bem-sucedida
    sourceServiceNameMaster KeyMódulo de operação
    originIP.10.13Solicitar IP do usuário
    countryBrazilSolicitar geolocalização do país
    stateSao PauloSolicitar geolocalização do estado
    cityTaboao da SerraSolicitar geolocalização da cidade
    latitudeSolicitar geolocalização de GPS latitude
    longitudeSolicitar geolocalização de GPS latitude
    partsNeededFrações necessárias para realizar a recuperação
    partsSentNúmero de tentativas de frações enviadas
    suidID de usuário registrado
    snameNome do usuário
    suserUsername do usuário
    sprivUsuárioCamada de aplicação
    dvc.10.20Host do dispositivo IPv4
    spidPID interno
    src.10.13Endereço IP de origem
    actIncidenteAção performada
    dprocmaster_key_guardianNome do processo de destino

    Agendamento de relatórios de email - Criação

    ChaveExemploDescrição
    dvc.20.30IP do servidor senhasegura
    spidID do processo no sistema operacional
    src.20.10IP do usuário que realizou a operação
    suidID do usuário que executou a operação
    snameJohn DoeNome do usuário
    suserjdoeUsername do usuário
    sprivAdministradorUsuário privilegiado que realizou a operação
    msgAgendamento de relatórios - CriaçãoOperação que foi realizada
    requestMethodPOSTMétodo HTTP usado pelo cliente
    actAgendamento de relatórios - CriaçãoOperação que foi realizada
    sourceServiceNameAgendamento de relatóriosCategoria de operação que foi executada
    cs1LabelUserLabel do nome de usuário solicitante
    cs1John DoeNome do solicitante
    cs2LabelUser IDLabel de ID do usuário
    cs2ID do usuário
    cs3LabelScheduleLabel do nome da agenda
    cs3Minha agendaNome da agenda
    cs4LabelSchedule IDLabel de ID da agenda
    cs4ID da agenda
    cs5LabelAdded reportsLabel de relatórios adicionados
    cs5Settings ➔ Autenticação➔ Autenticação de multifator ➔ ProvedoresLabel adicionada
    cs7LabelAdded usersLabel de usuários adicionados
    cs7jdoe - John DoeUsuários adicionados para receber notificação

    Agendamento de relatórios por email - Atualização

    ChaveExemploDescrição
    dvc.20.30IP do servidor senhasegura
    spidID do processo no sistema operacional
    src.20.10IP do usuário que realizou a operação
    suidID do usuário que realizou a operação
    snameJohn DoeNome do usuário
    suserjdoeUsername do usuário
    sprivAdministradorUsuário privilegiado que realizou a operação
    msgAgendamento de relatórios - AtualizaçãoOperação que foi realizada
    requestMethodPOSTMétodo HTTP usado pelo cliente
    actAgendamento de relatórios - AtualizaçãoOperação que foi realizada
    sourceServiceNameAgendamento de relatóriosCategoria de operação que foi executada
    cs1LabelUserLabel do nome de usuário solicitante
    cs1John DoeNome do solicitante
    cs2LabelUser IDLabel de ID do usuário
    cs2ID do usuário
    cs3LabelScheduleLabel do nome da agenda
    cs3Minha agendaNome da agenda
    cs4LabelSchedule IDLabel de ID da agenda
    cs4ID da agenda
    cs5LabelAdded reportsLabel de relatórios adicionados
    cs5NenhumRelatórios adicionados
    cs6LabelRemoved reportsLabel de relatórios removidos
    cs6NenhumRelatórios removidos
    cs7LabelAdded usersLabel de usuários adicionados
    cs7NenhumUsuários adicionados
    cs8LabelRemoved usersLabel de usuários removidos
    cs8NenhumUsuários removidos

    Agendamento de relatórios por email - Exclusão

    ChaveExemploDescrição
    dvc.20.30IP do servidor senhasegura
    spidID do processo no sistema operacional
    src.20.10IP do usuário que realizou a operação
    suidID do usuário que executou a operação
    snameJohn DoeNome do usuário
    suserjdoeUsername do usuário
    sprivAdministradorUsuário privilegiado que realizou a operação
    msgAgendamento de relatórios - ExclusãoOperação que foi realizada
    requestMethodPOSTMétodo HTTP usado pelo cliente
    actAgendamento de relatórios - ExclusãoOperação que foi realizada
    sourceServiceNameAgendamento de relatóriosCategoria de operação que foi executada
    cs1LabelUserRótulo do nome de usuário solicitante
    cs1John DoeNome de usuário do solicitante
    cs2LabelUser IDEtiqueta de ID do usuário
    cs2ID do usuário
    cs3LabelScheduleRótulo do nome da programação
    cs3My scheduleNome do agendamento
    cs4LabelSchedule IDID de agendamento de etiquetas
    cs4Código de agendamento
    Este artigo foi útil?
    What's Next
    A Soberania Digital é um direito fundamental para os cidadãos, instituições e sociedade. É por isso que trabalhamos todos os dias.
    Conecte-se conosco
    SENHASEGURA
    LEARN
    EXPLORE
    Copyright © senhasegura. Todos os direitos reservados