Análise de comportamentos
Essa seção apresenta os relatórios que são compilados a partir do comportamento que cada usuário cria ao utilizar o senhasegura e os dispositivos e credenciais gerenciados. Este comportamento é baseado em tempo, horário, quantidade e segmentos de dados utilizados dentro de uma base histórica de todos usuários ou do usuário em questão.
Apesar dos relatórios estarem focados no tipo de anomalia, todas as ações do usuário dentro das atividades de sessão proxy e saque de senhas, são avaliadas e pontuadas considerando todos tipos de monitoramento comportamental.
User Posture
Menu Behavior ➔ Análise de comportamentos ➔ User Posture.
Apresenta um painel com informações sobre o perfil dos usuários de acordo com as características de uso dos recursos disponíveis na solução.
Este painel contempla as seguintes informações:
Status: Card com informações do usuário como, foto, IP de acesso e data/hora do último acesso.
Comportamento: Card com informações sobre período de maior acesso, dias logado, tempo de gravação, duração média das gravações e localizações do usuário
Sessões: Card com a quantidade de sessões realizadas pelo usuário
Sites: Gráfico dos sites que o usuário possui acesso
Device type: Gráfico com os tipos de dispositivos que o usuário possui acesso
Device criticality: Gráfico com a criticidade dos dispositivos
Credential Criticality: Gráfico com a criticidade das credenciais
High risk sessions: Relatório com as sessões consideradas de alto risco realizadas pelo usuário. Neste relatório, é possível visualizar os detalhes e o vídeo da sessão
Suspicious events: Relatório de eventos suspeitos, como por exemplo, comandos auditados
Acessos excessivos
Menu Behavior ➔ Análise de comportamentos ➔ Acessos excessivos.
Apresenta um ranking de acessos a credenciais. Dentro de cada registro é possível realizar detalhamento através da ação de registro para ter acesso detalhado do uso da credencial.
O relatório de Acessos excessivos de credencial apresenta as seguintes informações:
Destino: Dispositivo destino da credencial alvo
Credencial: Credencial que teve acesso excessivo
Protocolo: Protocolo utilizado na sessão
Privilegiado: Indicativo se é uma credencial de uso privilegiado ou não
Acessos: Quantidade de vezes que a credencial foi utilizada
Por sua vez, o detalhamento do relatório "Acesso incomum", acessível pela ação de registro, contém as seguintes informações:
Cód: Identificador do uso
Origem: Ip do usuário que fez o uso
Usuário: Nome do usuário que fez o uso
Destino: Dispositivo destino da credencial alvo
Credencial: Credencial que teve acesso excessivo
Protocolo: Protocolo utilizado na sessão
Início: Início da sessão
Término: Término da sessão
Duração: Tempo de duração da sessão
Privilegiado: Indicativo se é uma credencial de uso privilegiado ou não
Origem: Indica se a origem é incomum ao uso da credencial
Destino: Indica se o destino é incomum ao uso da credencial
Credencial: Indica se o uso da credencial é incomum ao usuário
Horário: Indica se o horário de uso é incomum
Duração: Indica se o tempo de duração da sessão é incomum
Risco: É a pontuação de risco dessa sessão dado a quantidade de anomalias comportamentais encontradas
Acessos em horário incomum
Menu Behavior ➔ Análise de comportamentos ➔ Acessos em horário incomum.
Apresenta a relação de todos acessos proxy que ocorreram em horário incomum. Os seguintes campos estão presente:
Cód.: Identificador do uso
Origem: Ip do usuário que fez o uso
Usuário: Nome do usuário que fez o uso
Destino: Dispositivo destino da credencial alvo
Credencial: Credencial que teve acesso excessivo
Protocolo: Protocolo utilizado na sessão
Privilegiado: Indicativo se é uma credencial de uso privilegiado ou não
Início: Início da sessão
Término: Término da sessão
Duração: Tempo de duração da sessão
Risco: É a pontuação de risco dessa sessão dado a quantidade de anomalias comportamentais encontradas
Acessos por origem incomum
Menu Behavior ➔ Análise de comportamentos ➔ Acessos por origem incomum.
Apresenta um ranking de origens que mais pontuaram em quantidade de acessos com anomalias, e sua pontuação de risco médio destas sessões. O detalhamento irá apresentar o relatório "Acesso incomum", descrito anteriormente.
Cód.: Identificador do uso
Origem: Ip do usuário que fez o uso
Usuário: Nome do usuário que fez o uso
Destino: Dispositivo destino da credencial alvo
Credencial: Credencial que teve acesso excessivo
Protocolo: Protocolo utilizado na sessão
Privilegiado: Indicativo se é uma credencial de uso privilegiado ou não
Início: Início da sessão
Término: Término da sessão
Duração: Tempo de duração da sessão
Risco: É a pontuação de risco dessa sessão dado a quantidade de anomalias comportamentais encontradas
Acessos com tempo médio incomum
Menu Behavior ➔ Análise de comportamentos ➔ Acessos com tempo incomum.
É a relação de acessos proxy com tempo de duração incomum baseado no padrão de sessões do usuário. Apresenta os seguintes campos:
Cód.: Identificador do uso
Origem: Ip do usuário que fez o uso
Usuário: Nome do usuário que fez o uso
Destino: Dispositivo destino da credencial alvo
Credencial: Credencial utilizada no acesso
Protocolo: Protocolo utilizado na sessão
Início: Início da sessão
Término: Término da sessão
Duração: Tempo de duração da sessão
Risco: É a pontuação de risco dessa sessão dado a quantidade de anomalias comportamentais encontradas
Consultas excessivas de credencial
Menu Behavior ➔ Análise de comportamentos ➔ Consultas excessivas.
Apresenta um ranking de credenciais que mais sofreram consultas com pontuação de risco envolvido. O detalhamento irá apresentar o relatório "Acesso incomum", descrito anteriormente. As seguintes colunas são apresentadas:
Dispositivo: Dispositivo que hospeda a credencial
Username: Credencial que está ranqueada
Tipo Senha: Tipo da credencial
Informação adicional: Informação adicional da credencial, caso tenha
Privilegiado?: Indicativo se a credencial é privilegiada ou não
Consultas: Quantidade de consultas que foram executadas a essa credencial
Risco Total: Soma de pontuação de risco dos usos desta credencial
Consultas em horário incomum
Menu Behavior ➔ Análise de comportamentos ➔ Consultas em horário incomum.
Apresenta todos eventos em que um usuário fez uma consulta a uma determinada credencial em um horário incomum.
Cód.: Identificador do uso
Origem: Ip do usuário que fez o uso
Usuário: Nome do usuário que fez o uso
Dispositivo: Dispositivo destino da credencial alvo
Username: Credencial que teve uso incomum
Tipo Senha: Tipo da credencial
Informação adicional: Informação adicional da credencial, caso tenha
Privilegiado?: Indicativo se a credencial é privilegiada ou não
Data da Consulta: Data e hora em que a consulta ocorreu
Risco: Soma de pontuação de risco dos usos desta credencial
Consultas de credencial incomum
Menu Behavior ➔ Análise de comportamentos ➔ Consultas de credencial incomum.
Apresenta todos eventos em que um usuário fez uma consulta a uma determinada credencial do qual normalmente ele não faz uso.
Cód.: Identificador do uso
Origem: Ip do usuário que fez o uso
Usuário: Nome do usuário que fez o uso
Dispositivo: Dispositivo destino da credencial alvo
Username: Credencial que teve uso incomum
Tipo Senha: Tipo da credencial
Informação adicional: Informação adicional da credencial, caso tenha
Privilegiado?: Indicativo se a credencial é privilegiada ou não
Data da Consulta: Data e hora em que a consulta ocorreu
Risco: Soma de pontuação de risco dos usos desta credencial
Consultas de origem incomum
Menu Behavior ➔ Análise de comportamentos ➔ Consultas de origem incomum.
Apresenta todos eventos em que um usuário fez uma consulta a uma determinada credencial partindo de uma origem incomum.
Cód.: Identificador do uso
Origem: Ip do usuário que fez o uso
Usuário: Nome do usuário que fez o uso
Dispositivo: Dispositivo destino da credencial alvo
Username: Credencial que teve uso incomum
Tipo Senha: Tipo da credencial
Informação adicional: Informação adicional da credencial, caso tenha
Privilegiado?: Indicativo se a credencial é privilegiada ou não
Data da Consulta: Data e hora em que a consulta ocorreu
Risco: Soma de pontuação de risco dos usos desta credencial
Comando auditado
Menu Behavior ➔ Ocorrências ➔ Comando auditado.
Ranking de sessões proxy por comandos auditados que foram executados. O detalhamento apresenta quais foram essas sessões.
Comando: Nome do comando auditado que foi executado
Criticidade: Criticidade do comando
Sessões: Quantidade de sessões em que o comando foi executado
Sessões por comando e dispositivo
Menu Behavior ➔ Ocorrências ➔ Dispositivo.
Ranking de sessões proxy por comandos auditados que foram executados e em quais dispositivos foram executados. O detalhamento apresenta quais foram essas sessões.
Comando: Nome do comando auditado que foi executado
Dispositivo remoto: Dispositivo alvo do comando
Sessões: Quantidade de sessões em que o comando foi executado
Sessões por comando e credencial
Menu Behavior ➔ Ocorrências ➔ Dispositivo.
Ranking de sessões proxy por comandos auditados que foram executados e em quais dispositivos foram executados e qual foi a credencial utilizada. O detalhamento apresenta quais foram essas sessões.
Comando: Nome do comando auditado que foi executado
Ação durante a sessão: Ação que foi tomada conforme o cadastro do comando auditado
Dispositivo remoto: Dispositivo alvo do comando
Credencial: Credencial que foi utilizada
Sessões: Quantidade de sessões em que o comando foi executado
Sessões por comando e usuário local
Menu Behavior ➔ Ocorrências ➔ Usuário local.
Ranking de sessões proxy por comandos auditados, dispositivo alvo, credencial utilizada e com qual conta senhasegura foi utilizada. O detalhamento apresenta quais foram essas sessões.
Comando: Nome do comando auditado que foi executado
Ação durante a sessão: Ação que foi tomada conforme o cadastro do comando auditado
Dispositivo remoto: Dispositivo alvo do comando
Credencial: Credencial que foi utilizada
Usuário local: Conta do usuário senhasegura que fez o uso
Sessões: Quantidade de sessões em que o comando foi executado
Esta funcionalidade analisa alterações de senhas das credenciais realizadas pelo usuário. Os usuários administradores serão notificados sempre que outro usuário alterar manualmente a senha de uma credencial que o senhasegura tenha realizado o rotacionamento com sucesso na última tentativa. De acordo com o que foi definido em User Behavior no campo Unusual change password de quantas mudanças de senhas são necessárias para caracterizar um risco então uma notificação e um relatório com a ocorrência deste evento listada contendo as informações de quem e quando alterou a senha. Está ocorrência fica listada no menu Behavior ➔ Behavior Analysis ➔ User Posture
Exemplo de uma cenário:
O usuário acessou o módulo PAM ➔ Credentials ➔ All ➔ Edit escolher uma credencial que já possue trocas de senha realizadas com sucesso, troca o valor do campo “Password” e salvar. Este pode ser um comportamento de risco. E está definido pelo usuário administrador em Settings ➔ System Parameters ➔ System Parameters ➔ User Behavior importante! Este relatório deverá estar disponível para todos os usuários que possuam a permissão Behavior.list
Para a criação de um relatório no módulo Behavior ➔ Behavior Analysis ➔ Unusual password change