Pular para o conteúdo principal
Version: 3.23

SIEM

Introdução

A solução senhasegura permite a coleta de informações avançadas e eventos do ambiente. Esses eventos e informações podem ser enviados a soluções de Gerenciamento e Correlação de Eventos e Segurança, Security Information and Event Management, ou simplesmente SIEM.

Objetivo

O objetivo desta seção é auxiliar os usuários com privilégios de administrador a configurar o monitoramento do ambiente senhasegura para detecção de incidentes e envio de notificações via e-mail, tela, SMS e protocolos de envio de mensagens.

Funcionamento

O sistema de monitoramento da solução senhasegura permite a coleta e transmissão, por diversos meios, como SMS, mensagens instantâneas, e-mail e abertura de chamados, de informações de aspectos que estão sendo monitorados no ambiente. O módulo de monitoramento senhasegura permite sua utilização para monitorar uma série de métricas da solução, desde informações de identificadores de tabelas até em relação aos robôs em execução.

As soluções de SIEM permitem que os administradores de Segurança da Informação da organização tenham visão e rastreamento das atividades no ambiente de T.I a partir da coleta de dados de log gerados pela solução senhasegura .

A partir desses dados de log, a solução SIEM identifica, categoriza e analisa incidentes e eventos, permitindo a geração de relatórios de incidentes de segurança, como possíveis atividades maliciosas, além do envio de alertas caso alguma potencial ameaça de segurança seja detectada, de acordo com o conjunto de regras configurado no ambiente.

Alguns dos alertas que podem ser enviados pelo senhasegura incluem: autenticação de um usuário na solução, início de uma sessão remota em um dispositivo, falhas de funcionamento do servidor senhasegura ou expiração de uma senha.

O senhasegura é compatível com as ferramentas SIEM mais utilizadas no mercado, e oferece suporte para envio de mensagens nos formatos CEF, Syslog (RFC 5424) e Sensage.

Para mensagens em formato CEF

O CEF é um formato de mensagens criado para padronizar o envio de informações para SIEM. O cabeçalho das mensagens é preenchido da seguinte forma:

  • Version: CEF0

  • Device Vendor: MT4

  • Device Product: senhasegura

  • Device Version: Versão senhasegura

  • Signature ID: ID do tipo do evento

  • Name: Nome do tipo do evento

  • Severity: 10 - criticidade do tipo do evento

Adicionalmente, estão nos valores da mensagem os valores do evento e a chave msg com a mensagem do evento.

Para mensagens em formato RFC5424

Neste modo as mensagens do SYSLOG são enviadas de acordo com a RFC5424. Os campos são configurados com os seguintes valores:

  • priority: de acordo com o tipo do evento

  • facility: 1 (user)

  • App: senhasegura

  • procid: PID do processo atual

  • message: mensagem do evento