SIEM Mensagens configuradas
As seguintes mensagens são configuradas para envio através do SIEM:
Tipos de Mensagens(SUID)
| SUID | Descrição |
|---|---|
| 8 | Conectividade Perda/Recuperação |
| 9 | Troca de senhas executada |
| 15 | Backup realizado |
| 17 | Senha alterada |
| 153 | Sessão Iniciada/Finalizada |
| 164 | Senha Visualizada |
| dst | IP do dispositivo de destino do evento |
| dhost | Hostname do dispositivo afetado pelo evento |
Backup
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Backup enviado para servidor ’localhost:/srv/backup’ via local | Mensagem com informação sobre a ação |
| suid | Tipo de mensagem | |
| sname | Script Assíncrono: 8 | Identificador do script do backup |
| suser | Não se aplica | |
| spid | Identificador único da notificação | |
| dhost | localhost | Nome do servidor onde o backup é gerado |
Perda de Conectividade
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | O equipamento localhost (127.0.0.1) perdeu a conectividade SSH | |
| suid | Tipo de mensagem | |
| sname | Script Assíncrono: 9 | Nome do usuário que perdeu a conectividade |
| suser | Não se aplica | |
| spid | Identificador único da notificação | |
| dst | .0.1 | IP do dispositivo |
| dhost | localhost | Nome do servidor onde o backup é gerado |
| dport | Porta do dispositivo |
Conectividade Restabelecida
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | O equipamento localhost (127.0.0.1) recuperou a conectividade SSH | |
| suid | Tipo de mensagem | |
| sname | Script Assíncrono: 9 | Nome do usuário que teve a sessão restabelecida |
| suser | Não se aplica | |
| spid | Identificador único da notificação | |
| dst | .0.1 | IP do dispositivo |
| dhost | localhost | Nome do servidor onde o backup é gerado |
| dport | Porta do dispositivo |
Senha Alterada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Senha localhost (127.0.0.1) - Usuario Dominio - root alterada pelo usuario jsilva | |
| suid | Identificador único da notificação | |
| sname | José da Silva | Nome do usuário que alterou a senha |
| suser | Não se aplica | |
| spid | Identificador único da notificação | |
| duser | root | Username da senha alterada |
| duid | ||
| dst | .0.1 | IP do dispositivo |
| dhost | localhost | Nome do dispositivo da senha |
Senha Visualizada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Senha localhost (127.0.0.1) - Usuario Dominio - root alterada pelo usuario jsilva | |
| suid | Tipo de mensagem | |
| sname | José da Silva | Usuário que visualizou a senha |
| suser | Não se aplica | |
| spid | Identificador único da notificação | |
| duser | root duid=35 | Username da senha visualizada |
| dst | .0.1 | IP do dispositivo da senha |
| dhost | localhost | Nome do dispositivo da senha |
Sessão Finalizada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Sessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - srv_admin pelo usuário José da Silva (jsilva) | |
| suid | Identifica o tipo de mensagem | |
| sname | José da Silva | Usuário que finalizou a sessão |
| suser | jsilva | login do usuário que finalizou a sessão |
| spid | Identificador único da notificação | |
| dst | .0.1 | IP do dispositivo |
| dposrt | Porta do dispositivo | |
| duser | srv_admin | Login utilizado na sessão remota |
Sessão Iniciada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Sessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - root pelo usuário José da Silva (jsilva) | |
| suid | Identifica o tipo de mensagem | |
| sname | José da Silva | Usuário que iniciou sessão |
| suser | jsilva | Login do usuário que iniciou sessão |
| spid | Identificador único da notificação | |
| dst | .0.1 | IP do dispositivo |
| dpt | Porta do dispositivo | |
| duser | root | Login utilizado na sessão remota |
Troca Executada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Sessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - root pelo usuário José da Silva (jsilva) | |
| suid | Tipo de mensagem | |
| sname | Script Assíncrono: 17 | Identificador do script de troca de senhas |
| suser | não é utilizado nesse interface | |
| spid | Identifica o tipo de mensagem | |
| dst | .0.1 | IP do dispositivo |
| duser | root | usuário da senha trocada |
Comando auditado executado
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um comando auditado foi detectado! Ação: ”[Ação tomada]” | |
| suid | Usuário logado | |
| sname | José da Silva | Usuário que iniciou sessão |
| suser | jsilva | Login do usuário que iniciou sessão |
| spid | Não se aplica | |
| dst | Não se aplica | |
| dpt | Não se aplica | |
| duser | Não se aplica |
Informação Visualizada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Informacao ’teste’ visualizada. | |
| suid | Usuário logado | |
| sname | José da Silva | Usuário que iniciou sessão |
| suser | jsilva | Login do usuário que iniciou sessão |
| spid | Tipo de mensagem | |
| dst | Não se aplica | |
| dpt | Não se aplica | |
| duser | Não se aplica |
Informação Alterada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Informacao ’teste’ alterada | |
| suid | Usuário logado | |
| sname | José da Silva | Usuário que iniciou sessão |
| suser | jsilva | Login do usuário que iniciou sessão |
| spid | Tipo de mensagem | |
| dst | Não se aplica | |
| dpt | Não se aplica | |
| duser | Não se aplica |
Solicitação de acesso à senha
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | O usuário ’José da Silva’ criou uma solicitação. Detalhes da solicitação: Ação de visualizar senha para a credencial cqss no dispositivo win2012 (192.168.10.156) | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| spid | PID do processo | |
| dst | .10.156 | Ip Destino |
| dpt | Não se aplica | |
| duser | cqss | Usuário solicitado |
| cs1Label | GMUD | Label do campo |
| cs1 | Id do arquivo | |
| cs2Label | Início Validade | Label do campo |
| cs2 | -01-19 10:41:00 | Data de início da solicitação |
| cs3Label | Fim Validade | Label do campo |
| cs3 | -01-19 11:41:00 | Data de validade da solicitação |
| cs4Label | Aprovador | Label do campo |
| cs4 | Administrador | Usuário Aprovador |
| cs5Label | Solicitante | Label do campo |
| cs5 | José da Silva | Usuário Solicitante |
| Cs6 | Ação | Label do campo |
| Cs7 | Visualizar senha | Descrição da ação |
Solicitação aprovada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Solicitacao aprovada por Administrador em 19/01/2017 10:44:30. Codigo: S000296 Solicitante: José da Silva Solicitada em: 19/01/2017 10:44:13 Detalhes da solicitacao: Acao de visualizar senha para a credencial cqss no dispositivo win2012 (192.168.10.156) | |
| suid | Usuário logado | |
| sname | Maria da Silva | Nome do usuário logado |
| suser | msilva | Login do usuário logado |
| spid | PID do processo | |
| dst | .10.156 | IP Destino |
| dpt | Não utilizado | |
| duser | cqss | Usuário da credencial solicitada |
| cs1Label | GMUD | Label do campo |
| cs1 | Id do arquivo | |
| cs2Label | Início Validade | Label do campo |
| cs2 | -01-19 10:41:00 | Data de início da solicitação |
| cs3Label | Fim Validade | Label do campo |
| cs3 | -01-19 11:41:00 | Data de validade da solicitação |
| cs4Label | Aprovador | Label do campo |
| cs4 | Administrador | Usuário Aprovador |
| cs5Label | Solicitante | Label do campo |
| cs5 | José da Silva | Usuário Solicitante |
| Cs6 | Ação | Label do campo |
| Cs7 | Visualizar senha | Descrição da ação |
Solicitação reprovada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Informacao ’teste’ visualizada. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| spid | PID do processo | |
| dst | .10.156 | IP Destino |
| dpt | Não utilizado | |
| duser | cqss | Login do usuário solicitado |
| cs1Label | GMUD | Label do campo |
| cs1 | Id do arquivo | |
| cs2Label | Início Validade | Label do campo |
| cs2 | -01-19 10:41:00 | Data de início da solicitação |
| cs3Label | Fim Validade | Label do campo |
| cs3 | -01-19 11:41:00 | Data de validade da solicitação |
| cs4Label | Aprovador | Label do campo |
| cs4 | Administrador | Usuário Aprovador |
| cs5Label | Solicitante | Label do campo |
| cs5 | Maria da Silva | Usuário Solicitante |
| Cs6 | Ação | Label do campo |
| Cs7 | Visualizar senha | Descrição da ação |
Comando detectado - Bloquear e interromper sessão
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um comando auditado foi detectado! Acao: Comando bloqueado e sessao interrompida | |
| suid | Usuário logado | |
| sname | Romario | Usuário que iniciou sessão |
| suser | romario | Login do usuário que iniciou sessão |
| spid | Tipo de mensagem | |
| dst | .0.1 | IP destino |
| dpt | Porta utilizada | |
| duser | cofre | Usuário utilizado para iniciar a sessão |
Comando Detectado - Bloquear
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um comando auditado foi detectado! Acao: Comando notificado e permitido | |
| suid | Usuário logado | |
| sname | Romario | Usuário que iniciou sessão |
| suser | romario | Login do usuário que iniciou sessão |
| spid | Tipo de mensagem | |
| dst | .0.1 | IP destino |
| dpt | Porta utilizada | |
| duser | cofre | Usuário utilizado para iniciar a sessão |
Erro na troca de senha
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Erro ao trocar senha ’Windows SQL Teste Remote App (192.168.30.55) - Usuario Dominio – ’jsilvaadm’: O dispositivo ’Windows SQL Teste Remote App (192.168.30.55)’ nao possui conectividade Windows RPC | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário que iniciou sessão |
| suser | Jsilva | Login do usuário que iniciou sessão |
| spid | Tipo de mensagem | |
| dst | .30.5 | |
| 5 | IP destino | |
| dpt | Não se aplica | |
| duser | jsilvaadm | Usuário utilizado para iniciar a sessão |
Arquivo do armazém alterado
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um arquivo de sessão foi modificado! | |
| suid | Usuário logado | |
| sname | Script Assíncrono: 12 | Nome do usuário logado |
| suser | asc_12 | Login do usuário logado |
| spid | PID do processo | |
| dst | Não se aplica | |
| dpt | Não se aplica | |
| duser | Não se aplica | |
| cs1Label | Id | Label do campo |
| cs1 | Id do arquivo | |
| cs2Label | Tamanho Inicial | Label do campo |
| cs2 | Tamanho inicial do arquivo em bytes | |
| cs3Label | Tamanho Final | Label do campo |
| cs3 | Tamanho final do arquivo em bytes | |
| cs4Label | Checksum inicial | Label do campo |
| cs4 | f5751777b74f8e2f2… | Checksum anterior do arquivo |
| cs5Label | Checksum final | Label do campo |
| cs5 | 284f1555574548901… | Checksum atual do arquivo |
Chave Mestra - Usuário visualizou a sua parte da chave
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | User has seen his part of the key request. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| Method | POST | Valor fixo |
| act | User has seen his part of the key source | Ação performada |
| ServiceName | Backup |
Chave Mestra - Usuário realizou o download do PDF com a sua parte da chave
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | User downloaded the PDF with his part of the key request. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| Method | POST | Valor fixo |
| act | User downloaded the PDF with his part of the key source | ação performada |
| ServiceName | Backup |
Chave Mestra - Processo de cerimônia iniciado
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Ceremony process started. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| spriv | Administrator | |
| Method | POST | Valor fixo |
| act | Ceremony process started | Ação performada |
| ServiceName | Backup |
Chave Mestra - Processo de cerimônia finalizado
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Ceremony process completed. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| spriv | Administrator | |
| Method | GET | Valor fixo |
| act | Ceremony process completed | Ação performada |
| ServiceName | Backup |
Chave Mestra - Guardião inativo
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Master key guardian inactice. | |
| suid | ID do usuário logado | |
| sname | John Doe | Nome do usuário |
| suser | jdoe | Username do usuário |
| spriv | User | Camada de aplicação |
| dvc | .225.14 | Host IPv4 do dispositivo |
| spid | PID interno | |
| act | Incident | Ação performada |
| dproc | master_key_guardian | Nome do processo de destino |
Chave Mestra - Tentativas de recuperação com falha
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Failed recovery attempt. | As frações da chave são inválidas |
| requestMethod | POST | Valor fixo |
| act | Failed recovery attempt | Tipo de falha da tentativa de recuperação da Chave Mestra |
| sourceServiceName | Master Key | Módulo de operação |
| originIP | .148.162 | IP do usuário solicitante |
| country | Brazil | Geo localização da solicitação país |
| state | Sao Paulo | Geo localização da solicitação estado |
| city | Taboao da Serra | Geo localização da solicitação cidade |
| latitude | ||
| Geo localização da solicitação GPS latitude | ||
| longitude | Geo localização da solicitação GPS longitude | |
| partsNeeded | Frações necessárias para realizar a recuperação | |
| partsSent | Número de tentativas de frações enviadas | |
| suid | ID do usuário logado | |
| sname | Nome do usuário | |
| suser | Username do usuário | |
| spriv | User | Camada de aplicação |
| dvc | .2.17 | Host IPv4 do dispositivo |
| spid | PID interno | |
| src | .0.1 | Endereço do IP fonte |
| act | Incident | Ação performada |
| dproc | master_key_guardian | Nome do processo de destino |
Chave Mestra - Tentativas de recuperação com sucesso
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Successful recovery attempt. | As frações da chave são válidas |
| requestMethod | POST | Valor fixo |
| act | Successful recovery attempt | Tipo de sucesso da tentativa de recuperação da Chave Mestra |
| sourceServiceName | Master Key | Módulo de operação |
| originIP | .10.20 | IP do usuário solicitante |
| country | Brazil | Geo localização da solicitação país |
| state | Sao Paulo | Geo localização da solicitação estado |
| city | Taboao da Serra | Geo localização da solicitação cidade |
| latitude | Geo localização da solicitação GPS latitude | |
| longitude | Geo localização da solicitação GPS longitude | |
| partsNeeded | Frações necessárias para realizar a recuperação | |
| partsSent | Número de tentativas de frações enviadas | |
| suid | ID do usuário logado | |
| sname | Nome do usuário | |
| suser | Username do usuário | |
| spriv | User | Camada de aplicação |
| dvc | .10.13 | Host IPv4 do dispositivo |
| spid | PID interno | |
| src | .10.20 | Endereço do IP fonte |
| act | Incident | Ação performada |
| dproc | master_key_guardian | Nome do processo de destino |
Agendamento de envio de relatórios por email - Criação
| Chave | Exemplo | Descrição |
|---|---|---|
| dvc | .20.30 | IP do servidor senhasegura |
| spid | Id do processo no sistema operacional senhasegura | |
| src | .20.10 | IP do usuário que realizou a operação |
| suid | ID do usuário que realizou a operação | |
| sname | John Doe | Nome do usuário que realizou a operação |
| suser | jdoe | Username do usuário que realizou a operação |
| spriv | Administrator | Privilégio senhasegura utilizado para realizar a operação |
| msg | Report scheduling - Creation | Operação que foi realizada |
| requestMethod | POST | Método HTTP utilizado pelo cliente |
| act | Report scheduling - Creation | Operação que foi realizada |
| sourceServiceName | Report scheduling | Categoria da operação que foi realizada |
| cs1Label | User | Label do nome do usuário solicitante |
| cs1 | John Doe | Nome do usuário solicitante |
| cs2Label | User ID | Label do ID de usuário |
| cs2 | ID do usuário | |
| cs3Label | Schedule | Label do nome do agendamento |
| cs3 | My schedule | Nome do agendamento |
| cs4Label | Schedule ID | Label do ID de agendamento |
| cs4 | ID do agendamento | |
| cs5Label | Added reports | Label dos relatórios adicionados |
| cs5 | Settings -> Authentication -> Multi-factor authentication -> Providers | Relatórios adicionados |
| cs7Label | Added users | Label dos usuários adicionados |
| cs7 | jdoe - John Doe | Usuários adicionados para receber a notificação |
Agendamento de envio de relatórios por email - Edição
| Chave | Exemplo | Descrição |
|---|---|---|
| dvc | .20.30 | IP do servidor senhasegura |
| spid | Id do processo no sistema operacional senhasegura | |
| src | .20.10 | IP do usuário que realizou a operação |
| suid | ID do usuário que realizou a operação | |
| sname | John Doe | Nome do usuário que realizou a operação |
| suser | jdoe | Username do usuário que realizou a operação |
| spriv | Administrator | Privilégio senhasegura utilizado para realizar a operação |
| msg | Report scheduling - Update | Operação que foi realizada |
| requestMethod | POST | Método HTTP utilizado pelo cliente |
| act | Report scheduling - Update | Operação que foi realizada |
| sourceServiceName | Report scheduling | Categoria da operação que foi realizada |
| cs1Label | User | Label do nome do usuário solicitante |
| cs1 | John Doe | Nome do usuário solicitante |
| cs2Label | User ID | Label do ID de usuário |
| cs2 | ID do usuário | |
| cs3Label | Schedule | Label do nome do agendamento |
| cs3 | My schedule | Nome do agendamento |
| cs4Label | Schedule ID | Label do ID de agendamento |
| cs4 | ID do agendamento | |
| cs5Label | Added reports | Label dos relatórios adicionados |
| cs5 | None | Relatórios adicionados |
| cs6Label | Removed reports | Label dos relatórios removidos |
| cs6 | None | Relatórios removidos |
| cs7Label | Added users | Label dos usuários adicionados |
| cs7 | None | Usuários adicionados |
| cs8Label | Removed users | Label dos usuários removidos |
| cs8 | None | Usuários removidos |
Agendamento de envio de relatórios por email - Inativação
| Chave | Exemplo | Descrição |
|---|---|---|
| dvc | .20.30 | IP do servidor senhasegura |
| spid | Id do processo no sistema operacional senhasegura | |
| src | .20.10 | IP do usuário que realizou a operação |
| suid | ID do usuário que realizou a operação | |
| sname | John Doe | Nome do usuário que realizou a operação |
| suser | jdoe | Username do usuário que realizou a operação |
| spriv | Administrator | Privilégio senhasegura utilizado para realizar a operação |
| msg | Report scheduling - Deletion | Operação que foi realizada |
| requestMethod | POST | Método HTTP utilizado pelo cliente |
| act | Report scheduling - Deletion | Operação que foi realizada |
| sourceServiceName | Report scheduling | Categoria da operação que foi realizada |
| cs1Label | User | Label do nome do usuário solicitante |
| cs1 | John Doe | Nome do usuário solicitante |
| cs2Label | User ID | Label do ID de usuário |
| cs2 | ID do usuário | |
| cs3Label | Schedule | Label do nome do agendamento |
| cs3 | My schedule | Nome do agendamento |
| cs4Label | Schedule ID | Label do ID de agendamento |
| cs4 | ID do agendamento |
info
Veja o capítulo em Apêndices para consultar a Tabela com os valores possíveis para Serviços de sistema e Listeners