Pular para o conteúdo principal
Version: 3.24

Análise de comportamentos

Essa seção apresenta os relatórios que são compilados a partir do comportamento que cada usuário cria ao utilizar o senhasegura e os dispositivos e credenciais gerenciados. Este comportamento é baseado em tempo, horário, quantidade e segmentos de dados utilizados dentro de uma base histórica de todos usuários ou do usuário em questão.

Apesar dos relatórios estarem focados no tipo de anomalia, todas as ações do usuário dentro das atividades de sessão proxy e saque de senhas, são avaliadas e pontuadas considerando todos tipos de monitoramento comportamental.

User Posture

Menu Behavior ➔ Análise de comportamentos ➔ User Posture.

Apresenta um painel com informações sobre o perfil dos usuários de acordo com as características de uso dos recursos disponíveis na solução.

Este painel contempla as seguintes informações:

  • Status: Card com informações do usuário como, foto, IP de acesso e data/hora do último acesso.

  • Comportamento: Card com informações sobre período de maior acesso, dias logado, tempo de gravação, duração média das gravações e localizações do usuário

  • Sessões: Card com a quantidade de sessões realizadas pelo usuário

  • Sites: Gráfico dos sites que o usuário possui acesso

  • Device type: Gráfico com os tipos de dispositivos que o usuário possui acesso

  • Device criticality: Gráfico com a criticidade dos dispositivos

  • Credential Criticality: Gráfico com a criticidade das credenciais

  • High risk sessions: Relatório com as sessões consideradas de alto risco realizadas pelo usuário. Neste relatório, é possível visualizar os detalhes e o vídeo da sessão

  • Suspicious events: Relatório de eventos suspeitos, como por exemplo, comandos auditados

Acessos excessivos

Menu Behavior ➔ Análise de comportamentos ➔ Acessos excessivos.

Apresenta um ranking de acessos a credenciais. Dentro de cada registro é possível realizar detalhamento através da ação de registro para ter acesso detalhado do uso da credencial.

O relatório de Acessos excessivos de credencial apresenta as seguintes informações:

  • Destino: Dispositivo destino da credencial alvo

  • Credencial: Credencial que teve acesso excessivo

  • Protocolo: Protocolo utilizado na sessão

  • Privilegiado: Indicativo se é uma credencial de uso privilegiado ou não

  • Acessos: Quantidade de vezes que a credencial foi utilizada

Por sua vez, o detalhamento do relatório "Acesso incomum", acessível pela ação de registro, contém as seguintes informações:

  • Cód: Identificador do uso

  • Origem: Ip do usuário que fez o uso

  • Usuário: Nome do usuário que fez o uso

  • Destino: Dispositivo destino da credencial alvo

  • Credencial: Credencial que teve acesso excessivo

  • Protocolo: Protocolo utilizado na sessão

  • Início: Início da sessão

  • Término: Término da sessão

  • Duração: Tempo de duração da sessão

  • Privilegiado: Indicativo se é uma credencial de uso privilegiado ou não

  • Origem: Indica se a origem é incomum ao uso da credencial

  • Destino: Indica se o destino é incomum ao uso da credencial

  • Credencial: Indica se o uso da credencial é incomum ao usuário

  • Horário: Indica se o horário de uso é incomum

  • Duração: Indica se o tempo de duração da sessão é incomum

  • Risco: É a pontuação de risco dessa sessão dado a quantidade de anomalias comportamentais encontradas

Acessos em horário incomum

Menu Behavior ➔ Análise de comportamentos ➔ Acessos em horário incomum.

Apresenta a relação de todos acessos proxy que ocorreram em horário incomum. Os seguintes campos estão presente:

  • Cód.: Identificador do uso

  • Origem: Ip do usuário que fez o uso

  • Usuário: Nome do usuário que fez o uso

  • Destino: Dispositivo destino da credencial alvo

  • Credencial: Credencial que teve acesso excessivo

  • Protocolo: Protocolo utilizado na sessão

  • Privilegiado: Indicativo se é uma credencial de uso privilegiado ou não

  • Início: Início da sessão

  • Término: Término da sessão

  • Duração: Tempo de duração da sessão

  • Risco: É a pontuação de risco dessa sessão dado a quantidade de anomalias comportamentais encontradas

Acessos por origem incomum

Menu Behavior ➔ Análise de comportamentos ➔ Acessos por origem incomum.

Apresenta um ranking de origens que mais pontuaram em quantidade de acessos com anomalias, e sua pontuação de risco médio destas sessões. O detalhamento irá apresentar o relatório "Acesso incomum", descrito anteriormente.

  • Cód.: Identificador do uso

  • Origem: Ip do usuário que fez o uso

  • Usuário: Nome do usuário que fez o uso

  • Destino: Dispositivo destino da credencial alvo

  • Credencial: Credencial que teve acesso excessivo

  • Protocolo: Protocolo utilizado na sessão

  • Privilegiado: Indicativo se é uma credencial de uso privilegiado ou não

  • Início: Início da sessão

  • Término: Término da sessão

  • Duração: Tempo de duração da sessão

  • Risco: É a pontuação de risco dessa sessão dado a quantidade de anomalias comportamentais encontradas

Acessos com tempo médio incomum

Menu Behavior ➔ Análise de comportamentos ➔ Acessos com tempo incomum.

É a relação de acessos proxy com tempo de duração incomum baseado no padrão de sessões do usuário. Apresenta os seguintes campos:

  • Cód.: Identificador do uso

  • Origem: Ip do usuário que fez o uso

  • Usuário: Nome do usuário que fez o uso

  • Destino: Dispositivo destino da credencial alvo

  • Credencial: Credencial utilizada no acesso

  • Protocolo: Protocolo utilizado na sessão

  • Início: Início da sessão

  • Término: Término da sessão

  • Duração: Tempo de duração da sessão

  • Risco: É a pontuação de risco dessa sessão dado a quantidade de anomalias comportamentais encontradas

Consultas excessivas de credencial

Menu Behavior ➔ Análise de comportamentos ➔ Consultas excessivas.

Apresenta um ranking de credenciais que mais sofreram consultas com pontuação de risco envolvido. O detalhamento irá apresentar o relatório "Acesso incomum", descrito anteriormente. As seguintes colunas são apresentadas:

  • Dispositivo: Dispositivo que hospeda a credencial

  • Username: Credencial que está ranqueada

  • Tipo Senha: Tipo da credencial

  • Informação adicional: Informação adicional da credencial, caso tenha

  • Privilegiado?: Indicativo se a credencial é privilegiada ou não

  • Consultas: Quantidade de consultas que foram executadas a essa credencial

  • Risco Total: Soma de pontuação de risco dos usos desta credencial

Consultas em horário incomum

Menu Behavior ➔ Análise de comportamentos ➔ Consultas em horário incomum.

Apresenta todos eventos em que um usuário fez uma consulta a uma determinada credencial em um horário incomum.

  • Cód.: Identificador do uso

  • Origem: Ip do usuário que fez o uso

  • Usuário: Nome do usuário que fez o uso

  • Dispositivo: Dispositivo destino da credencial alvo

  • Username: Credencial que teve uso incomum

  • Tipo Senha: Tipo da credencial

  • Informação adicional: Informação adicional da credencial, caso tenha

  • Privilegiado?: Indicativo se a credencial é privilegiada ou não

  • Data da Consulta: Data e hora em que a consulta ocorreu

  • Risco: Soma de pontuação de risco dos usos desta credencial

Consultas de credencial incomum

Menu Behavior ➔ Análise de comportamentos ➔ Consultas de credencial incomum.

Apresenta todos eventos em que um usuário fez uma consulta a uma determinada credencial do qual normalmente ele não faz uso.

  • Cód.: Identificador do uso

  • Origem: Ip do usuário que fez o uso

  • Usuário: Nome do usuário que fez o uso

  • Dispositivo: Dispositivo destino da credencial alvo

  • Username: Credencial que teve uso incomum

  • Tipo Senha: Tipo da credencial

  • Informação adicional: Informação adicional da credencial, caso tenha

  • Privilegiado?: Indicativo se a credencial é privilegiada ou não

  • Data da Consulta: Data e hora em que a consulta ocorreu

  • Risco: Soma de pontuação de risco dos usos desta credencial

Consultas de origem incomum

Menu Behavior ➔ Análise de comportamentos ➔ Consultas de origem incomum.

Apresenta todos eventos em que um usuário fez uma consulta a uma determinada credencial partindo de uma origem incomum.

  • Cód.: Identificador do uso

  • Origem: Ip do usuário que fez o uso

  • Usuário: Nome do usuário que fez o uso

  • Dispositivo: Dispositivo destino da credencial alvo

  • Username: Credencial que teve uso incomum

  • Tipo Senha: Tipo da credencial

  • Informação adicional: Informação adicional da credencial, caso tenha

  • Privilegiado?: Indicativo se a credencial é privilegiada ou não

  • Data da Consulta: Data e hora em que a consulta ocorreu

  • Risco: Soma de pontuação de risco dos usos desta credencial

Comando auditado

Menu Behavior ➔ Ocorrências ➔ Comando auditado.

Ranking de sessões proxy por comandos auditados que foram executados. O detalhamento apresenta quais foram essas sessões.

  • Comando: Nome do comando auditado que foi executado

  • Criticidade: Criticidade do comando

  • Sessões: Quantidade de sessões em que o comando foi executado

Sessões por comando e dispositivo

Menu Behavior ➔ Ocorrências ➔ Dispositivo.

Ranking de sessões proxy por comandos auditados que foram executados e em quais dispositivos foram executados. O detalhamento apresenta quais foram essas sessões.

  • Comando: Nome do comando auditado que foi executado

  • Dispositivo remoto: Dispositivo alvo do comando

  • Sessões: Quantidade de sessões em que o comando foi executado

Sessões por comando e credencial

Menu Behavior ➔ Ocorrências ➔ Dispositivo.

Ranking de sessões proxy por comandos auditados que foram executados e em quais dispositivos foram executados e qual foi a credencial utilizada. O detalhamento apresenta quais foram essas sessões.

  • Comando: Nome do comando auditado que foi executado

  • Ação durante a sessão: Ação que foi tomada conforme o cadastro do comando auditado

  • Dispositivo remoto: Dispositivo alvo do comando

  • Credencial: Credencial que foi utilizada

  • Sessões: Quantidade de sessões em que o comando foi executado

Sessões por comando e usuário local

Menu Behavior ➔ Ocorrências ➔ Usuário local.

Ranking de sessões proxy por comandos auditados, dispositivo alvo, credencial utilizada e com qual conta senhasegura foi utilizada. O detalhamento apresenta quais foram essas sessões.

  • Comando: Nome do comando auditado que foi executado

  • Ação durante a sessão: Ação que foi tomada conforme o cadastro do comando auditado

  • Dispositivo remoto: Dispositivo alvo do comando

  • Credencial: Credencial que foi utilizada

  • Usuário local: Conta do usuário senhasegura que fez o uso

  • Sessões: Quantidade de sessões em que o comando foi executado

Esta funcionalidade analisa alterações de senhas das credenciais realizadas pelo usuário. Os usuários administradores serão notificados sempre que outro usuário alterar manualmente a senha de uma credencial que o senhasegura tenha realizado o rotacionamento com sucesso na última tentativa. De acordo com o que foi definido em User Behavior no campo Unusual change password de quantas mudanças de senhas são necessárias para caracterizar um risco então uma notificação e um relatório com a ocorrência deste evento listada contendo as informações de quem e quando alterou a senha. Está ocorrência fica listada no menu Behavior ➔ Behavior Analysis ➔ User Posture

Exemplo de uma cenário:

O usuário acessou o módulo PAM Core ➔ Credentials ➔ All ➔ Edit escolher uma credencial que já possue trocas de senha realizadas com sucesso, troca o valor do campo “Password” e salvar. Este pode ser um comportamento de risco. E está definido pelo usuário administrador em Settings ➔ System Parameters ➔ System Parameters ➔ User Behavior importante! Este relatório deverá estar disponível para todos os usuários que possuam a permissão Behavior.list

Para a criação de um relatório no módulo Behavior ➔ Behavior Analysis ➔ Unusual password change