Pular para o conteúdo principal
Version: 3.24

SIEM Mensagens configuradas

As seguintes mensagens são configuradas para envio através do SIEM:

Tipos de Mensagens(SUID)

SUIDDescrição
8Conectividade Perda/Recuperação
9Troca de senhas executada
15Backup realizado
17Senha alterada
153Sessão Iniciada/Finalizada
164Senha Visualizada
dstIP do dispositivo de destino do evento
dhostHostname do dispositivo afetado pelo evento
Backup
ChaveExemploDescrição
msgBackup enviado para servidor ’localhost:/srv/backup’ via localMensagem com informação sobre a ação
suidTipo de mensagem
snameScript Assíncrono: 8Identificador do script do backup
suserNão se aplica
spidIdentificador único da notificação
dhostlocalhostNome do servidor onde o backup é gerado
Perda de Conectividade
ChaveExemploDescrição
msgO equipamento localhost (127.0.0.1) perdeu a conectividade SSH
suidTipo de mensagem
snameScript Assíncrono: 9Nome do usuário que perdeu a conectividade
suserNão se aplica
spidIdentificador único da notificação
dst.0.1IP do dispositivo
dhostlocalhostNome do servidor onde o backup é gerado
dportPorta do dispositivo
Conectividade Restabelecida
ChaveExemploDescrição
msgO equipamento localhost (127.0.0.1) recuperou a conectividade SSH
suidTipo de mensagem
snameScript Assíncrono: 9Nome do usuário que teve a sessão restabelecida
suserNão se aplica
spidIdentificador único da notificação
dst.0.1IP do dispositivo
dhostlocalhostNome do servidor onde o backup é gerado
dportPorta do dispositivo
Senha Alterada
ChaveExemploDescrição
msgSenha localhost (127.0.0.1) - Usuario Dominio - root alterada pelo usuario jsilva
suidIdentificador único da notificação
snameJosé da SilvaNome do usuário que alterou a senha
suserNão se aplica
spidIdentificador único da notificação
duserrootUsername da senha alterada
duid
dst.0.1IP do dispositivo
dhostlocalhostNome do dispositivo da senha
Senha Visualizada
ChaveExemploDescrição
msgSenha localhost (127.0.0.1) - Usuario Dominio - root alterada pelo usuario jsilva
suidTipo de mensagem
snameJosé da SilvaUsuário que visualizou a senha
suserNão se aplica
spidIdentificador único da notificação
duserroot duid=35Username da senha visualizada
dst.0.1IP do dispositivo da senha
dhostlocalhostNome do dispositivo da senha
Sessão Finalizada
ChaveExemploDescrição
msgSessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - srv_admin pelo usuário José da Silva (jsilva)
suidIdentifica o tipo de mensagem
snameJosé da SilvaUsuário que finalizou a sessão
suserjsilvalogin do usuário que finalizou a sessão
spidIdentificador único da notificação
dst.0.1IP do dispositivo
dposrtPorta do dispositivo
dusersrv_adminLogin utilizado na sessão remota
Sessão Iniciada
ChaveExemploDescrição
msgSessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - root pelo usuário José da Silva (jsilva)
suidIdentifica o tipo de mensagem
snameJosé da SilvaUsuário que iniciou sessão
suserjsilvaLogin do usuário que iniciou sessão
spidIdentificador único da notificação
dst.0.1IP do dispositivo
dptPorta do dispositivo
duserrootLogin utilizado na sessão remota
Troca Executada
ChaveExemploDescrição
msgSessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - root pelo usuário José da Silva (jsilva)
suidTipo de mensagem
snameScript Assíncrono: 17Identificador do script de troca de senhas
susernão é utilizado nesse interface
spidIdentifica o tipo de mensagem
dst.0.1IP do dispositivo
duserrootusuário da senha trocada
Comando auditado executado
ChaveExemploDescrição
msgUm comando auditado foi detectado! Ação: ”[Ação tomada]
suidUsuário logado
snameJosé da SilvaUsuário que iniciou sessão
suserjsilvaLogin do usuário que iniciou sessão
spidNão se aplica
dstNão se aplica
dptNão se aplica
duserNão se aplica
Informação Visualizada
ChaveExemploDescrição
msgInformacao ’teste’ visualizada.
suidUsuário logado
snameJosé da SilvaUsuário que iniciou sessão
suserjsilvaLogin do usuário que iniciou sessão
spidTipo de mensagem
dstNão se aplica
dptNão se aplica
duserNão se aplica
Informação Alterada
ChaveExemploDescrição
msgInformacao ’teste’ alterada
suidUsuário logado
snameJosé da SilvaUsuário que iniciou sessão
suserjsilvaLogin do usuário que iniciou sessão
spidTipo de mensagem
dstNão se aplica
dptNão se aplica
duserNão se aplica
Solicitação de acesso à senha
ChaveExemploDescrição
msgO usuário ’José da Silva’ criou uma solicitação. Detalhes da solicitação: Ação de visualizar senha para a credencial cqss no dispositivo win2012 (192.168.10.156)
suidUsuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
spidPID do processo
dst.10.156Ip Destino
dptNão se aplica
dusercqssUsuário solicitado
cs1LabelGMUDLabel do campo
cs1Id do arquivo
cs2LabelInício ValidadeLabel do campo
cs2-01-19 10:41:00Data de início da solicitação
cs3LabelFim ValidadeLabel do campo
cs3-01-19 11:41:00Data de validade da solicitação
cs4LabelAprovadorLabel do campo
cs4AdministradorUsuário Aprovador
cs5LabelSolicitanteLabel do campo
cs5José da SilvaUsuário Solicitante
Cs6AçãoLabel do campo
Cs7Visualizar senhaDescrição da ação
Solicitação aprovada
ChaveExemploDescrição
msgSolicitacao aprovada por Administrador em 19/01/2017 10:44:30. Codigo: S000296 Solicitante: José da Silva Solicitada em: 19/01/2017 10:44:13 Detalhes da solicitacao: Acao de visualizar senha para a credencial cqss no dispositivo win2012 (192.168.10.156)
suidUsuário logado
snameMaria da SilvaNome do usuário logado
susermsilvaLogin do usuário logado
spidPID do processo
dst.10.156IP Destino
dptNão utilizado
dusercqssUsuário da credencial solicitada
cs1LabelGMUDLabel do campo
cs1Id do arquivo
cs2LabelInício ValidadeLabel do campo
cs2-01-19 10:41:00Data de início da solicitação
cs3LabelFim ValidadeLabel do campo
cs3-01-19 11:41:00Data de validade da solicitação
cs4LabelAprovadorLabel do campo
cs4AdministradorUsuário Aprovador
cs5LabelSolicitanteLabel do campo
cs5José da SilvaUsuário Solicitante
Cs6AçãoLabel do campo
Cs7Visualizar senhaDescrição da ação
Solicitação reprovada
ChaveExemploDescrição
msgInformacao ’teste’ visualizada.
suidUsuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
spidPID do processo
dst.10.156IP Destino
dptNão utilizado
dusercqssLogin do usuário solicitado
cs1LabelGMUDLabel do campo
cs1Id do arquivo
cs2LabelInício ValidadeLabel do campo
cs2-01-19 10:41:00Data de início da solicitação
cs3LabelFim ValidadeLabel do campo
cs3-01-19 11:41:00Data de validade da solicitação
cs4LabelAprovadorLabel do campo
cs4AdministradorUsuário Aprovador
cs5LabelSolicitanteLabel do campo
cs5Maria da SilvaUsuário Solicitante
Cs6AçãoLabel do campo
Cs7Visualizar senhaDescrição da ação
Comando detectado - Bloquear e interromper sessão
ChaveExemploDescrição
msgUm comando auditado foi detectado! Acao: Comando bloqueado e sessao interrompida
suidUsuário logado
snameRomarioUsuário que iniciou sessão
suserromarioLogin do usuário que iniciou sessão
spidTipo de mensagem
dst.0.1IP destino
dptPorta utilizada
dusercofreUsuário utilizado para iniciar a sessão
Comando Detectado - Bloquear
ChaveExemploDescrição
msgUm comando auditado foi detectado! Acao: Comando notificado e permitido
suidUsuário logado
snameRomarioUsuário que iniciou sessão
suserromarioLogin do usuário que iniciou sessão
spidTipo de mensagem
dst.0.1IP destino
dptPorta utilizada
dusercofreUsuário utilizado para iniciar a sessão
Erro na troca de senha
ChaveExemploDescrição
msgErro ao trocar senha ’Windows SQL Teste Remote App (192.168.30.55) - Usuario Dominio – ’jsilvaadm’: O dispositivo ’Windows SQL Teste Remote App (192.168.30.55)’ nao possui conectividade Windows RPC
suidUsuário logado
snameJosé da SilvaNome do usuário que iniciou sessão
suserJsilvaLogin do usuário que iniciou sessão
spidTipo de mensagem
dst.30.5
5IP destino
dptNão se aplica
duserjsilvaadmUsuário utilizado para iniciar a sessão
Arquivo do armazém alterado
ChaveExemploDescrição
msgUm arquivo de sessão foi modificado!
suidUsuário logado
snameScript Assíncrono: 12Nome do usuário logado
suserasc_12Login do usuário logado
spidPID do processo
dstNão se aplica
dptNão se aplica
duserNão se aplica
cs1LabelIdLabel do campo
cs1Id do arquivo
cs2LabelTamanho InicialLabel do campo
cs2Tamanho inicial do arquivo em bytes
cs3LabelTamanho FinalLabel do campo
cs3Tamanho final do arquivo em bytes
cs4LabelChecksum inicialLabel do campo
cs4f5751777b74f8e2f2…Checksum anterior do arquivo
cs5LabelChecksum finalLabel do campo
cs5284f1555574548901…Checksum atual do arquivo
Chave Mestra - Usuário visualizou a sua parte da chave
ChaveExemploDescrição
msgUser has seen his part of the key request.
suidUsuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
MethodPOSTValor fixo
actUser has seen his part of the key sourceAção performada
ServiceNameBackup
Chave Mestra - Usuário realizou o download do PDF com a sua parte da chave
ChaveExemploDescrição
msgUser downloaded the PDF with his part of the key request.
suidUsuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
MethodPOSTValor fixo
actUser downloaded the PDF with his part of the key sourceação performada
ServiceNameBackup
Chave Mestra - Processo de cerimônia iniciado
ChaveExemploDescrição
msgCeremony process started.
suidUsuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
sprivAdministrator
MethodPOSTValor fixo
actCeremony process startedAção performada
ServiceNameBackup
Chave Mestra - Processo de cerimônia finalizado
ChaveExemploDescrição
msgCeremony process completed.
suidUsuário logado
snameJosé da SilvaNome do usuário logado
suserjsilvaLogin do usuário logado
sprivAdministrator
MethodGETValor fixo
actCeremony process completedAção performada
ServiceNameBackup
Chave Mestra - Guardião inativo
ChaveExemploDescrição
msgMaster key guardian inactice.
suidID do usuário logado
snameJohn DoeNome do usuário
suserjdoeUsername do usuário
sprivUserCamada de aplicação
dvc.225.14Host IPv4 do dispositivo
spidPID interno
actIncidentAção performada
dprocmaster_key_guardianNome do processo de destino
Chave Mestra - Tentativas de recuperação com falha
ChaveExemploDescrição
msgFailed recovery attempt.As frações da chave são inválidas
requestMethodPOSTValor fixo
actFailed recovery attemptTipo de falha da tentativa de recuperação da Chave Mestra
sourceServiceNameMaster KeyMódulo de operação
originIP.148.162IP do usuário solicitante
countryBrazilGeo localização da solicitação país
stateSao PauloGeo localização da solicitação estado
cityTaboao da SerraGeo localização da solicitação cidade
latitude
Geo localização da solicitação GPS latitude
longitudeGeo localização da solicitação GPS longitude
partsNeededFrações necessárias para realizar a recuperação
partsSentNúmero de tentativas de frações enviadas
suidID do usuário logado
snameNome do usuário
suserUsername do usuário
sprivUserCamada de aplicação
dvc.2.17Host IPv4 do dispositivo
spidPID interno
src.0.1Endereço do IP fonte
actIncidentAção performada
dprocmaster_key_guardianNome do processo de destino
Chave Mestra - Tentativas de recuperação com sucesso
ChaveExemploDescrição
msgSuccessful recovery attempt.As frações da chave são válidas
requestMethodPOSTValor fixo
actSuccessful recovery attemptTipo de sucesso da tentativa de recuperação da Chave Mestra
sourceServiceNameMaster KeyMódulo de operação
originIP.10.20IP do usuário solicitante
countryBrazilGeo localização da solicitação país
stateSao PauloGeo localização da solicitação estado
cityTaboao da SerraGeo localização da solicitação cidade
latitudeGeo localização da solicitação GPS latitude
longitudeGeo localização da solicitação GPS longitude
partsNeededFrações necessárias para realizar a recuperação
partsSentNúmero de tentativas de frações enviadas
suidID do usuário logado
snameNome do usuário
suserUsername do usuário
sprivUserCamada de aplicação
dvc.10.13Host IPv4 do dispositivo
spidPID interno
src.10.20Endereço do IP fonte
actIncidentAção performada
dprocmaster_key_guardianNome do processo de destino
Agendamento de envio de relatórios por email - Criação
ChaveExemploDescrição
dvc.20.30IP do servidor senhasegura
spidId do processo no sistema operacional senhasegura
src.20.10IP do usuário que realizou a operação
suidID do usuário que realizou a operação
snameJohn DoeNome do usuário que realizou a operação
suserjdoeUsername do usuário que realizou a operação
sprivAdministratorPrivilégio senhasegura utilizado para realizar a operação
msgReport scheduling - CreationOperação que foi realizada
requestMethodPOSTMétodo HTTP utilizado pelo cliente
actReport scheduling - CreationOperação que foi realizada
sourceServiceNameReport schedulingCategoria da operação que foi realizada
cs1LabelUserLabel do nome do usuário solicitante
cs1John DoeNome do usuário solicitante
cs2LabelUser IDLabel do ID de usuário
cs2ID do usuário
cs3LabelScheduleLabel do nome do agendamento
cs3My scheduleNome do agendamento
cs4LabelSchedule IDLabel do ID de agendamento
cs4ID do agendamento
cs5LabelAdded reportsLabel dos relatórios adicionados
cs5Settings -> Authentication -> Multi-factor authentication -> ProvidersRelatórios adicionados
cs7LabelAdded usersLabel dos usuários adicionados
cs7jdoe - John DoeUsuários adicionados para receber a notificação
Agendamento de envio de relatórios por email - Edição
ChaveExemploDescrição
dvc.20.30IP do servidor senhasegura
spidId do processo no sistema operacional senhasegura
src.20.10IP do usuário que realizou a operação
suidID do usuário que realizou a operação
snameJohn DoeNome do usuário que realizou a operação
suserjdoeUsername do usuário que realizou a operação
sprivAdministratorPrivilégio senhasegura utilizado para realizar a operação
msgReport scheduling - UpdateOperação que foi realizada
requestMethodPOSTMétodo HTTP utilizado pelo cliente
actReport scheduling - UpdateOperação que foi realizada
sourceServiceNameReport schedulingCategoria da operação que foi realizada
cs1LabelUserLabel do nome do usuário solicitante
cs1John DoeNome do usuário solicitante
cs2LabelUser IDLabel do ID de usuário
cs2ID do usuário
cs3LabelScheduleLabel do nome do agendamento
cs3My scheduleNome do agendamento
cs4LabelSchedule IDLabel do ID de agendamento
cs4ID do agendamento
cs5LabelAdded reportsLabel dos relatórios adicionados
cs5NoneRelatórios adicionados
cs6LabelRemoved reportsLabel dos relatórios removidos
cs6NoneRelatórios removidos
cs7LabelAdded usersLabel dos usuários adicionados
cs7NoneUsuários adicionados
cs8LabelRemoved usersLabel dos usuários removidos
cs8NoneUsuários removidos
Agendamento de envio de relatórios por email - Inativação
ChaveExemploDescrição
dvc.20.30IP do servidor senhasegura
spidId do processo no sistema operacional senhasegura
src.20.10IP do usuário que realizou a operação
suidID do usuário que realizou a operação
snameJohn DoeNome do usuário que realizou a operação
suserjdoeUsername do usuário que realizou a operação
sprivAdministratorPrivilégio senhasegura utilizado para realizar a operação
msgReport scheduling - DeletionOperação que foi realizada
requestMethodPOSTMétodo HTTP utilizado pelo cliente
actReport scheduling - DeletionOperação que foi realizada
sourceServiceNameReport schedulingCategoria da operação que foi realizada
cs1LabelUserLabel do nome do usuário solicitante
cs1John DoeNome do usuário solicitante
cs2LabelUser IDLabel do ID de usuário
cs2ID do usuário
cs3LabelScheduleLabel do nome do agendamento
cs3My scheduleNome do agendamento
cs4LabelSchedule IDLabel do ID de agendamento
cs4ID do agendamento
info

Veja o capítulo em Apêndices para consultar a Tabela com os valores possíveis para Serviços de sistema e Listeners