SIEM
Introdução
A solução senhasegura permite a coleta de informações avançadas e eventos do ambiente. Esses eventos e informações podem ser enviados a soluções de Security Information and Event Management (SIEM).
Objetivo
O objetivo desta seção é auxiliar os usuários com privilégios de administrador a configurar o monitoramento do ambiente senhasegura para detecção de incidentes e envio de notificações via e-mail, tela, SMS e protocolos de envio de mensagens.
Funcionamento
O sistema de monitoramento da solução senhasegura permite a coleta e transmissão, por diversos meios, como SMS, mensagens instantâneas, e-mail e abertura de chamados, de informações de aspectos que estão sendo monitorados no ambiente. O módulo de monitoramento senhasegura permite sua utilização para monitorar uma série de métricas da solução, desde informações de identificadores de tabelas até em relação aos robôs em execução.
As soluções de SIEM permitem que os administradores de Segurança da Informação da organização tenham visão e rastreamento das atividades no ambiente de T.I a partir da coleta de dados de log gerados pela solução senhasegura.
A partir desses dados de log, a solução SIEM identifica, categoriza e analisa incidentes e eventos, permitindo a geração de relatórios de incidentes de segurança, como possíveis atividades maliciosas, além do envio de alertas caso alguma potencial ameaça de segurança seja detectada, de acordo com o conjunto de regras configurado no ambiente.
Alguns dos alertas que podem ser enviados pelo senhasegura incluem:
- Autenticação de um usuário na solução
- Início de uma sessão remota em um dispositivo
- Falhas de funcionamento do servidor senhasegura
- Expiração de uma senha
O senhasegura é compatível com as ferramentas SIEM mais utilizadas no mercado, e oferece suporte para envio de mensagens nos formatos:
- CEF
- Syslog (RFC 5424)
- Sensage
Para mensagens em formato CEF
O CEF é um formato de mensagens criado para padronizar o envio de informações para SIEM. O cabeçalho das mensagens é preenchido da seguinte forma:
Version: CEF0
Device Vendor: MT4
Device Product: senhasegura
Device Version: Versão senhasegura
Signature ID: ID do tipo do evento
Name: Nome do tipo do evento
Severity: 10 - criticidade do tipo do evento
Adicionalmente, estão nos valores da mensagem os valores do evento e a chave msg com a mensagem do evento.
Para mensagens em formato (RFC 5424)
Neste modo as mensagens do SYSLOG são enviadas de acordo com a RFC 5424. Os campos são configurados com os seguintes valores:
Priority: de acordo com o tipo do evento
facility: 1 (user)
App: senhasegura
Procid: PID do processo atual
Message: mensagem do evento