SIEM Mensagens configuradas
As seguintes mensagens são configuradas para envio através do SIEM:
Tipos de mensagens(SUID)
| SUID | Descrição |
|---|---|
| 8 | Conectividade Perda/Recuperação |
| 9 | Troca de senhas executada |
| 15 | Backup realizado |
| 17 | Senha alterada |
| 153 | Sessão Iniciada/Finalizada |
| 164 | Senha Visualizada |
| dst | IP do dispositivo de destino do evento |
| dhost | Hostname do dispositivo afetado pelo evento |
Backup
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Backup enviado para servidor ’localhost:/srv/backup’ via local | Mensagem com informação sobre a ação |
| suid | Tipo de mensagem | |
| sname | Script Assíncrono: 8 | Identificador do script do backup |
| suser | Não se aplica | |
| spid | Identificador único da notificação | |
| dhost | localhost | Nome do servidor onde o backup é gerado |
Perda de conectividade
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | O equipamento localhost (127.0.0.1) perdeu a conectividade SSH | |
| suid | Tipo de mensagem | |
| sname | Script Assíncrono: 9 | Nome do usuário que perdeu a conectividade |
| suser | Não se aplica | |
| spid | Identificador único da notificação | |
| dst | .0.1 | IP do dispositivo |
| dhost | localhost | Nome do servidor onde o backup é gerado |
| dport | Porta do dispositivo |
Conectividade restabelecida
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | O equipamento localhost (127.0.0.1) recuperou a conectividade SSH | |
| suid | Tipo de mensagem | |
| sname | Script Assíncrono: 9 | Nome do usuário que teve a sessão restabelecida |
| suser | Não se aplica | |
| spid | Identificador único da notificação | |
| dst | .0.1 | IP do dispositivo |
| dhost | localhost | Nome do servidor onde o backup é gerado |
| dport | Porta do dispositivo |
Senha alterada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Senha localhost (127.0.0.1) - Usuário Domínio - root alterada pelo usuário jsilva | |
| suid | Identificador único da notificação | |
| sname | José da Silva | Nome do usuário que alterou a senha |
| suser | Não se aplica | |
| spid | Identificador único da notificação | |
| duser | root | Username da senha alterada |
| duid | ||
| dst | .0.1 | IP do dispositivo |
| dhost | localhost | Nome do dispositivo da senha |
Senha visualizada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Senha localhost (127.0.0.1) - Usuário Domínio - root alterada pelo usuário jsilva | |
| suid | Tipo de mensagem | |
| sname | José da Silva | Usuário que visualizou a senha |
| suser | Não se aplica | |
| spid | Identificador único da notificação | |
| duser | root duid=35 | Username da senha visualizada |
| dst | .0.1 | IP do dispositivo da senha |
| dhost | localhost | Nome do dispositivo da senha |
Sessão finalizada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Sessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - srv_admin pelo usuário José da Silva (jsilva) | |
| suid | Identifica o tipo de mensagem | |
| sname | José da Silva | Usuário que finalizou a sessão |
| suser | jsilva | login do usuário que finalizou a sessão |
| spid | Identificador único da notificação | |
| dst | .0.1 | IP do dispositivo |
| dposrt | Porta do dispositivo | |
| duser | srv_admin | Login utilizado na sessão remota |
Sessão iniciada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Sessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - root pelo usuário José da Silva (jsilva) | |
| suid | Identifica o tipo de mensagem | |
| sname | José da Silva | Usuário que iniciou sessão |
| suser | jsilva | Login do usuário que iniciou sessão |
| spid | Identificador único da notificação | |
| dst | .0.1 | IP do dispositivo |
| dpt | Porta do dispositivo | |
| duser | root | Login utilizado na sessão remota |
Troca executada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Sessão finalizada para localhost (127.0.0.1) - Usuário Domínio Privilegiado - root pelo usuário José da Silva (jsilva) | |
| suid | Tipo de mensagem | |
| sname | Script Assíncrono: 17 | Identificador do script de troca de senhas |
| suser | não é utilizado nesta interface | |
| spid | Identifica o tipo de mensagem | |
| dst | .0.1 | IP do dispositivo |
| duser | root | usuário da senha trocada |
Comandos auditados e executados
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um comando auditado foi detectado! Ação: ”[Ação tomada]” | |
| suid | Usuário logado | |
| sname | José da Silva | Usuário que iniciou sessão |
| suser | jsilva | Login do usuário que iniciou sessão |
| spid | Não se aplica | |
| dst | Não se aplica | |
| dpt | Não se aplica | |
| duser | Não se aplica |
Informação visualizada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Informação ’teste’ visualizada. | |
| suid | Usuário logado | |
| sname | José da Silva | Usuário que iniciou sessão |
| suser | jsilva | Login do usuário que iniciou sessão |
| spid | Tipo de mensagem | |
| dst | Não se aplica | |
| dpt | Não se aplica | |
| duser | Não se aplica |
Informação alterada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Informação ’teste’ alterada | |
| suid | Usuário logado | |
| sname | José da Silva | Usuário que iniciou sessão |
| suser | jsilva | Login do usuário que iniciou sessão |
| spid | Tipo de mensagem | |
| dst | Não se aplica | |
| dpt | Não se aplica | |
| duser | Não se aplica |
Solicitação de acesso à senha
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | O usuário ’José da Silva’ criou uma solicitação. Detalhes da solicitação: Ação de visualizar senha para a credencial cqss no dispositivo win2012 (192.168.10.156) | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| spid | PID do processo | |
| dst | .10.156 | Ip Destino |
| dpt | Não se aplica | |
| duser | cqss | Usuário solicitado |
| cs1Label | GMUD | Label do campo |
| cs1 | Id do arquivo | |
| cs2Label | Início Validade | Label do campo |
| cs2 | -01-19 10:41:00 | Data de início da solicitação |
| cs3Label | Fim Validade | Label do campo |
| cs3 | -01-19 11:41:00 | Data de validade da solicitação |
| cs4Label | Aprovador | Label do campo |
| cs4 | Administrador | Usuário Aprovador |
| cs5Label | Solicitante | Label do campo |
| cs5 | José da Silva | Usuário Solicitante |
| Cs6 | Ação | Label do campo |
| Cs7 | Visualizar senha | Descrição da ação |
Solicitação aprovada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Solicitação aprovada por Administrador em 19/01/2017 10:44:30. Código: S000296 Solicitante: José da Silva Solicitada em: 19/01/2017 10:44:13 Detalhes da solicitação: Ação de visualizar senha para a credencial cqss no dispositivo win2012 (192.168.10.156) | |
| suid | Usuário logado | |
| sname | Maria da Silva | Nome do usuário logado |
| suser | msilva | Login do usuário logado |
| spid | PID do processo | |
| dst | .10.156 | IP Destino |
| dpt | Não utilizado | |
| duser | cqss | Usuário da credencial solicitada |
| cs1Label | GMUD | Label do campo |
| cs1 | Id do arquivo | |
| cs2Label | Início Validade | Label do campo |
| cs2 | -01-19 10:41:00 | Data de início da solicitação |
| cs3Label | Fim Validade | Label do campo |
| cs3 | -01-19 11:41:00 | Data de validade da solicitação |
| cs4Label | Aprovador | Label do campo |
| cs4 | Administrador | Usuário Aprovador |
| cs5Label | Solicitante | Label do campo |
| cs5 | José da Silva | Usuário Solicitante |
| Cs6 | Ação | Label do campo |
| Cs7 | Visualizar senha | Descrição da ação |
Solicitação reprovada
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Informação ’teste’ visualizada. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| spid | PID do processo | |
| dst | .10.156 | IP Destino |
| dpt | Não utilizado | |
| duser | cqss | Login do usuário solicitado |
| cs1Label | GMUD | Label do campo |
| cs1 | Id do arquivo | |
| cs2Label | Início Validade | Label do campo |
| cs2 | -01-19 10:41:00 | Data de início da solicitação |
| cs3Label | Fim Validade | Label do campo |
| cs3 | -01-19 11:41:00 | Data de validade da solicitação |
| cs4Label | Aprovador | Label do campo |
| cs4 | Administrador | Usuário Aprovador |
| cs5Label | Solicitante | Label do campo |
| cs5 | Maria da Silva | Usuário Solicitante |
| Cs6 | Ação | Label do campo |
| Cs7 | Visualizar senha | Descrição da ação |
Comando detectado, bloquear e interromper sessão
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um comando auditado foi detectado! Ação: Comando bloqueado e sessão interrompida | |
| suid | Usuário logado | |
| sname | Romario | Usuário que iniciou sessão |
| suser | romario | Login do usuário que iniciou sessão |
| spid | Tipo de mensagem | |
| dst | .0.1 | IP destino |
| dpt | Porta utilizada | |
| duser | cofre | Usuário utilizado para iniciar a sessão |
Comando detectado e bloquear
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um comando auditado foi detectado! Ação: Comando notificado e permitido | |
| suid | Usuário logado | |
| sname | Romario | Usuário que iniciou sessão |
| suser | romario | Login do usuário que iniciou sessão |
| spid | Tipo de mensagem | |
| dst | .0.1 | IP destino |
| dpt | Porta utilizada | |
| duser | cofre | Usuário utilizado para iniciar a sessão |
Erro na troca de senha
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Erro ao trocar senha ’Windows SQL Teste Remote App (192.168.30.55) - Usuario Domínio – ’jsilvaadm’: O dispositivo ’Windows SQL Teste Remote App (192.168.30.55)’ não possui conectividade Windows RPC | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário que iniciou sessão |
| suser | Jsilva | Login do usuário que iniciou sessão |
| spid | Tipo de mensagem | |
| dst | .30.5 | |
| 5 | IP destino | |
| dpt | Não se aplica | |
| duser | jsilvaadm | Usuário utilizado para iniciar a sessão |
Arquivo do armazém alterado
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Um arquivo de sessão foi modificado! | |
| suid | Usuário logado | |
| sname | Script Assíncrono: 12 | Nome do usuário logado |
| suser | asc_12 | Login do usuário logado |
| spid | PID do processo | |
| dst | Não se aplica | |
| dpt | Não se aplica | |
| duser | Não se aplica | |
| cs1Label | Id | Label do campo |
| cs1 | Id do arquivo | |
| cs2Label | Tamanho Inicial | Label do campo |
| cs2 | Tamanho inicial do arquivo em bytes | |
| cs3Label | Tamanho Final | Label do campo |
| cs3 | Tamanho final do arquivo em bytes | |
| cs4Label | Checksum inicial | Label do campo |
| cs4 | f5751777b74f8e2f2… | Checksum anterior do arquivo |
| cs5Label | Checksum final | Label do campo |
| cs5 | 284f1555574548901… | Checksum atual do arquivo |
Chave Mestra - Usuários que visualizaram a sua parte da chave
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | User has seen his part of the key request. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| Method | POST | Valor fixo |
| act | User has seen his part of the key source | Ação performada |
| ServiceName | Backup |
Chave Mestra - Usuário que realizou o download do PDF com a sua parte da chave
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | User downloaded the PDF with his part of the key request. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| Method | POST | Valor fixo |
| act | User downloaded the PDF with his part of the key source | ação performada |
| ServiceName | Backup |
Chave Mestra - Processo de cerimônia iniciado
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Ceremony process started. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| spriv | Administrator | |
| Method | POST | Valor fixo |
| act | Ceremony process started | Ação performada |
| ServiceName | Backup |
Chave Mestra - Processo de cerimônia finalizado
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Ceremony process completed. | |
| suid | Usuário logado | |
| sname | José da Silva | Nome do usuário logado |
| suser | jsilva | Login do usuário logado |
| spriv | Administrator | |
| Method | GET | Valor fixo |
| act | Ceremony process completed | Ação performada |
| ServiceName | Backup |
Chave Mestra - Guardião inativo
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Master key guardian inactice. | |
| suid | ID do usuário logado | |
| sname | John Doe | Nome do usuário |
| suser | jdoe | Username do usuário |
| spriv | User | Camada de aplicação |
| dvc | .225.14 | Host IPv4 do dispositivo |
| spid | PID interno | |
| act | Incident | Ação performada |
| dproc | master_key_guardian | Nome do processo de destino |
Chave Mestra - Tentativas de recuperação com falha
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Failed recovery attempt. | As frações da chave são inválidas |
| requestMethod | POST | Valor fixo |
| act | Failed recovery attempt | Tipo de falha da tentativa de recuperação da Chave Mestra |
| sourceServiceName | Master Key | Módulo de operação |
| originIP | .148.162 | IP do usuário solicitante |
| country | Brazil | Geo localização da solicitação país |
| state | Sao Paulo | Geo localização da solicitação estado |
| city | Taboao da Serra | Geo localização da solicitação cidade |
| latitude | ||
| Geo localização da solicitação GPS latitude | ||
| longitude | Geo localização da solicitação GPS longitude | |
| partsNeeded | Frações necessárias para realizar a recuperação | |
| partsSent | Número de tentativas de frações enviadas | |
| suid | ID do usuário logado | |
| sname | Nome do usuário | |
| suser | Username do usuário | |
| spriv | User | Camada de aplicação |
| dvc | .2.17 | Host IPv4 do dispositivo |
| spid | PID interno | |
| src | .0.1 | Endereço do IP fonte |
| act | Incident | Ação performada |
| dproc | master_key_guardian | Nome do processo de destino |
Chave Mestra - Tentativas de recuperação com sucesso
| Chave | Exemplo | Descrição |
|---|---|---|
| msg | Successful recovery attempt. |