Obtenha a conformidade com a Resolução BACEN CMN 4.893/2021 com a ManageEngine

1. Varreduras trimestrais automatizadas de vulnerabilidades em todos os sistemas
2. Gerenciamento prioritário de patches com cronogramas baseados na gravidade
3. Gestão de mudanças com revisão de segurança para produção.
4. IDS/IPS contínuo para bloqueio de ameaças, inventário de ativos de TI atualizado

1. A auditoria de mudanças do Active Directory em tempo real detecta modificações não autorizadas e tentativas de escalonamento de privilégios instantaneamente.
2. Os alertas de associação a grupos críticos impedem a escalada de privilégios não autorizados para grupos sensíveis.
3. Mais de 1.000 perfis de alertas predefinidos abrangem ataques de força bruta, escalonamento de privilégios e acesso suspeito, sem necessidade de configuração.
4. O mecanismo de correlação em tempo real analisa eventos, identificando cadeias de ataque antes da exploração.
5. As regras de correlação prontas para uso detectam automaticamente tentativas de força bruta, escalonamento e intrusão.
6. Personalize perfis de alerta com classificação de gravidade para cenários de ameaça específicos do BACEN.
7. Habilita a coleta e análise centralizada de logs de eventos de todos os endpoints.
8. A correlação avançada detecta ataques de força bruta, movimentação lateral e escalonamento de privilégios.
9. O monitoramento de eventos do sistema detecta desligamentos inesperados, reinicializações e falhas de segurança do kernel.
10. Selecione entre mais de 200 critérios de alertas predefinidos para detecção automática de eventos de segurança.
11. O monitoramento em tempo real da AWS/Azure/GCP/Salesforce detecta acessos não autorizados e anomalias.
12. Acesse perfis de alertas na cloud predefinidos e personalizáveis para detecção de vulnerabilidades.
13. A detecção de anomalias identifica logins incomuns na cloud, acessos a dados e modificações de recursos.

1. O ataque DoS entrou em modo defensivo
2. O ataque DoS diminuiu
3. Ataques de negação de serviço (DoS)
4. Ataques de rebaixamento
5. Ataque de repetição
6. Ataques a servidores de terminal
7. O servidor de terminal excedeu o número máximo de tentativas de logon
8. Conflitos de propriedade intelectual
9. Detecção de ameaças pelo ESET Endpoint Antivirus
10. Detecção de ameaças pela Kaspersky
11. Detecção de ameaças pelo Microsoft Antimalware
12. Detecção de ameaças pelo antivírus Sophos
13. Detecção de ameaças pelo Norton AntiVirus
14. Arquivos infectados detectados pelo Symantec Endpoint Protection
15. Detecção de ameaças pelo McAfee
16. Detecção de malware do Defender
17. Detecção de proteção em tempo real do Defender
18. Antimalware atualizado
19. Antimalware e Spyware Removidos
20. Verificação de Anti-Malware
21. Regra adicionada ao Firewall do Windows
22. Regra do Firewall do Windows modificada
23. Regra do Firewall do Windows excluída
24. Configurações do Firewall do Windows restauradas
25. Alteradas as configurações do Firewall do Windows
26. Alterações na Política de Grupo do Firewall do Windows
27. Ataque de falsificação de firewall
28. Ataque de meio-varredura do Protocolo de Internet do Firewall
29. Ataque de inundação de firewall
30. Ataque de Ping da Morte no Firewall
31. Ataque SYN de firewall
32. Principais níveis de vulnerabilidade (Nessus)
33. Pontuação CVS máxima por contagem (Nessus)
34. Principais vulnerabilidades (Nessus)
35. Principais dispositivos vulneráveis (Nessus)
36. Serviço mais vulnerável (Nessus)
37. Sistema operacional mais vulnerável (Nessus)
38. Protocolo mais vulnerável (Nessus)
39. Principais portas vulneráveis (Nessus)
40. Principais vulnerabilidades exploráveis

1. As configurações do Firewall do Windows foram alteradas
2. Assinatura IPS do firewall detectada
3. Desativação do Firewall do Microsoft Defender através do Registro
4. Firewall desativado via Netsh.EXE
5. Nova regra de firewall adicionada via Netsh.EXE
6. Desativação do Firewall do Windows pelo Registro
7. Serviço do Windows Defender desativado - Registro
8. Desativação do escopo de verificação de tempo de execução de macros
9. PowerShell para desativar o monitoramento de segurança
10. Desativação de funcionalidades do Windows Defender através de chaves de registro
11. Exclusões do Windows Defender adicionadas - Registro
12. Exclusões do Windows Defender adicionadas - PowerShell
13. Adicionar chaves SafeBoot através do utilitário de registro
14. Registro ETW desativado em processos .NET - Registro Sysmon
15. Registro ETW desativado para rpcrt4.dll
16. Registro ETW desativado para SCM
17. Atividade de evasão de rastreamento ETW
18. Desativação do rastreamento ETW - PowerShell
19. O registro de logs do PowerShell foi desativado por meio da manipulação da chave de registro
20. PUA - Execução de Ferramenta Sysinternals - Registro
21. Possível adulteração da localização do arquivo de log de eventos
22. Solicitações de consulta do Log de Eventos por utilitários integrados
23. Arquivo EVTX do Log de Eventos Excluído
24. Registro de eventos de segurança limpo
25. Limpar histórico do PowerShell - PowerShell
26. Registros de histórico do console do PowerShell excluídos
27. Logs de acesso do servidor web IIS excluídos
28. Logs do servidor web Tomcat excluídos
29. Modificação suspeita de tarefas agendadas
30. Tarefas agendadas suspeitas criadas fora do horário de expediente no Windows
31. Criação suspeita de tarefas agendadas envolvendo pasta temporária
32. Excluir tarefa agendada importante
33. Excluir todas as tarefas agendadas
34. Novo certificado raiz, CA ou AuthRoot para armazenar
35. Novo certificado raiz instalado via CertMgr.EXE
36. Detecção de ransomware
37. Backup do Windows excluído via Wbadmin.EXE
38. Todos os backups foram excluídos via Wbadmin.EXE
39. Backup periódico para hives do registro do sistema ativado

1. Registro centralizado de acesso ao banco de dados/arquivos/administração para proteger o repositório contra adulteração
2. UAM para registrar ações do usuário com carimbos de data/hora/ID
3. RBAC com matrizes de permissão e revisões
4. Classificação de dados para criptografia/log
5. Revisões trimestrais de acesso para revogar direitos obsoletos

1. A auditoria em tempo real do servidor de arquivos rastreia o acesso, incluindo modificações com registros de data, hora e usuário
2. A classificação de dados descobre e etiqueta PII, PCI e ePHI para proteção direcionada
3. O monitoramento de integridade de arquivos detecta modificações não autorizadas em arquivos críticos do sistema
4. A análise de permissões identifica usuários com privilégios excessivos e vulnerabilidades no controle de acesso
5. A resposta automatizada bloqueia transferências, desliga servidores e desativa contas em casos de ameaças
6. O USB DLP bloqueia/monitora transferências de dados não autorizadas em mídias removíveis
7. O DLP de e-mail inspeciona anexos e bloqueia a transmissão de arquivos confidenciais
8. A tecnologia DLP da impressora controla a impressão de dados confidenciais com registro de atividades
9. A detecção de ransomware identifica padrões de arquivos anormais antes que a criptografia se espalhe
10. A auditoria de DML/DDL do banco de dados captura todas as modificações de dados e alterações de esquema
11. O monitoramento em nível de coluna rastreia modificações sensíveis no campo com valores antigos/novos
12. A auditoria de acesso do usuário detecta acessos não autorizados ao banco de dados e tentativas de exfiltração de dados
13. Fornece alertas de monitoramento de alterações de permissões em modificações de privilégios e escalonamentos
14. Visualize alertas em tempo real sobre alterações críticas, incluindo exclusão em massa e adulteração
15. Acesse relatórios de auditoria predefinidos sobre operações DML/DDL, que podem ser exportados para fins de conformidade
16. O monitoramento de atributos do usuário rastreia todas as modificações com valores de antes e depois
17. As alterações na participação em grupos são registradas com data e hora e identificação do usuário
18. O sistema de auditoria de alterações de senha registra as modificações iniciadas pelo usuário e pelo administrador
19. Registros de auditoria detalhados mostram o que mudou, quem, quando e porquê, com comparações
20. cesse mais de 200 relatórios específicos para cada evento em todas as categorias de modificação do Active Directory
21. Consolide o histórico de auditoria em várias florestas e domínios do Active Directory

1. Arquivo (ou) Pasta Criada
2. Arquivo (ou) Pasta Excluído
3. Arquivo (ou) Pasta Modificado
4. Arquivo (ou) Pasta Acessada
5. Alterações nas permissões da pasta
6. Falha na tentativa de criar o arquivo
7. Tentativa de excluir arquivo falhou
8. Falha na tentativa de modificar o arquivo
9. Tentativa de acesso ao arquivo falhou
10. Alterações nos arquivos do sistema
11. Principais alterações de tipo de arquivo
12. Principais operações - relatório por usuário
13. Principais operações - relatório por host
14. Principais operações - relatório por arquivo
15. Visão geral do monitoramento de arquivos
16. Tendência de monitoramento de arquivos
17. Todas as alterações de arquivos ou pastas (armazenamento removível/USB)
18. Leitura de arquivo
19. Falha na tentativa de leitura do arquivo
20. Arquivo criado
21. Arquivo modificado
22. Falha na tentativa de modificar o arquivo
23. Arquivo excluído
24. Tentativa de excluir arquivo falhou
25. Arquivo excluído e arquivado
26. Destruição de arquivos bloqueada
27. Criação de fluxo de arquivos
28. Alteração de horário do arquivo
29. Acesso Bruto de Leitura
30. Conteúdo da área de transferência alterado
31. Arquivo executável bloqueado
32. Acesso ao registro
33. Acesso ao registro falhou
34. Registro criado
35. Criações de registro com falha
36. Valor do registro modificado
37. Falhas nas modificações do registro
38. Registro excluído
39. Exclusões de registro com falha
40. Alterações nas permissões do registro
41. Usuários mais ativos no registro
42. Compartilhar na rede Ler
43. Compartilhamento de rede com falha (Leitura)
44. Permissão de compartilhamento de rede modificada
45. Compartilhamento de rede adicionado
46. Compartilhamento de rede modificado
47. Compartilhamento de rede excluído
48. Visão geral do compartilhamento de rede
49. Permissão de objeto de compartilhamento de rede adicionada
50. Permissão de compartilhamento de rede excluída
51. Compartilhamentos de rede mais bem-sucedidos por usuário
52. Compartilhamentos de rede com falhas mais frequentes por usuário
53. Acesso compartilhado à rede principal por host remoto
54. Principais criações/modificações/exclusões de compartilhamentos de rede por host remoto
55. Dispositivo externo reconhecido
56. Dispositivo desativado
57. Dispositivo ativado
58. Instalação proibida pela GPO
59. Dispositivo previamente bloqueado instalado
60. Conector de dispositivo removível
61. Desconectar dispositivo removível
62. Usuários de sucesso com maior índice de auditoria de discos removíveis
63. Usuários com maior número de falhas na auditoria de discos removíveis
64. Tendência de mudança no mercado de discos removíveis
65. Alterações de disco removível baseadas no host
66. Ignorar o UAC através do Visualizador de Eventos
67. Acesso de gravação de objeto AD DAC
68. Modificações nas permissões de arquivos ou pastas
69. Executar script do PowerShell a partir do ADS
70. Modificação não autorizada da hora do sistema
71. Desativação do rastreamento ETW
72. Limpeza ou configuração suspeita do log de eventos usando o Wevtutil
73. Invocação suspeita do Fsutil

1. Solicitações de consulta do Log de Eventos por utilitários integrados
2. Acesso incomum à caixa de email
3. Alteração da opção XPCmdshell do MSQL
4. Descoberta e exportação de computadores via cmdlet Get-ADComputer - PowerShell
5. Enumeração de computadores do Active Directory com Get-AdComputer
6. DLL do Kerberos do Active Directory carregada por meio de uma aplicação do Office
7. Modificações ou exclusões suspeitas em massa de arquivos no Windows
8. Linha de comando de coleta automatizada
9. Possível adulteração da localização do arquivo de log de eventos
10. Execução do navegador em modo headless
11. PUA - Execução de Netscan SoftPerfect
12. Replicação do Active Directory a partir de uma conta que não seja de máquina.
13. Reconhecimento de Processos LSASS via Findstr.EXE
14. Reconhecimento de chaves privadas via ferramentas de linha de comando
15. Possível comprometimento da conta DSRM
16. Extraindo informações com o PowerShell
17. Descoberta de contas locais
18. Enumeração de grupos do Active Directory com Get-AdGroup
19. Descoberta e exportação de usuários via cmdlet Get-ADUser
20. Política de Senhas Enumerada
21. Exportação suspeita de caixa de correio do PowerShell para compartilhamento - PS
22. Script do PowerShell para alterar permissões via Set-Acl - PsScript
23. Recuperação de arquivos confidenciais a partir de backups usando o Wbadmin.EXE
24. Possível roubo de credenciais devido ao despejo de dados do SAM SECURITY Hive
25. Abuso de Ntdsutil
26. Usuário adicionado ao grupo de usuários da Área de Trabalho Remota
27. Utilização dos Snap-ins do PowerShell do Exchange
28. Certificado exportado via PowerShell
29. Get-ADReplAccount suspeito
30. Extração da chave de backup do domínio DPAPI
31. HackTool - Cmdlets suspeitos do PowerShell no DSInternals
32. Tentativa de acesso ao arquivo Unattend.XML
33. Suspeito Onde Execução
34. Processos suspeitos gerados por java.exe
35. Processos suspeitos gerados pelo WinRM
36. Informações suspeitas sobre compartilhamento de PMEs

1. Registro centralizado de incidentes com data/hora/sistemas/gravidade
2. Análise formal da causa raiz (RCA) para vulnerabilidades e padrões
3. Cronograma/documentos de impacto (interrupção, exposição, custos)
4. Melhorias no controle da via após o incidente
5. Relatórios trimestrais de tendências para a liderança

1. Um repositório centralizado de incidentes consolida eventos de segurança em um sistema unificado de rastreamento de incidentes
2. O mecanismo de correlação analisa as relações entre eventos e reconstrói cadeias de ataque completas
3. A automação do playbook aciona ações de resposta imediatas na detecção de incidentes
4. Os perfis de alerta categorizam sistematicamente os incidentes por tipo para um rastreamento organizado
5. A plataforma Incident Workbench correlaciona dados de múltiplas fontes para uma análise de impacto abrangente
6. A análise da causa raiz por meio da correlação reconstrói cronologias forenses
7. A retenção de eventos históricos permite a análise retrospectiva de incidentes após a sua descoberta
8. As métricas de monitoramento medem a eficácia da resposta a incidentes e identificam áreas de melhoria
9. A análise forense de eventos reconstrói a cronologia dos incidentes, mostrando a sequência exata de ações do agressor
10. A correlação de múltiplas fontes reconstrói o contexto completo do ataque com base em evidências
11. O arquivamento centralizado e seguro impede que invasores excluam evidências forenses
12. A análise de padrões detecta padrões de ataque de força bruta, escalonamento e movimento lateral
13. Uma ferramenta de busca poderosa permite uma investigação rápida de incidentes e uma avaliação de impacto
14. Os relatórios forenses mostram comparações detalhadas do antes e depois dos objetos afetados
15. O rastreamento do grupo de administradores identifica a escalada de privilégios não autorizada durante incidentes
16. A detecção baseada em machine learning identifica ameaças internas e atividades de contas comprometidas
17. A análise de senhas detecta credenciais comprometidas e alterações não autorizadas
18. O rastreamento de IP identifica a origem geográfica de logins suspeitos
19. A detecção de ransomware identifica padrões de arquivos anormais, permitindo a contenção precoce
20. A resposta automatizada a incidentes isola imediatamente os sistemas infectados da rede
21. A auditoria de arquivos permite avaliar o impacto de um ransomware e determinar o escopo da recuperação
22. A detecção de exfiltração identifica o roubo de dados por meio de canais USB, e-mail e web

1. Eventos de auditoria descartados
2. Registro de eventos limpo
3. Registro de segurança completo
4. Erro no serviço de registro de eventos
5. Encerramento do serviço de registro de eventos
6. Registros de segurança apagados
7. Registros de eventos limpos
8. O registrador de eventos foi iniciado
9. Exclusão segura com SDelete
10. Registro de eventos de segurança limpo
11. Catálogo de backup excluído
12. Atividade do ransomware NotPetya
13. Exclusão de cópias de sombra usando utilitários do sistema operacional
14. Todos os eventos (janelas)
15. Eventos importantes (Windows)
16. Falhas no login devido a nome de usuário inválido
17. Falhas no login devido a senha incorreta
18. Falhas no login devido ao bloqueio da conta
19. Falhas de login devido à expiração
20. Falhas de login fora do horário de expediente
21. Falhas de login interativo
22. Falhas no login interativo remoto
23. Falhas de login na rede
24. Visão geral de tentativas de login malsucedidas
25. Principais tentativas de login malsucedidas por usuário
26. Principais tentativas de login com falha por host
27. Principais tentativas de login malsucedidas por host remoto
28. Principais falhas de login por domínio
29. Principais motivos para falha no login do Windows
30. Tendência de tentativas de login falhas
31. Falhas de login
32. Falhas de login local
33. Falha no login interativo
34. Falhas de logon RADIUS (NPS)
35. Erros de aplicação
36. Aplicação travada
37. Relatório de erros
38. Erro de tela azul (BSOD)
39. Erros do sistema
40. Registros EMET

1. Avalie e documente a maturidade, a infraestrutura e os recursos
2. Defina objetivos específicos com base no risco e nas regulamentações
3. Defina KPIs mensuráveis, como MTTD, MTTR e taxas de remediação de vulnerabilidades
4. Aloque recursos e obtenha a aprovação do conselho
5. Estabeleça governança com responsabilidades claras e relatórios mensais

PREVENÇÃO

1. O DLP multicanal bloqueia as transferências de dados via USB, e-mail, web e impressora
2. A proteção contra ransomware detecta padrões anormais nos arquivos antes que a criptografia se espalhe

DETECÇÃO

1. Alertas em tempo real permitem uma resposta rápida antes que os ataques se intensifiquem
2. Os perfis predefinidos abrangem cenários de ataque comuns sem necessidade de configuração personalizada
3. A correlação identifica ataques de múltiplas etapas que passam despercebidas pelo monitoramento de evento único
4. A detecção de anomalias comportamentais por machine learning identifica novos ataques através de desvios
5. O monitoramento em tempo real do Windows detecta ameaças em tempo real nos endpoints
6. A detecção de força bruta identifica tentativas falhas, permitindo o bloqueio rápido
7. A escalação de privilégios detecta elevação não autorizada, indicando comprometimento
8. A detecção de logins incomuns identifica comprometimento de contas e acessos não autorizados
9. A detecção de ameaças na cloud em tempo real permite uma resposta rápida a incidentes
10. Perfis predefinidos para ameaças na cloud reduzem o tempo de detecção
11. A detecção de anomalias identifica atividades incomuns em ambientes de cloud

1. Atualizações do Windows - Baixadas
2. Atualizações do Windows - Detectadas
3. Atualizações do Windows - Conectividade
4. Atualizações do Windows - Disponibilidade
5. Atualizações do Windows - Instaladas
6. Instalações de software com falha
7. Instalações de software com falha devido a incompatibilidade de privilégios
8. Software instalado
9. Software atualizado
10. Software desinstalado
11. Backup do Windows falhou
12. Backup do Windows bem-sucedido
13. Restaurações do Windows com falha
14. Restaurações bem-sucedidas do Windows
15. Sistema restaurado
16. Backup e Restauração do Windows (todas as variantes)
17. Pacotes de atualização instalados
18. Falha na aplicação de hotpatching
19. Novo serviço instalado
20. Serviço iniciado
21. Serviço pausado
22. Serviço interrompido
23. Serviço falhou
24. Eventos de Patch Bem-Sucedidos
25. Eventos de Implantação de Políticas
26. Alterações na digitalização do inventário
27. Modificações de licença
28. Principais eventos de auditoria de recuperação
29. Eventos de política do BitLocker
30. Conta de computador criada
31. Conta de computador modificada
32. Conta de computador excluída
33. Gerenciamento de contas de computador (todas as variantes)
34. Possível vulnerabilidade de RDP: CVE-2019-0708
35. Exploração da vulnerabilidade CVE-2020-0688 via registro de eventos
36. Vulnerabilidade CVE-2020-10189 explorada na Zoho ManageEngine
37. DNS RCE CVE-2020-1350
38. Possível exploração da vulnerabilidade CVE-2023-28252 no driver do sistema de arquivos de log comum
39. Processo filho Java suspeito gerado pelo Internet Explorer
40. Principais vulnerabilidades exploráveis
41. GHOST no Linux
42. Relatório Shellshock
43. Relatório de falhas de credenciais
44. Relatório de Falhas no Consumo de Privilégios Elevados
45. Relatório de falhas de acesso ao registro
46. Relatório de Descoberta do Administrador
47. Relatório Geral de Nessus

1. Assinatura IPS do firewall detectada
2. Executável bloqueado pelo Sysmon
3. Conexões de entrada ou saída excessivas da mesma origem
4. As configurações do Firewall do Windows foram alteradas
5. Desative o Firewall do Microsoft Defender através do Registro
6. Firewall desativado via Netsh.EXE
7. Nova regra de firewall adicionada via Netsh.EXE
8. Desative o Firewall do Windows pelo Registro
9. Serviço do Windows Defender desativado - Registro
10. Desative o escopo de verificação de tempo de execução de macros
11. PowerShell para desativar o monitoramento de segurança
12. Desative funcionalidades do Windows Defender através de chaves de registro
13. Exclusões do Windows Defender adicionadas - Registro
14. Exclusões do Windows Defender adicionadas - PowerShell
15. Adicione chaves SafeBoot através do utilitário de registro
16. Registro ETW desativado em processos .NET - Registro Sysmon
17. Registro ETW desativado para rpcrt4.dll
18. Registro ETW desativado para SCM
19. Atividade de evasão de rastreamento ETW
20. Desativação do rastreamento ETW - PowerShell
21. O registro de logs do PowerShell foi desativado por meio da manipulação da chave de registro
22. PUA - Execução Suspeita do Netcat
23. Comando de descoberta de lista de tarefas suspeitas
24. Modificações ou exclusões suspeitas em massa de arquivos no Windows
25. Linha de comando de coleta automatizada
26. Possível adulteração da localização do arquivo de log de eventos
27. Arquivo EVTX do Log de Eventos Excluído
28. Registro de eventos de segurança limpo
29. Limpar histórico do PowerShell - PowerShell
30. Registros de histórico do console do PowerShell excluídos
31. Logs de acesso do servidor web IIS excluídos
32. Logs do servidor web Tomcat excluídos
33. Modificação suspeita de tarefas agendadas
34. Tarefas agendadas suspeitas criadas fora do horário de expediente no Windows
35. Criação suspeita de tarefas agendadas envolvendo pasta temporária
36. Excluir tarefa agendada importante
37. Excluir todas as tarefas agendadas
38. Novo certificado raiz, CA ou AuthRoot para armazenar
39. Novo certificado raiz instalado via CertMgr.EXE
40. Detecção de ransomware
41. Backup do Windows excluído via Wbadmin.EXE
42. Todos os backups foram excluídos via Wbadmin.EXE.

1. Autenticação multifator em todos os sistemas (senha + biometria/token)
2. Criptografia AES-256 + TLS 1.2+ para dados
3. IDS/IPS corporativo para monitoramento/bloqueio em tempo real
4. DLP para varredura de dados de saída
5. Análises automatizadas de vulnerabilidades/testes de penetração com correção

CRIPTOGRAFIA

1. O monitoramento de criptografia de arquivos garante a criptografia de dados confidenciais em repouso
2. A comunicação criptografada impede a interceptação de eventos de segurança

PREVENÇÃO E DETECÇÃO DE INTRUSÕES

1. A correlação de eventos detecta padrões de intrusão por meio de análise de múltiplas fontes
2. Alertas em tempo real permitem bloqueio e resposta rápida antes da invasão
3. A análise de logs de rede detecta indicadores de intrusão em nível de rede
4. A análise do Windows detecta indicadores de intrusão no nível do host em endpoints
5. A detecção de movimento lateral identifica ataques de comprometimento de múltiplos sistemas
6. A detecção de logins incomuns identifica comprometimento de contas e acessos não autorizados
7. O monitoramento em cloud detecta intrusões na infraestrutura de cloud e chamadas de API não autorizadas

VERIFICAÇÃO DE VULNERABILIDADES

1. A elaboração de relatórios de conformidade permite avaliações periódicas de conformidade programadas
2. Os relatórios de conformidade fornecem evidências de avaliações de segurança periódicas
3. A verificação de conformidade na cloud identifica configurações incorretas de segurança na infraestrutura de cloud
4. Relatórios de avaliação periódica mostram o nível de segurança e o estado de vulnerabilidade
5. O analisador de superfície de ataque examina e identifica ativos expostos e riscos de configuração para reduzir sua superfície de ataque geral

RASTREABILIDADE

1. A auditoria de alterações do Active Directory rastreia todas as modificações com valores anteriores e posteriores
2. A auditoria do servidor de arquivos monitora o acesso e as modificações nos servidores de arquivos
3. O registro de auditoria de login/logoff mostra as sessões com origem e duração
4. Mais de 200 relatórios permitem a geração rápida de documentação de rastreabilidade
5. A consolidação de múltiplos domínios proporciona o rastreamento de alterações administrativas em toda a organização
6. O gerenciamento centralizado consolida os registros de todos os componentes da infraestrutura
7. A auditoria do banco de dados registra todas as operações DML/DDL com detalhes
8. O FIM rastreia todas as modificações críticas de arquivos com o rastreamento de alteraçõestracking
9. Registros de auditoria de acesso a arquivos, atividades do sistema de arquivos do endpoint
10. O rastreamento de permissões mostra os valores antes e depois das alterações

CONTROLES DE ACESSO

1. O monitoramento de membros do grupo alerta sobre escalonamento de privilégios não autorizado
2. Alertas de rastreamento de permissões sobre alterações em recursos confidenciais
3. O monitoramento de usuários privilegiados proporciona maior visibilidade das operações com altos privilégios
4. O monitoramento do controle de acesso a arquivos identifica usuários com permissão para acessar arquivos
5. A identificação de vulnerabilidades de permissões corrige problemas com usuários que possuem permissões excessivas

SEGMENTAÇÃO DE REDE

1. A análise de firewall identifica padrões de comunicação entre segmentos de rede
2. O monitoramento leste-oeste detecta movimentos laterais e a propagação de rupturas
3. A análise de dispositivos de rede proporciona visibilidade de todo o tráfego de rede
4. A coleta de logs de rede fornece visibilidade em nível de rede, complementando o monitoramento de hosts
5. A correlação de logs detecta ataques baseados em rede que exploram falhas de segmentação
6. O monitoramento de segmentação em cloud valida as políticas de VPC da AWS e VNet do Azure
7. O monitoramento multiplataforma proporciona segmentação consistente entre provedores de cloud

1. Login interativo
2. Login interativo remoto
3. Login de rede
4. Servidor de terminal reconectado
5. Servidor de terminal desconectado
6. Visão geral de logins
7. Privilégio atribuído ao novo logon
8. Tentativa de login usando credenciais explícitas
9. Principais logins por usuário
10. Principais logins por host
11. Principais logins por host remoto
12. Principais logins por domínio
13. Tendência de logins
14. Logins de usuários
15. Atividade de login
16. Atividade de Serviços de Área de Trabalho Remota
17. Sessão de usuários encerrada
18. Gateway de Área de Trabalho Remota
19. Histórico de logon RADIUS (NPS)
20. Grupos especiais foram atribuídos a um novo login
21. Usuário adicionado aos administradores locais
22. Login remoto do usuário administrador
23. Habilitar o direito de usuário no Active Directory para controlar objetos de usuário
24. Login interativo em sistemas de servidor
25. Adulteração de conta - Motivos suspeitos para falha de login
26. Conta de usuário criada
27. Conta de usuário modificada
28. Conta de usuário excluída
29. Conta de usuário ativada
30. Conta de usuário desativada
31. Contas de usuário renomeadas
32. Contas de usuário desbloqueadas
33. Alterações de senha da própria conta de usuário
34. Alterações de senha da conta de usuário
35. Usuários que definem senhas
36. Validação de credenciais do Distrito de Columbia concluída com sucesso
37. Falha na validação das credenciais do controlador de domínio devido a um nome de usuário inválido
38. Falha na validação das credenciais do controlador de domínio devido a senha incorreta
39. Ticket de autenticação Kerberos (TGT) - Solicitado
40. Pré-autenticação bem-sucedida

1. As configurações do Firewall do Windows foram alteradas
2. Serviço do Windows Defender desativado - Registro
3. Desativar funcionalidades do Windows Defender através de chaves de registro
4. Backup periódico para hives do registro do sistema ativado
5. Detecção de ransomware
6. Novo certificado raiz, CA ou AuthRoot para armazenar
7. Assinatura IPS do firewall detectada
8. Registro ETW desativado em processos .NET - Registro Sysmon
9. O registro de logs do PowerShell foi desativado por meio da manipulação da chave de registro
10. Modificação suspeita de tarefas agendadas

1. Equipe de resposta multidisciplinar com funções definidas
2. Manuais detalhados/escalonamento para tipos de incidentes
3. Procedimentos BC/DR com metas RTO/RPO
4. Templates de comunicação/cadeias de escalonamento
5. Exercícios simulados anuais com lições aprendidas

1. Os perfis de alerta permitem a detecção e categorização sistemáticas por tipo de incidente
2. A automação do playbook aciona ações de resposta predefinidas imediatamente após a detecção
3. A Bancada de Trabalho de Incidentes consolida dados contextuais para uma análise abrangente
4. O sistema de alertas em tempo real permite a mobilização rápida da equipe de resposta a incidentes
5. A correlação de padrões detecta incidentes, permitindo uma resposta precoce antes que ocorram danos
6. Os alertas notificam imediatamente as equipes de resposta a incidentes sobre a necessidade de resposta ao incidente
7. A perícia forense apoia a investigação de incidentes e a análise pós-incidente
8. A busca rápida permite investigações ágeis e decisões de contenção
9. Os relatórios forenses mostram comparações detalhadas do objeto antes e depois da investigação
10. O acompanhamento das ações verifica a execução e a eficácia da resposta a incidentes
11. Alertas críticos permitem a notificação rápida da equipe de resposta a incidentes
12. A resposta automatizada desencadeia ações de contenção após a detecção de ameaças
13. O isolamento de ransomware impede a propagação por meio de contenção automatizada rápida
14. A auditoria de arquivos permite avaliar o alcance do ransomware e os requisitos de recuperação

1. Nível de risco (Unix)
2. Principais riscos por eventos (Unix)
3. Principais riscos por host (Unix)
4. Risco máximo por host remoto (Unix)
5. Tendência de riscos (Unix)
6. Visão geral dos riscos (Unix)
7. Eventos de sucesso
8. Eventos de informação (gravidade do dispositivo)
9. Eventos de falha
10. Eventos de aviso (gravidade do dispositivo)
11. Eventos de erro (gravidade do dispositivo)
12. Eventos de emergência (gravidade do dispositivo)
13. Eventos de alerta (gravidade do dispositivo)
14. Eventos Críticos (Gravidade do Dispositivo)
15. Eventos de notificação (gravidade do dispositivo)
16. Eventos de depuração (gravidade do dispositivo)
17. Política de auditoria alterada (Eventos importantes do Windows)
18. Logs de auditoria apagados (Eventos importantes do Windows)
19. Alterações na conta de usuário (Eventos importantes do Windows)
20. Contas de usuário bloqueadas (Eventos importantes do Windows)
21. Política de Grupo SceCli (Eventos Importantes do Windows)
22. Todos os eventos (janelas)
23. Eventos importantes (Windows)
24. Atividade baseada no usuário
25. Relatório Semanal
26. Relatório por hora
27. Falhas de login do usuário (Unix)
28. Principais riscos por eventos
29. Principais riscos por anfitrião
30. Principal risco por host remoto
31. Tendência de riscos
32. Visão geral dos riscos
33. Processo criado (Sysmon)
34. Processo encerrado (Sysmon)
35. Criação remota de threads (Sysmon)
36. Acesso ao processo (Sysmon)
37. Alteração do estado do serviço (Sysmon)
38. Relatório de Configuração (Sysmon)
39. Não crítico (SAP)
40. Grave (SAP)

1. Due diligence de segurança de fornecedores pré-contratual
2. Cláusulas contratuais de cibersegurança (controles, notificações, auditorias)
3. Exigir certificações ISO 27001/SOC 2 com relatórios anuais
4. Supervisão trimestral, auditorias, varreduras de vulnerabilidades
5. Disposições relativas a direitos de auditoria sob demanda e notificação de incidentes

MONITORAMENTO DO PROCESSAMENTO DE DADOS

1. O monitoramento multiplataforma permite rastrear o tratamento de dados em serviços contratados
2. O monitoramento em tempo real mantém a visibilidade das operações de serviço contratadas
3. Perfis personalizados detectam processamento de dados que viola as políticas BACEN
4. Os relatórios prontos para uso auxiliam na verificação da conformidade do provedor de serviços em nuvem
5. O rastreamento de atividades identifica padrões de acesso a dados e possíveis vazamentos
6. Os registros de auditoria documentam todas as alterações e configurações da infraestrutura em nuvem

GESTÃO DE RISCOS DE FORNECEDORES

1. O monitoramento centralizado consolida os logs de segurança de todos os fornecedores e serviços
2. Os registros de auditoria permitem verificar se os fornecedores contratados operam em conformidade com os requisitos
3. A correlação entre plataformas identifica atividades suspeitas que ultrapassam as fronteiras dos fornecedores
4. Configure perfis de alerta e alertas personalizados para eventos de serviços de terceiros
5. O rastreamento do Azure AD monitora as alterações de diretório integradas à nuvem
6. O monitoramento de permissões detecta modificações não autorizadas em sistemas de nuvem
7. O monitoramento híbrido rastreia atividades em ambientes locais e na nuvem

1. Status da conexão VPN (WatchGuard)
2. Sessões VPN (WatchGuard)
3. Status da conexão VPN (Topsec)
4. Sessões VPN (Topsec)
5. Status da conexão VPN (Terminal)
6. Sessões VPN (Terminal)
7. Eventos do servidor de banco de dados
8. Eventos do servidor Hyper-V - Partições criadas
9. Eventos do servidor Hyper-V - Partições excluídas
10. Eventos do servidor Hyper-V - Falha na criação de partições
11. Eventos do servidor Hyper-V - Eventos de inicialização do Hyper-V
12. Eventos do servidor Hyper-V - Falha ao iniciar o Hyper-V
13. Gerenciamento de VMs do Hyper-V - Serviço de Gerenciamento de VMs iniciado
14. Gerenciamento de VMs do Hyper-V - Criação de VMs
15. Gerenciamento de VMs do Hyper-V - Exclusão de VMs
16. Gerenciamento de VMs do Hyper-V - Falha na criação de VMs
17. Cluster criado
18. Cluster destruído
19. Cluster reconfigurado
20. Cluster Renomeado
21. Centro de dados criado
22. Centro de dados renomeado
23. Centro de dados destruído
24. Armazenamento de dados criado
25. Armazenamento de dados destruído
26. Repositório de dados renomeado
27. Arquivo de armazenamento de dados copiado
28. Arquivo de armazenamento de dados movido
29. Arquivo de armazenamento de dados excluído
30. Pasta criada
31. Pasta excluída
32. Pasta renomeada
33. Permissão criada
34. Permissão Removida
35. Conexão de rede (Sysmon)
36. Consulta DNS (Sysmon)
37. Conexões abertas (SonicWall)
38. Conexões fechadas (SonicWall)
39. Alterações de VPC (AWS)
40. Alterações no gateway de rede (AWS)

1. Snapshot do banco de dados RDS da AWS criado
2. Âncora de confiança do AWS IAM Roles Anywhere criada com CA externa
3. Registro de acesso ao servidor de buckets S3 da AWS desativado
4. AWS Config: Desativando canal/gravador
5. Exclusão de grupo de segurança do AWS RDS
6. Registro de acesso ao servidor de buckets S3 da AWS desativado
7. Sistema de arquivos ou ponto de montagem EFS da AWS excluído
8. Criação de um grupo de segurança do AWS RDS
9. Exclusão de instância ou cluster do AWS RDS
10. Falha na exportação de VM EC2 da AWS
11. Atividade de Importação de Pares de Chaves da AWS
12. Função AWS Lambda criada ou atualizada
13. Exclusão da lista de controle de acesso do AWS WAF
14. Assunção de função do AWS STS pelo serviço
15. Criação de cluster AWS Redshift
16. Instância ou cluster de banco de dados AWS RDS restaurado
17. Solicitação de parâmetro SecureString do AWS Systems Manager com sinalizador de descriptografia
18. Descoberta de AMIs obsoletas do AWS EC2
19. Adicionada configuração do ciclo de vida de expiração do bucket S3 da AWS
20. Adulteração de dados no AWS S3
21. Captura completa de pacotes de rede detectada no AWS EC2
22. Adição de usuário do AWS IAM a um grupo
23. Perfil do AWS IAM Roles Anywhere criado
24. Execução de cmdlets do PowerShell do AADInternals - PsScript
25. Execução de cmdlets do PowerShell do AADInternals - Criação de Processo
26. Barramento de serviço DNS HybridConnectionManager
27. Execução rápida de túnel Cloudflared
28. Execução de túnel Cloudflared
29. Conexão de rede iniciada para os domínios de túneis da Cloudflare
30. Conexão de rede iniciada para os domínios BTunnels
31. Conexão de rede iniciada com o domínio Portmap.IO
32. Comunicação iniciada com o serviço de tunelamento LocaltoNet
33. Possível exploração da vulnerabilidade CVE-2023-34362 no MOVEit Transfer - Atividade de Arquivos
34. Possível exploração da vulnerabilidade CVE-2023-34362 de transferência do MOVEit - Compilação dinâmica via Csc.EXE
35. Execução de túnel no Visual Studio Code
36. VsCode Code Tunnel Execution File Indicato
37. Modificação do perfil do PowerShell no VS Code
38. Criação remota de arquivos via túnel no Visual Studio Code
39. Instalação do serviço de túnel do Visual Studio Code
40. Execução do Code Tunnel do VS Code - Indicador de Arquivo (Renomeado)
41. Execução suspeita de arquivo a partir de compartilhamento WebDAV hospedado na Internet