Alcance a conformidade com a LGPD com a ManageEngine

As organizações devem garantir que todo o tratamento de dados pessoais siga os dez princípios da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização. Esses princípios precisam orientar todo o ciclo de vida dos dados, da coleta à eliminação, e funcionar como referência para avaliar e demonstrar a conformidade.

1. Acesso não autorizado a diretórios ou tabelas com informações de identificação pessoal (PII)
2. Anomalias de acesso em massa ou exfiltração de arquivos
3. Desativação de ferramentas de segurança, como Defender, Firewall, ETW e Sysmon
4. Logs de eventos apagados
5. Tarefas agendadas suspeitas ou mecanismos de persistência
6. Padrões de criptografia associados a ransomware
7. Mudanças DML/DDL em databases com tabelas contendo PII
8. Compartilhamento não autorizado ou transferências de saída

1. Relatório de eventos correlacionados
2. Relatório resumido de monitoramento da integridade de arquivos
3. Relatório de anomalias de UEBA
4. Logs de acesso de query no database
5. Relatório de monitoramento de mudanças DML e DDL
6. Relatório de verificação da integridade dos logs
7. Relatório de tentativas de escalonamento de privilégios
8. Relatório de transferências suspeitas de saída
9. Relatório de adulteração de controles de segurança, como Firewall, Defender e ETW
10. Relatórios de acesso e integridade de arquivos
11. Evidências de classificação de dados
12. Violações de DLP por USB, e-mail ou web
13. Logs de detecção de ransomware

1. Relatório de eventos correlacionados
2. Relatório resumido de monitoramento da integridade de arquivos
3. Relatório de anomalias de UEBA
4. Logs de acesso de consultas no database
5. Relatório de monitoramento de mudanças DML e DDL
6. Relatório de verificação da integridade dos logs
7. Relatório de tentativas de escalonamento de privilégios
8. Relatório de transferências suspeitas de saída
9. Relatório de adulteração de controles de segurança, como Firewall, Defender e ETW
10. Relatórios de acesso e integridade de arquivos
11. Evidências de classificação de dados
12. Violações de DLP por USB, e-mail ou web
13. Logs de detecção de ransomware

A LGPD garante aos titulares controle sobre seus dados pessoais, incluindo o direito de solicitar acesso, correção, exclusão, portabilidade e revisão humana de decisões automatizadas. As organizações devem responder de forma clara e ágil, bem como manter total rastreabilidade das ações realizadas sobre os dados pessoais do titular.

1. Configurações do firewall do Windows mudadas
2. Desativar Microsoft Defender Firewall via Registro
3. Firewall desativado via Netsh.EXE
4. Nova regra de firewall adicionada via Netsh.EXE
5. Desativar o firewall do Windows pelo Registro
6. Assinatura de IPS do firewall detectada
7. Serviço do Windows Defender desativado - Registro
8. Desativar funcionalidades do Windows Defender usando chaves do Registro
9. Exclusões do Windows Defender adicionadas - Registro
10. Exclusões no Windows Defender adicionadas — PowerShell
11. Monitoramento de segurança desativado pelo PowerShell
12. Desativar o escopo de verificação em tempo de execução de macros
13. Logging do PowerShell desativado por adulteração de chave do Registro
14. EventLog de segurança excluído
15. Possível adulteração do caminho do arquivo EventLog
16. Arquivo EVTX do EventLog excluído
17. Solicitações de consulta ao EventLog por utilitários integrados
18. Histórico do PowerShell excluído - PowerShell
19. Logs do histórico do console do PowerShell excluídos
20. Logs de acesso do IIS WebServer excluídos
21. Logs do Tomcat WebServer excluídos
22. Logging do ETW desativado em processos .NET - Registro do Sysmon
23. Logging do ETW desativado para rpcrt4.dll
24. Logging do ETW desativado para SCM
25. Atividade de evasão de rastreamento do ETW
26. Rastreamento ETW desativado - PowerShell
27. Modificação suspeita de tarefas agendadas
28. Tarefas agendadas suspeitas criadas fora do horário de trabalho
29. Criação suspeita de tarefa agendada envolvendo a pasta Temp
30. Excluir tarefa agendada importante
31. Excluir todas as tarefas agendadas
32. PUA - Execução de ferramenta Sysinternal - Registro
33. Detecções de ransomware
34. Backup do Windows excluído via Wbadmin.EXE
35. Todos os backups excluídos via Wbadmin.EXE
36. Backup periódico dos hives do Registro do sistema ativado

1. Relatório de auditoria de query/seleções no database
2. Relatórios de mudanças de DDL e DML no database
3. Relatório de atividades de compartilhamento e transferência de dados
4. Relatório de atividades de retenção e arquivamento de dados

1. Logging de consultas no database para confirmar as atividades de tratamento
2. Monitoramento de mudanças DML/DDL para verificar operações de correção e exclusão
3. Auditoria de transferências de dados de saída para compartilhamento e divulgação
4. Armazenamento de logs WORM invioláveis para preservação de evidências regulatórias

As organizações que tratam dados pessoais devem manter registros documentados que indiquem quais dados são tratados, porque esse tratamento ocorre e como ele é feito. Isso se torna ainda mais importante quando o "legítimo interesse" é usado como base legal. Esses registros ajudam a demonstrar aos reguladores que a organização trata os dados de forma responsável e transparente.

Detecção de adulteração e exclusão de logs

1. Arquivo EVTX do EventLog excluído
2. EventLog de segurança apagado
3. Logs de eventos apagados
4. Limpeza ou configuração suspeita do EventLog com Wevtutil
5. Desativação do serviço de logs de eventos
6. Adulteração do caminho do arquivo do EventLog
7. Eventos de auditoria descartados
8. Falha no serviço EventLog
9. Logs de auditoria limpos, incluindo eventos importantes do Windows

Regras de evasão de auditoria e de rastreabilidade

1. Logging ETW desativado em processos .NET
2. Atividade de evasão de rastreamento do ETW
3. Desativação de rastreamento ETW - PowerShell
4. Logging do PowerShell desativado por adulteração de chave do Registro
5. Histórico do PowerShell excluído - PowerShell
6. Logs do histórico do console do PowerShell excluídos

Regras de integridade de privilégios e configurações

1. Usuário adicionado aos administradores locais
2. Privilégio atribuído a novo logon

Estabilidade do sistema e preservação de evidências

1. Erros de aplicação / erros de sistema / logs do EMET
2. Erro de tela azul (BSOD)
3. Mudança do estado do serviço
4. Event Logger iniciado

Ransomware ou atividade destrutiva

1. Detecções de ransomware
2. Exclusão de cópias shadow com utilitários do sistema operacional
3. Catálogo de backup excluído

Monitoramento de eventos do Windows e de SIEM

1. Todos os eventos (Windows)
2. Eventos importantes (Windows)
3. Relatórios de resumo de atividades semanais / mensais
4. Relatório completo de logs de segurança

Adulteração e integridade de logs

1. Relatório de logs de auditoria apagados
2. Relatório de desligamento do serviço de logs de eventos
3. Relatórios de adulteração do EventLog
4. Tentativas de limpeza do log de eventos de segurança

Monitoramento de autenticação e privilégios

1. Falha em logons (todas as categorias)
2. Relatório de usuários bloqueados
3. Relatórios de gerenciamento de contas de usuário
4. Relatórios de uso de privilégios

Monitoramento de mudanças de sistema e políticas

1. Relatórios de mudanças de configuração
2. Relatórios de mudanças de políticas
3. Relatórios de mudanças de políticas de auditoria
4. Relatórios de erros de sistema / erros de aplicação

Acesso a dados, DLP e ransomware

1. Relatórios de leitura / acesso a arquivos
2. Relatórios de modificação de arquivos
3. Relatórios de exclusão de arquivos
4. Relatórios de criação de arquivos
5. Relatórios de modificação de permissões
6. Relatórios das principais operações com arquivos
7. Relatórios de acesso a mídias removíveis
8. Relatórios de detecção de ransomware

Integridade e coleta centralizada de logs

1. Coleta de logs de todos os sistemas críticos, como Windows, Active Directory, databases e rede
2. Monitoramento da integridade dos logs, incluindo eventos de exclusão, limpeza e sobrescrita
3. Políticas de retenção de logs de longo prazo

Monitoramento de privilégios, configurações e governança

1. Monitoramento de atividades privilegiadas em toda a infraestrutura
2. Auditoria de mudanças de configuração
3. Monitoramento de mudanças em políticas e políticas de auditoria
4. Auditoria do uso de privilégios

Integridade de arquivos, acesso a dados e DLP

1. Monitoramento da integridade de arquivos em repositórios críticos de evidências
2. Auditoria de acesso a arquivos
3. Registro de mudanças em arquivos
4. Monitoramento da exclusão de arquivos
5. Auditoria de mudanças de permissões
6. Descoberta e classificação de dados sensíveis
7. Controles de DLP em endpoints para rastreabilidade da transferência de arquivos

Segurança, estabilidade e evidências de incidentes

1. Auditoria de logs de segurança do Windows
2. Registro de erros de sistema e de aplicações
3. Detecção de adulteração de logs, como logs excluídos e interrupção de serviços
4. Reconstrução da linha do tempo de incidentes
5. Detecção de ransomware

As organizações devem designar um Data Protection Officer (DPO) que atue como principal ponto de contato para os titulares e para a ANPD. Esse responsável acompanha as ações de conformidade, gerencia as solicitações dos titulares, apoia a resposta a incidentes e ajuda a garantir transparência. Também deve haver um canal de comunicação claro e acessível ao público para que os titulares possam exercer com facilidade os direitos assegurados pela LGPD.

1. Limpeza de logs de segurança, incluindo logs de eventos, logs do PowerShell e logs de servidor web
2. Desativação de ferramentas de segurança, como Firewall, Defender e ETW
3. Acesso suspeito a sistemas com PII utilizados pelo responsável pelo tratamento de dados pessoais, como repositórios de identidade e databases
4. Adulteração de tarefas agendadas ligada a mecanismos de persistência
5. Comportamento associado a ransomware e mudanças anormais em arquivos
6. Exfiltração de evidências ou de documentos relacionados a solicitações dos titulares de dados

Segurança e monitoramento de incidentes

1. Relatório de resumo de incidentes e alertas de segurança
2. Relatório de linha do tempo de incidentes correlacionados
3. Relatório de anomalias no comportamento do usuário
4. Relatórios de falhas de login e detecção de força bruta

Integridade de logs e dados

1. Relatório de verificação da integridade dos logs
2. Relatório de status de retenção de evidências e arquivamento de logs

Monitoramento de conformidade e de mudanças

1. Relatório de monitoramento de mudanças DML e DDL em sistemas que armazenam PII
2. Logs de transferência de dados de saída

1. Correlação de eventos SIEM para detectar acessos não autorizados a sistemas DPO
2. Definição de linha de base com UEBA para identificar vazamento de Informações privilegiadas e tentativas de personificação do DPO
3. Monitoramento da integridade de arquivos para proteger a documentação de governança e conformidade
4. Retenção de logs com tecnologia WORM para preservação de evidências regulatórias e jurídicas
5. Alertas sobre transferências suspeitas de dados de saída relacionadas a evidências de solicitações dos titulares
6. Controles de DLP para evitar o vazamento de documentos ligados a solicitações dos titulares e de dados pessoais
7. Monitoramento da integridade de arquivos em repositórios de evidências do responsável pelo tratamento de dados pessoais
8. Detecção e contenção automatizadas de ransomware para proteger logs e evidências
9. Classificação de dados sensíveis tratados pelo responsável do tratamento de dados pessoais

As organizações devem proteger os dados pessoais com salvaguardas técnicas e administrativas que assegurem confidencialidade, integridade e disponibilidade. Entre elas estão medidas de segurança orientadas por risco, como controle de acesso, criptografia, monitoramento contínuo, arquitetura segura de sistemas, treinamento de colaboradores, auditoria e preservação de evidências confiáveis de todas as atividades de tratamento de dados e de segurança.

1. Modificação detectada nas configurações de firewall
2. Windows Defender Firewall desativado (Registro / PowerShell / Netsh)
3. Nova regra de firewall adicionada ou alterada
4. Serviço do Windows Defender desativado
5. Exclusão no Windows Defender adicionada por Registro ou PowerShell
6. Tarefas agendadas suspeitas criadas ou alteradas
7. Exclusão de tarefas agendadas críticas
8. Chaves do Registro do SafeBoot adicionadas
9. Novo certificado raiz ou certificado de AC instalado
10. Execução de ferramentas suspeitas do Sysinternals
11. Assinaturas de detecção de ransomware acionadas
12. Backups do Windows excluídos com Wbadmin
13. Backups dos hives do Registro do sistema alterados
14. Tentativas de login sem êxito de todos os tipos
15. Múltiplos bloqueios de conta
16. Tentativas de escalonamento de privilégios
17. Indicadores de movimento lateral
18. Comportamento incomum de acesso ou exfiltração de dados
19. Alertas de configuração incorreta em cloud, incluindo AWS, Azure e GCP
20. Limpeza ou adulteração de logs de eventos detectada
21. Eventos de mudança de política, incluindo auditoria, autenticação e autorização
22. Alertas correlacionados entre fontes de cloud identidade e endpoint
23. Linhas do tempo de investigação orientadas por SIEM
24. Retenção de evidências para requisitos regulatórios e periciais.

1. Relatório resumido de monitoramento da integridade de arquivos (FIM)
2. Relatório de eventos de segurança correlacionados
3. Relatório de detecção de anomalias com UEBA
4. Relatório de auditoria de mudanças DML e DDL no database
5. Relatório dos dispositivos mais vulneráveis
6. Relatório de tentativas de limpeza de logs de auditoria do Windows
7. Logs de erros de sistema e de aplicação
8. Relatórios de mudanças de políticas
9. Relatórios de usuários privilegiados
10. Relatórios de falhas de autenticação
11. Relatórios de mudanças de regras de firewall
12. Relatório de verificação da integridade dos logs de auditoria
13. Relatório de status de arquivamento e retenção de logs
14. Relatórios de acesso e leitura de arquivos
15. Relatórios de modificação e exclusão de arquivos
16. Relatórios de modificação de permissões
17. Relatório de acesso a dados sensíveis
18. Relatório de impacto e contenção de ransomware

1. Correlação de eventos em tempo real para detectar ataques em múltiplas etapas
2. Monitoramento contínuo de eventos de endpoints, servidores e rede
3. Armazenamento WORM resistente a adulteração para logs de auditoria protegidos
4. Alertas automatizados para mudanças de políticas e configurações
5. Perfis de alerta predefinidos para: atividades de malware, mudanças de firewall, ataques de força bruta e uso suspeito de privilégios
6. Detecção de erros de sistema que possam comprometer a segurança
7. Monitoramento da integridade de arquivos (FIM) em diretórios críticos
8. Monitoramento de mudanças não autorizadas em arquivos
9. Rastreamento de modificações em regras de firewall
10. Auditoria do uso de privilégios, incluindo direitos e operações sensíveis
11. Auditoria de eventos em cloud, incluindo AWS, Azure e GCP
12. Detecção de anomalias de acesso e de configurações incorretas
13. Monitoramento de eventos de segurança em infraestrutura híbrida

As organizações devem detectar, avaliar e comunicar rapidamente qualquer violação de dados pessoais que possa causar risco ou dano. As notificações à ANPD e aos indivíduos afetados devem ser claras sobre quais dados foram comprometidos, quais riscos estão envolvidos, quais medidas foram tomadas e como entrar em contato com o responsável pelo tratamento de dados pessoais. Além disso, devem manter logs, trilhas de auditoria e evidências do incidente para apoiar investigações regulatórias e demonstrar transparência.

1. Configurações de firewall alteradas
2. Microsoft Defender Firewall desativado (Registro / Netsh / PowerShell)
3. Nova regra de firewall adicionada
4. Serviço do Windows Defender desativado
5. Exclusões no Windows Defender adicionadas por Registro ou PowerShell
6. Ferramentas de segurança desativadas
7. Logging do PowerShell desativado por Registro ou script
8. Verificação de macros em tempo de execução desativada
9. Log de eventos de segurança apagado
10. Arquivo do EventLog excluído
11. Adulteração do caminho do arquivo do EventLog
12. Logging do ETW desativado por rpcrt4.dll, SCM, .NET ou PowerShell
13. Atividade de evasão de rastreamento do ETW
14. Logs do histórico do console do PowerShell excluídos
15. Histórico do PowerShell limpo
16. Logs de acesso do IIS excluídos
17. Logs de acesso do Tomcat excluídos
18. Detecções de ransomware
19. Backups excluídos com Wbadmin
20. Todos os backups apagados
21. Interferência no backup dos hives do Registro

1. Relatório de incidente de segurança
2. Histórico de alertas em tempo real
3. Relatório de verificação da integridade dos logs de auditoria
4. Relatório de linha do tempo de incidentes correlacionados
5. Relatórios de mudanças DML e DDL no database
6. Auditoria de arquivamento e retenção de logs
7. Relatório de tentativas de limpeza de logs de segurança do Windows
8. Relatório de mudanças de política de auditoria
9. Relatório de uso de privilégios
10. Logs de erro e falha do sistema para indicar o impacto da violação
11. Relatório de modificação de regras de firewall
12. Relatórios de acesso, modificação e exclusão de arquivos
13. Relatórios de tentativas de exfiltração por USB, e-mail e web
14. Relatório de atividade de ransomware
15. Relatórios de evidências de mudança de permissões

1. Ativar a correlação em tempo real para identificar intrusões em múltiplas etapas
2. Usar o monitoramento da integridade de arquivos para detectar mudanças não autorizadas
3. Aplicar logging com tecnologia WORM para garantir a integridade de evidências periciais
4. Usar UEBA para detectar acessos incomuns e eventos de acesso em massa a arquivos
5. Ativar alertas em tempo real para escalonamento de privilégios, malware e mudanças de firewall
6. Centralizar as linhas do tempo de resposta a incidentes para apoiar a geração de relatórios para a ANPD
7. Ativar o rastreamento em tempo real de acesso e modificação de arquivos
8. Ativar DLP por USB, e-mail e web para detectar e impedir a exfiltração de dados
9. Auditar mudanças de permissões para identificar escalonamento promovido por invasores
10. Ativar a detecção precoce de ransomware com isolamento automatizado
11. Monitorar falhas de autenticação e eventos de uso de privilégios
12. Rastrear eventos de integridade do sistema, incluindo mudanças de políticas e da configuração de auditoria
13. Detectar adulteração de logs e técnicas de evasão em nível de sistema
14. Manter visibilidade em tempo real de logs de servidores, firewall e aplicações

O artigo 49 determina que todo sistema usado no tratamento de dados pessoais seja projetado e operado em conformidade com requisitos de segurança, boas práticas, princípios de governança e normas regulatórias aplicáveis. Na prática, isso significa incorporar a segurança desde a concepção do sistema (security by design) , assegurar proteção contínua por padrão (security by default) e garantir que todo sistema que trate dados pessoais siga práticas de segurança robustas, verificáveis e passíveis de auditoria.

1. Configurações do firewall do Windows alteradas
2. Desativar Microsoft Defender Firewall via Registro
3. Firewall desativado via Netsh.EXE
4. Nova regra de firewall adicionada via Netsh.EXE
5. Assinatura de IPS do firewall detectada
6. Serviço do Windows Defender desativado - Registro
7. Funcionalidades do Windows Defender desativadas via chaves do Registro
8. Exclusões do Windows Defender adicionadas - Registro
9. Exclusões no Windows Defender adicionadas por PowerShell
10. Logging do ETW desativado em processos .NET - Registro do Sysmon
11. Logging do ETW desativado para rpcrt4.dll
12. Logging do ETW desativado para SCM
13. Atividade de evasão de rastreamento do ETW
14. Rastreamento ETW desativado - PowerShell
15. Monitoramento de segurança desativado por PowerShell
16. Logging do PowerShell desativado por adulteração de chave do Registro
17. Log de eventos de segurança limpo
18. Arquivo EVTX do EventLog excluído
19. Possível adulteração do caminho do arquivo EventLog
20. Logs de acesso do IIS WebServer excluídos
21. Logs do Tomcat WebServer excluídos
22. Modificação suspeita de tarefas agendadas
23. Tarefas agendadas suspeitas criadas fora do horário de trabalho
24. Excluir todas as tarefas agendadas
25. Adicionar chaves do SafeBoot via utilitário de Registro
26. Novo certificado raiz, de AC ou AuthRoot instalado
27. PUA - Execução de ferramenta Sysinternal - Registro

1. Relatório de auditoria de mudanças de configuração
2. Relatório de disparadores de regras de correlação
3. Relatório de retenção e arquivamento de logs
4. Relatório de mudanças na política de firewall
5. Relatório de desvios de hardening do sistema
6. Auditoria de mudanças DML e DDL no database
7. Relatório de mudanças de monitoramento da integridade de arquivos (FIM)

1. Mecanismo de correlação para detectar ataques em múltiplas etapas contra a infraestrutura dos sistemas
2. Monitoramento da integridade de arquivos de sistema, arquivos de configuração, registro e diretórios de aplicações
3. Monitoramento contínuo de logs de servidores, firewalls, AD e aplicações para detectar mudanças inseguras
4. Análises de UEBA para identificar uso indevido de identidades ou sistemas em desacordo com um modelo seguro
5. Imutabilidade de logs com tecnologia WORM para atender aos requisitos de governança
6. Detecção de desvios de configuração para garantir que os sistemas permaneçam alinhados às configurações seguras de referência
7. Análises de permissões para detectar exposição excessiva de dados sensíveis
8. Descoberta e classificação de dados sensíveis para garantir controles adequados de governança
9. Alertas em tempo real sobre acesso, modificação e exclusão para reforçar as proteções de integridade

O artigo 50 estabelece que as organizações mantenham uma estrutura formal de governança de privacidade sempre atualizada. Isso envolve políticas documentadas, padrões de segurança, controles orientados por risco, tratamento de reclamações, supervisão interna e treinamento. A estrutura de governança deve estar alinhada à natureza e à sensibilidade dos dados tratados e demonstrar transparência e responsabilização perante os titulares e a ANPD.

1. Configurações do firewall do Windows mudadas
2. Microsoft Defender Firewall desativado via Registro
3. Firewall desativado via Netsh.EXE
4. Nova regra de firewall adicionada via Netsh.EXE
5. Serviço do Windows Defender desativado - Registro
6. Funcionalidades do Windows Defender desativadas via chaves do Registro
7. Exclusões no Windows Defender adicionadas por Registro ou PowerShell
8. Monitoramento de segurança desativado por PowerShell
9. Logging do PowerShell desativado por chave do Registro
10. Log de eventos de segurança limpo
11. Arquivo EVTX do EventLog excluído
12. Adulteração do caminho do arquivo do EventLog
13. Logs do servidor web IIS excluídos
14. Logs do Tomcat excluídos
15. Logging do ETW desativado por rpcrt4.dll, SCM e processos .NET
16. Atividade de evasão de rastreamento do ETW
17. Modificações suspeitas em tarefas agendadas
18. Criação não autorizada de tarefas na pasta Temp
19. Chaves do Registro do SafeBoot adicionadas
20. Instalação não autorizada de certificado raiz ou de AC
21. PUA - Execução de ferramenta Sysinternal
22. Detecções de ransomware
23. Backup do Windows excluído via Wbadmin
24. Todos os backups excluídos

1. Relatório de auditoria de mudanças de políticas
2. Relatórios de disparadores de regras de correlação
3. Relatórios de monitoramento da integridade de arquivos (FIM)
4. Relatórios de conformidade de arquivamento e retenção de logs
5. Relatório de monitoramento de atividades de usuários privilegiados
6. Relatório de correlação de mudanças entre sistemas
7. Relatórios de permissões e mudanças de Schema no database
8. Relatórios de anomalias com UEBA
9. Relatórios de acesso e modificação de arquivos
10. Relatórios de mudanças de permissões e vulnerabilidades
11. Resumo de classificação de dados sensíveis e não sensíveis
12. Relatório de violações de DLP em endpoints
13. Relatórios de modificação de GPO e políticas de segurança
14. Relatórios de modificação e exclusão de objetos do AD
15. Relatório de mudança de membros de grupos privilegiados
16. Relatórios de atividade de logon e logoff
17. Mudanças de permissões em pastas sensíveis
18. Resumo de mudanças no AD para auditorias de governança
19. Relatórios de delegação e atribuição de funções
20. Relatórios de atividade do ciclo de vida do usuário, como criação, desativação e exclusão
21. Relatórios de análise de permissões
22. Relatórios de usuários inativos e objetos obsoletos
23. Relatório de auditoria de execução de workflow
24. Relatório de uso de registro em MFA
25. Relatório de aplicação da política de senhas
26. Histórico de acesso por autoatendimento

1. Implementar o monitoramento de mudanças em políticas em todos os sistemas e em toda a infraestrutura
2. Aplicar o monitoramento da integridade de arquivos em arquivos de configuração, registro, certificados e diretórios do sistema
3. Usar UEBA para detectar desvios em relação às linhas de base de governança estabelecidas
4. Garantir a imutabilidade dos logs com tecnologia WORM para manter evidências de governança confiáveis e auditáveis
5. Aplicar o monitoramento contínuo por correlação para identificar atividades não autorizadas ou desvios no sistema
6. Aplicar a classificação de dados para manter a governança de acordo com o nível de sensibilidade
7. Detectar vulnerabilidades de permissões e aplicar o princípio do privilégio mínimo
8. Monitorar em tempo real o acesso a arquivos sensíveis ou regulados
9. Aplicar políticas de DLP para e-mail, USB, web e impressão para manter as obrigações de governança