Inicialização
Login
Ao iniciar o aplicativo pela primeira vez, será exibido a tela de login, exigindo a confirmação de E-mail e Senha para poder utilizar o aplicativo. Caso não tenha uma conta ou não se lembre da senha, existe a opção esqueci minha senha para atualizar os dados do usuário. Após ter realizado o login, a tela Início sempre será exibida ao iniciar o aplicativo, a menos que tenha sido realizado o logout pela opção sair. A tela de login será mostrada como na imagem abaixo:
Autenticação Multifator
Após terminar o login pela primeira vez, será exibido um alerta para a ativação de conta por multifator. É recomendado o uso do multifator para manter a segurança da conta ao realizar o login, assim como configurações de bloqueio de tela. O alerta é exibido como na figura abaixo:
Escolha de App
Após ter sido realizado o login pela primeira vez, e ter sido exibido a opção de autenticação, será exibido o Menu de Aplicativos. Este menu permite que o usuário escolha qual aplicativo do SAW ele deseja utilizar: Gestão de Ameaças ou Gestão de Vulnerabilidades. Como mostrado a seguir:
As opções de escolha de aplicativo podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Telas de Gestão de Ameaças
Início
Ao realizar o login com sucesso e escolher a opção de aplicativo Gestão de Ameaças, é obtida a tela Início do aplicativo com as opções de tela: Início, Buscar, Histórico e Favoritos, respectivamente. Mais informações especializadas podem ser vistas na seção Aplicativo Gestão de Ameaças.
Na tela Início são exibidos gráficos e indicadores de SIEM e SOAR, assim como de Tarefas e Acompanhamentos. Alguns gráficos possuem opções de datas e opção de pesquisa. A atualização dos gráficos e indicadores é realizada automaticamente em um intervalo de 5 minutos ou ao arrastar a tela para baixo.
Observação: O valor da data no campo “Atualizado em” se refere à última modificação registrada no banco de dados, e não à data em que o usuário realizou a atualização da tela.
As Categorias de Busca e Domínios (localizado no canto superior direito da tela) podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Buscar
Na tela de Buscas é possível pesquisar por Alertas, Tickets, Incidentes, Log Sources e Regras, utilizando os recursos de busca por voz ou busca por tela, como mostrado na imagem abaixo:
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Histórico
Na seção de Notificações é possível visualizar as notificações-push recebidas e atualizar a página ao arrastar a tela para baixo. Na seção de Buscas é possível ver pesquisas feitas anteriormente, e realizar a busca novamente. Na seção de Acompanhamentos, é possível ver itens que foram escolhidos para acompanhamento.
Favoritos
Na tela de Favoritos, são exibidos os filtros de pesquisas favoritas padrão, com o símbolo de cadeado, como por exemplo contador severidade, e os favoritos customizados, com símbolo de caneta.
Telas de Gestão de Vulnerabilidades
Início
Ao realizar o login com sucesso e escolher a opção de aplicativo Gestão de Vulnerabilidades, é obtida a tela Início do aplicativo com as opções de tela: Vulnerabilidades, Hosts e Scan, respectivamente. Mais informações especializadas podem ser vistas na seção Aplicativo Gestão de Ameaças.
Na tela Início são exibidos gráficos e indicadores referentes ao provedor utilizado (QUALYS ou Tenable). Alguns gráficos possuem opções de datas e opção de pesquisa. A atualização dos gráficos e indicadores é realizada automaticamente em um intervalo de 5 minutos ou ao arrastar a tela para baixo.
Observação: O valor da data no campo “Atualizado em” se refere à última modificação registrada no banco de dados, e não à data em que o usuário realizou a atualização da tela.
As Categorias de Busca e Domínios (localizado no canto superior direito da tela) podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Vulnerabilidades
Na tela de Vulnerabilidades é possível: alterar a visualização dos itens entre Lista e Contador, selecionar a categoria e o método de ordenação dos itens. Ao clicar no filtro na parte inferior direita da tela, um menu será exibido e a filtragem customizada das Vulnerabilidades poderá ser realizada. Por padrão, o filtro de Último Scan do Host estará habilitado com a data dos últimos 30 dias. Mais detalhes podem ser vistos na seção Filtros de Vulnerabilidades. A tela de vulnerabilidades pode ser vista como na imagem abaixo:
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Hosts
Na tela de Hosts, de forma similar a tela de Vulnerabilidades é possível: alterar a visualização dos itens entre Lista e Contador, selecionar a categoria e o método de ordenação dos itens. Ao clicar no filtro na parte inferior direita da tela, um menu será exibido e a filtragem customizada dos Hosts pode ser realizada. Por padrão, o filtro de Período estará habilitado com a opção Escaneados. Mais detalhes podem ser vistos na seção Filtros de Host. A tela pode ser vista como na imagem abaixo:
Scan
Na tela de Scans é possível: selecionar a categoria e o método de ordenação dos itens. Ao clicar no filtro na parte inferior direita da tela, um menu será exibido e a filtragem customizada dos Scans pode ser realizada. Por padrão, o filtro de Período estará habilitado com a data dos últimos 30 dias. Mais detalhes podem ser vistos na seção Filtros de Scans. A tela pode ser vista como na imagem abaixo:
Aplicativo Gestão de Ameaças
Sobre
O SAW pelo aplicativo de Gestão de Ameaças disponibiliza o acesso fácil e atualizado em tempo real do SIEM e SOAR do usuário. Possibilitando filtrar os Alertas, Log Sources, Regras, Tickets e Incidentes para obter suas informações detalhadas e em tempo real.
Edição de Itens
Fechamento de Item
Para Alertas, Tickets e Incidentes, pode ser feito a solicitação de fechamento ao clicar no ícone de lápis à direita da tela na seção Status. Para que a solicitação seja realizada, é obrigatório a escolha de um motivo do fechamento, e de uma nota de fechamento. Como mostrado na imagem abaixo:
Atribuição para Operadores
Os Alertas podem ser atribuídos ao clicar no ícone de um lápis à direita da tela na seção Alocado para em um Alerta e Proprietário em um Ticket ou Incidente. Para Atribuir o item, deve ser escolhido o operador e confirmar, como mostrado na imagem abaixo:
Confirmar Incidente
Os Tickets podem confirmados como Incidente ao clicar no ícone de um lápis à direita da tela na seção Confirmar Incidente e confirmar. Um Incidente é apenas um Ticket que foi possui o seu campo de Confirmado como Verdadeiro. Um exemplo pode ser visto na imagem abaixo:
Inserir Notas
Os Alertas podem ter notas criadas ao expandir a seção de notas do alerta. Essa seção se encontra na parte superior do alerta e ao lado direito de sumário. Caso deseje criar uma nota, clique no ícone + no canto inferior direito da tela. Após escrever a nota clique em salvar, como mostrado nas imagens abaixo:
Visualizar Regras
Os Alertas possuem Regras criadas pelo QRadar para identificar ofensas. Esse item é encontrado na parte inferior do sumário do alerta.
Visualizar Ticket e Alerta equivalente
Os Alertas podem possuir ou não Tickets de equivalência ao alerta caso exista o acesso ao SOAR e, de forma equivalente, um ticket pode possuir um alerta. Essa opção é identificada dentro do próprio item abaixo da opção de domínio, como mostrado na imagem abaixo:
Acompanhamento de Item
Os Alertas, Tickets e Incidentes possuem a opção de acompanhamento, que pode ser ativada ao clicar no ícone de sino. Ao ativar a opção de acompanhamento, novas notas e alterações sobre o item serão recebidas por meio de notificações-push do aplicativo e ficarão presentes no histórico de notificações. Caso o gráfico Acompanhamentos esteja presente na tela Início, as notas mais recentes dos itens com a opção “acompanhamento” ativo serão exibidas nele. Essa opção é identificada no canto superior direito da tela. (Mais informações sobre Acompanhamento serão vistas no item 6.3) Como mostrado na imagem abaixo:
Compartilhamento de Item
Os Alertas, Tickets e Incidentes podem ser compartilhados ao clicar no ícone ao lado esquerdo do ícone de sino. Essa opção é identificada no canto superior direito da tela.
Tipos de Pesquisa
Pesquisa por Voz
Em qualquer tela, ao pressionar o botão de Pesquisa por Voz (ícone vermelho de microfone no centro inferior da tela), ele irá pulsar enquanto o usuário fala o que deseja pesquisar, seja sobre Alertas, Tickets, Incidentes, Log Sources ou Regras. Após terminar o comando, será realizada a pesquisa automaticamente,exibindo seus resultados, caso existam. Pode também ser clicado novamente no ícone de Pesquisa por Voz para finalizar o comando.
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Observação: Para pesquisas relacionadas à operadores é aconselhado o uso da pesquisa por tela, tendo em vista as palavras homófonas que são palavras que possuem a mesma pronúncia, mas são escritas de modo diferente, como por exemplo: Elena e Helena ou Ana e Anna.
Pesquisa por Tela
Para realizar pesquisas por tela, deve primeiro ser escolhido o domínio e a categoria de busca (Alertas, Tickets, Incidentes, Log Sources e Regras), na parte superior da tela. Após escolher o filtro desejado clique no balão de buscas para que a busca seja realizada, no ícone de limpar para apagar os filtros selecionados, ou na estrela para adicionar a pesquisa aos favoritos.
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Filtragem de Itens
O Menu de Buscas funciona como um centro de pesquisas para os itens de SIEM e SOAR. Ele funciona de maneira similar para todas as opções de busca, se diferenciando apenas nas as opções de filtros disponíveis em cada entidade: Alertas, Tickets, Incidentes, Log Sources, Regras. O filtro “Aguardando Cliente” que pode ser selecionado para Alertas e Incidentes está relacionado aos itens que foram notificados ao cliente, ou seja, os itens que estão na Fase de Acompanhamento. As imagens abaixo mostram a tela de buscas para a categoria Alertas:
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Os itens que são retornados em uma busca podem ser divididos em 3 categorias principais: lista, contagem e nenhum resultado. Para Listar, são retornados os itens com suas informações principais resumidas. Para Contar, é retornado uma quantidade numérica dos itens encontrados. Para Nenhum Resultado, é retornado uma mensagem textual que não foram encontrados Alertas no caso de listar, e total encontrado = 0 para o caso contar. Os resultados das buscas podem ser vistos como mostrado nas imagens abaixo:
Histórico
Notificações
Na seção de notificações, são exibidas as notificações enviadas pelo aplicativo, sejam elas sobre novos itens, acompanhamentos ou informações gerais. Caso o item já tenha sido visualizado, à esquerda da notificação o ícone de um envelope fechado, será visto e caso contrário, será visto um ícone de envelope aberto. As informações presentes na seção de notificações apresentam as informações do momento em que foi recebido a notificação, então caso alguma alteração tenha sido realizada no item após a notificação, essa alteração estará presente no item modificado e não no histórico de notificações. Para atualizar as notificações, arraste a tela para baixo. O Histórico de Notificações é como mostrado pela imagem abaixo:
Observação: notificações são automaticamente excluídas após 7 dias.
Buscas
Na seção de buscas, são exibidas as pesquisas realizadas previamente, incluindo a data da pesquisa. Nessa tela é possível realizar ações extras, como: Pesquisar, ao clicar na pesquisa ou arrastando-a para a direita; Apagar a pesquisa clicando no ícone de lixeira ou arrastando para a esquerda; Favoritar, ao clicar no ícone de estrela (apagada); Remover Favorito, ao clicar no ícone de estrela (acesa), como nas imagens a seguir:
Acompanhamento
Na seção de acompanhamento são exibidas as notas mais recentes dos itens acompanhados pelo usuário. Para atualizar a lista de acompanhamentos, arraste a tela para baixo.
É possível pesquisar por itens em acompanhamento utilizando a barra de buscas. Itens em Acompanhamento também podem ser visualizados pelo gráfico de acompanhamentos na tela início. O histórico de acompanhamento é como mostrado pela imagem abaixo:
Favoritos
Padrão
O SAW disponibiliza na tela de favoritos algumas pesquisas que podem ser as mais comuns para uso do aplicativo, como Horário comercial de ontem (buscar Alertas de ontem entre 14 e 18 horas), como na imagem a seguir:
Customizados
Os favoritos customizados podem ser adicionados ou removidos de diversas maneiras pelo aplicativo. Ao realizar uma pesquisa, ela aparece no topo da tela de buscas junto de um ícone de estrela (acesa ou não), e ao clicar no ícone, caso esteja apagada (cinza) ele fica da cor amarela, e caso esteja acesa (amarela) ela fica cinza. Todas as pesquisas com o ícone de estrela aceso simbolizam que ela é uma pesquisa que está nos favoritos, e se estiver apagada, significa que não está nos favoritos. Podem também ser feitos os mesmos procedimentos de outras telas, ou seja, clicando no ícone de estrela pela tela buscas, histórico ou favoritos.
Gestão de Vulnerabilidades
Sobre
O SAW pelo aplicativo de Gestão de Vulnerabilidades disponibiliza o acesso fácil e atualizado em tempo real ao ambiente de Qualys ou Tenable do usuário. Possibilitando filtrar As Vulnerabilidades, Hosts e Scans de seus ambiente obtendo suas informações detalhadas em tempo real. Existem também diversos gráficos e indicadores para se manter atualizado sobre o estado do ambiente de uma maneira simplificada.
Filtragem de Itens
Filtragem de Itens
A filtragem de itens no aplicativo de Gestão de Vulnerabilidade funciona de maneira similar para todas as telas de busca disponíveis, se diferenciando apenas nas as opções de filtros disponíveis em cada entidade: Vulnerabilidades, Hosts, Scans. Existe também a possibilidade de selecionar a forma de ordenação, o filtro de ordenação e a forma de visualização (lista ou contagem). As imagens abaixo mostram a tela de buscas para cada uma das telas:
Detalhes de Item
Detalhes de Vulnerabilidade
Ao escolher uma Vulnerabilidade e abrir seus detalhes, as informações serão divididas em duas seções: Detalhes e Análise. Pelo seu título é possível verificar a CVE relacionada (MITRE ou NIST). A seção de Detalhes é um espelho das informações vistas na tela anterior, e a seção de Análise possui outras informações relacionadas ao item, como: Explorabilidade, Referência do Fornecedor, Malwares, Impacto e Solução, CVSS e Hosts Afetados. O detalhamento do item pode ser visto imagens abaixo:
Detalhes de Hosts
Ao escolher um Host e abrir seus detalhes, as informações serão divididas em quatro seções: Identificação do Host, Registro de Atividades, Análise de Risco e Vulnerabilidades Detectadas. A seção de Identificação do Host possui o detalhamento completo das informações do Host, a seção de Registro de Atividades possui o resumo das últimas ações realizadas no Host escolhido, a análise de risco mostra a relação de segurança do Host, e a seção de Vulnerabilidades Detectadas exibe a contagem de Vulnerabilidades por Severidade que o Host possuiu em seu último Scan. O detalhamento do item pode ser visto imagens abaixo:
Detalhes de Scan
Ao escolher um Scan e abrir seus detalhes, as informações serão divididas em três seções: Identificação do Scan, Análise de Resultados e Hosts. A seção de Identificação do Scan possui o detalhamento completo das informações do Scan realizado, a seção de Análise de resultados exibe a contagem de Vulnerabilidades por Severidade que o Scan identificou, e a seção de Hosts permite que os Hosts escaneados sejam acessados. O detalhamento do item pode ser visto imagens abaixo:
Menu de Navegação
Acessando
Existem duas maneiras para abrir o menu de navegação. A primeira maneira é ao clicar no ícone do menu de navegação (3 linhas horizontais no canto superior esquerdo) e a segunda maneira é arrastando a tela do aparelho, do canto esquerdo para a direita. Para fechar, basta arrasta-lo para a sua lateral de origem ou clicar fora dele.
Meu Perfil
Ao clicar no nome do usuário ou foto/sigla de perfil, a tela de perfil de usuário será exibida. Nessa tela, é possível alterar as informações de nome e telefone, assim como a foto de perfil. Para realizar uma troca de e-mail, contate o suporte ao usuário e realize a requisição de troca de e-mail. A tela é como na imagem abaixo:
Preferências
Geral
Ao clicar em Configurações > Preferências, será exibido uma tela com as chaves de receber notificações por dispositivo e e-mail. A opção de receber por dispositivo está relacionada as categorias Alertas, Tickets e Incidentes. A opção de receber notificações por e-mail está relacionada ao companhamento de itens.
O idioma do aplicativo pode ser alterado entre inglês e português.
Os logs de uso possuem o papel de auxiliar a equipe de suporte em caso de feedback de uso do aplicativo. A tela é como na imagem abaixo:
Algumas das opções exibidas podem ou não estar presentes para o usuário, dependendo de suas permissões de uso do aplicativo.
Notificações
Dentro de preferências, as opções de notificações são vistas como novos itens e não atribuídos. Deixe a chave de receber notificações no modo ligado e configure os temporizadores de notificações da maneira que preferir. A opção de receber notificações por e-mail está relacionada ao acompanhamento de itens. A de notificações do aplicativo de Gestão de Vulnerabilidades pode ser acessada pelo Menu de Navegação. A imagem abaixo mostra um menu já configurado:
Algumas das opções exibidas podem ou não estar presentes para o usuário, dependendo de suas permissões de uso do aplicativo.
Segurança
Ao clicar em Configurações > Segurança, será exibido uma tela com algumas opções de segurança de conta, sendo elas configurações de bloqueio de tela e configurações de autenticação. A tela de segurança é como na imagem abaixo:
Para as opções de bloqueio de tela, são exibidas as opções de segundo plano, que bloqueia o aplicativo ao sair dele e retornar, alternar conta, que bloqueia o aplicativo ao alterar entre contas conectadas, e por inatividade, que bloqueia o aplicativo após um tempo configurado sem atividade. O bloqueio do aplicativo pode ser visualizado na imagem abaixo:
Para as opções de segurança, o aplicativo conta com a troca de senha e configuração de autenticação multifator. As telas de configuração de autenticação multifator podem ser vistas abaixo:
Gestão de Ameaças
Log Sources
Ao clicar em SIEM > Log Sources, será exibido uma tela com todos os Log Sources. No canto superior direito da tela se encontram 4 opções de filtro de pesquisas: sem filtro, ativo, ativo com erro, inativo, como nas imagens abaixo:
Algumas das opções exibidas podem ou não estar presentes para o usuário, dependendo de suas permissões de uso do aplicativo.
Regras
Ao clicar em SIEM > Regras, será exibido uma tela com todas as Regras. No canto superior direito da tela se encontram 3 opções de filtro de pesquisas: todos os status, ativo, inativo, como nas imagens abaixo:
Algumas das opções exibidas podem ou não estar presentes para o usuário, dependendo de suas permissões de uso do aplicativo.
Tickets
Ao clicar em SOAR > Tickets, será exibido uma tela com todos os Tickets. No canto superior direito da tela se encontram 3 opções de filtro de pesquisas todos os status, ativo e fechado, como nas imagens abaixo:
Algumas das opções exibidas podem ou não estar presentes para o usuário, dependendo de suas permissões de uso do aplicativo.
Incidentes
Ao clicar em SOAR > Incidentes, será exibido uma tela com todos os Incidentes. No canto superior direito da tela se encontram 3 opções de filtro de pesquisas todos os status, ativo e fechado, como nas imagens abaixo:
Algumas das opções exibidas podem ou não estar presentes para o usuário, dependendo de suas permissões de uso do aplicativo.
Indicadores
Ao clicar em Configurações > Indicadores, será exibido uma tela com todos os gráficos e indicadores presentes na tela de início. Para configurar o que é exibido, clique em Adicionar Indicadores, selecione as opções desejadas e clique em salvar. Para reordenar os indicadores, aperte e segure na opção desejada e a arraste para cima ou para baixo. A tela de indicadores é como na imagem abaixo:
Algumas das opções exibidas podem ou não estar presentes para o usuário, dependendo de suas permissões de uso do aplicativo.
Tutorial
O Tutorial pode ser visto novamente a qualquer momento, com ou sem conexão com a internet. Caso seja necessário ver novamente alguma informação, ou haja alguma dúvida sobre o funcionamento do SAW, a opção Tutorial se encontra no menu de navegação, dentro da aba de Ajuda.
Algumas das opções exibidas podem ou não estar presentes para o usuário, dependendo de suas permissões de uso do aplicativo.
Gestão de Vulnerabilidades
Notificações
O aplicativo de Gestão de Vulnerabilidades não possui uma tela inicial para visualizar as notificações recebidas. Para visualizar o Histórico de Notificações de Gestão de Vulnerabilidades é necessário utilizar o Menu de Navegação. Como mostrado na imagem abaixo:
Indicadores
Os Gráficos e Indicadores do aplicativo de Gestão de Vulnerabilidades pode ser acessado ao clicar no ícone de engrenagem, diretamente da Tela de Início encontrado ao lado da caixa de Atualização de página. Como mostrado abaixo:
Suporte
Suporte
Ao clicar em Ajuda > Suporte, será exibido uma tela com opções de feedback de uso do aplicativo. Para um feedback relacionado a Problemas, é aconselhado que a opção de logs de uso esteja ativa, para que seja possível um melhor entendimento do problema encontrado pela equipe de suporte, como nas imagem abaixo:
Algumas das opções exibidas podem ou não estar presentes para o usuário, dependendo de suas permissões de uso do aplicativo.
Sair
Para Sair com o seu usuário do aplicativo, abra o Menu de Navegação e clique na opção Gerenciar Usuários. Será exibido então as opções de Trocar de Contas, ao clicar em outro usuário (também é possível realizar a troca diretamente pelo Menu de Navegação). Entrar com Nova Conta, realizando o login, ou Remover uma conta, pelo ícone de saída à direita do usuário. Existe também a opção de Desconectar Todas as Contas. A tela é como mostrado nas imagens a seguir:
Erros
Falta de conexão com internet
O SAW é um aplicativo dependente da conexão com a internet, então não é possível fazer pesquisas ou mudar configurações sem que haja conexão com a internet. A qualquer momento que haja perda de conexão, será exibido uma mensagem no canto inferior da tela ou a própria tela exibirá a mensagem. Para voltar a utilizar o SAW, reconecte-se a internet. As imagens abaixo exibem telas do aplicativo sem a conexão com a internet:
