Inicialização
Login
Ao iniciar o site, será exibido a tela de login, exigindo a confirmação de E-mail e Senha para poder utilizar os seus serviços. Após ter realizado o Login, a tela Início sempre será exibida ao entrar no site, a menos que tenha sido realizado o Logout pela opção Sair. A tela de login será mostrada como na imagem abaixo:
Autenticação Multifator
Após finalizar o login, (caso esteja ativado) será exibido um alerta de autenticação de conta por Multifator. É recomendado o uso do Multifator para manter a segurança da conta ao realizar o Login. O alerta é exibido como na figura abaixo:
Dashboard
Ao realizar o login com sucesso, é obtida a tela Centro de Início, com o Dashboard, onde são exibidos gráficos para a análise de seu ambiente.
SIEM x SOAR
Esse indicador é um gráfico de barras onde é mostrado um paralelo entre o número de ações no SIEM e as ações no SOAR separadas por domínio.
Utilização do SAW
Nesse indicador, é mostrado em um gráfico de linhas a quantidade de ações totais realizadas no SAW, divididas por domínios e datas.
Últimas Operações
Esse indicador mostra uma tabela com as últimas operações dos usuários no período selecionado. Essa tabela conta com alguns dados extras, sendo eles o usuário juntamente com seu domínio padrão, a versão utilizada pelo usuário e a data/hora da última operação do usuário.
A tabela possui mais duas opções. Ao clicar na linha de um usuário, um novo gráfico de barras é exibido com um paralelo de ações de SIEM e SOAR realizadas por ele. Outra ação possível é acessar o relatório de usuário diretamente pela tabela clicando no botão de lupa na última coluna de cada linha. O relatório será carregado com filtros para o usuário selecionado.
Tempo sem Atividade
Esse indicador mostra uma tabela com o tempo dos usuários sem atividade no período selecionado.
Gestão de Ameaças - SIEM
A tela de SIEM possui a opção de Indicadores e Listagem de Alertas. Os indicadores relacionados ao ambiente SIEM, com o indicador Aguardando Cliente e o indicador Acompanhamento. A tela de buscas com as opções de Listar e Contar alertas. Atenção ao horário de Última Atualização, que mostra o período em que os dados foram atualizados pela última vez.
Alertas por Severidade
O indicador de Alertas Abertos/Fechados por Severidade mostra em formato de gráfico a quantia de Alertas e suas severidades, tanto abertos quanto fechados em seus gráficos respectivos. Esse indicador possui uma busca direta ao clicar na opção “Ver na listagem de alertas”.
Tempo Médio de Encerramento de Alertas
O indicador de Tempo Médio de Encerramento de Alertas mostra o tempo médio de encerramento dentro do período especificado pela busca na parte superior da tela de Indicadores SIEM.
Atribuição de Alertas
O indicador de Atribuição de Alertas mostra em formato de gráfico a quantia de Alertas Atribuídos e Não Atribuídos em seus gráficos respectivos. Esse indicador possui uma busca direta ao clicar na opção “Ver na listagem de alertas”.
Total de Alertas por Mês
O indicador de Total de Alertas por mês mostra em formato de gráfico a quantia de Alertas dentro de um intervalo escolhido dentro do proprio indicador com as opções de tempo de 3, 6 ou 12 meses. Esse indicador possui uma busca direta ao clicar na opção “Ver na listagem de alertas”.
Alertas Aguardando Cliente
O indicador de Alertas Aguardando Cliente está relacionado aos alertas que foram notificados ao cliente. Esse indicador possui filtros de pesquisa assim como uma busca direta ao clicar na opção “Ver na listagem de alertas”.
Alertas em Acompanhamento
O indicador de Acompanhamento está relacionado aos alertas que foram marcados para acompanhamento pelo aplicativo SAW | Security Anywhere. Esse indicador possui uma busca direta ao clicar na opção “Ver na listagem de alertas”.
Personalizar Indicadores
Os indicadores SIEM podem ser customizados em sua ordem assim como quais indicadores serão exibidos pela opção de Personalizar, identificada na parte superior da página, abaixo da Seleção de Período.
Listagem de Alertas
A tela de Buscas SIEM é dividida em duas partes distintas, listar e contar, cada uma com filtros diferentes para escolha. Existe a possibilidade de filtragem dos alertas por “ID do Alerta”, “Operadores”, “Severidades”, “Status”, “Período” e “Aguardando cliente”. O filtro “Aguardando cliente” está relacionado aos alertas que foram notificados ao cliente.
Contador de Alertas
O Contador de Alertas funciona de maneira similar a Listagem de Alertas, possuindo os mesmos filtros. O resultado retornado estará de acordo com a opção de agrupamento escolhida, seja ela por Operadores, Severidades ou Status.
Gestão de Ameaças - SOAR
A tela de SOAR possui a opção de Indicadores, Listagem de Tickets e Listagem de Incidentes. Os indicadores relacionados ao ambiente SOAR, com o indicador “Aguardando Cliente” e o indicador “Acompanhamento”. A tela de buscas com as opções de “Listar” e “Contar” Tickets ou Incidentes. Atenção ao horário de Última Atualização, que mostra o período em que os dados foram atualizados pela última vez.
Tickets por Severidade
O indicador de Tickets Abertos/Fechados por Severidade mostra em formato de gráfico a quantia de Tickets e suas severidades, tanto abertos quanto fechados em seus gráficos respectivos. Esse indicador possui uma busca direta ao clicar na opção “Ver na listagem de tickets”.
Incidentes por Severidade
O indicador de Incidentes Abertos/Fechados por Severidade mostra em formato de gráfico a quantia de Incidentes e suas severidades, tanto abertos quanto fechados em seus gráficos respectivos. Esse indicador possui uma busca direta ao clicar na opção “Ver na listagem de incidentes”.
Incidentes Aguardando Cliente
O indicador de Incidentes Aguardando Cliente está relacionado aos incidentes que foram notificados ao cliente. Esse indicador possui filtros de pesquisa assim como uma busca direta ao clicar na opção “Ver na listagem de incidentes”.
Tickets/Incidentes em Acompanhamento
O indicador de Acompanhamento está relacionado aos Tickets ou Incidentes que foram marcados para acompanhamento pelo aplicativo SAW | Security Anywhere. Esse indicador possui filtros de pesquisa assim como uma busca direta ao clicar na opção “Ver na listagem de tickets/incidentes”.
Personalizar Indicadores
Os indicadores SOAR podem ser customizados em sua ordem assim como quais indicadores serão exibidos pela opção de Personalizar, identificada na parte superior da página, abaixo da Seleção de Período.
Listagem de Tickets
A tela de Buscas de Tickets é dividida em duas partes distintas, listar e contar, cada uma com filtros diferentes para escolha. Existe a possibilidade de filtragem dos tickets por “ID do Ticket”, “ID do Alerta”, “Operadores”, “Severidades”, “Fases”, “Tipos”, “Status” e “Período”.
Contador de Tickets
O Contador de Tickets funciona de maneira similar a Listagem de Tickets, com o agrupamento sendo feito por sua severidade, e os filtros disponíveis de “Operadores”, “Fases”, “Tipos”, “Status” e “Período”.
Listagem de Incidentes
A tela de Buscas de Incidentes é dividida em duas partes distintas, listar e contar, cada uma com filtros diferentes para escolha. Existe a possibilidade de filtragem dos incidentes por “ID do Incidente”, “ID do Alerta”, “Operadores”, “Severidades”, “Fases”, “Tipos”, “Status”, “Período” e “Aguardando cliente”. O filtro “Aguardando cliente” está relacionado aos incidentes que foram notificados ao cliente.
Contador de Incidentes
O Contador de Incidentes funciona de maneira similar a Listagem de Incidentes, com o agrupamento sendo feito por sua severidade, e os filtros disponíveis de “Operadores”, “Fases”, “Tipos”, “Status” e “Período”.
Gestão de Vulnerabilidades
As telas de Gestão de Vulnerabilidades possuem as opções de Listagem de Hosts, Listagem de Scans e Listagem de Vulnerabilidades.
Listagem de Hosts
A tela de Listagem de Hosts possui opções com possibilidade de filtragem dos Hosts por “ID da Vulnerabilidade”, “IP do Host”, “DNS”, “Sistema Operacional”, “Grupos”, “CVEs”, “Networks” e “Hosts sem scan”.
Listagem de Scans
A tela de Listagem de Scans possui opções com possibilidade de filtragem dos Scans por “Descrição”, “Referência”, “IP do Host”, “Prioridade”, “Status do Scan”, “Usuários” e “Data do Scan”.
Listagem de Vulnerabilidades
A tela de Listagem de Vulnerabilidades possui opções com possibilidade de filtragem das Vulnerabilidades por “ID da Vulnerabilidade”, “CVEs”, “IP do Host”, “Severidades”, “Tipos”, “Data do Scan”, e “Categorias”.
Meu Usuário
Clicando em sua foto de perfil no cabeçalho da página, um menu se abrirá. Acesse configurações para ter acesso às opções de edição de perfil.
Meu Perfil
Nessa seção, é possível fazer algumas alterações em seu usuário. Os campos disponíveis para edição são Nome, Nome do Meio, Sobrenome e Telefone. A foto de perfil pode ser alterada apenas pelo aplicativo.
Segurança
Nessa seção é possível efetuar o cadastro da autenticação de dois fatores da sua conta, tanto para e-mail quanto para celular. Lembrando que essa opção também é acessível pelo aplicativo SAW.
Gerenciar Usuários
Listagem de Usuários
Com usuários criados no Tenant, é exibido uma tabela com as informações de nome, e-mail, telefone, status, ,data de criação, configuração de envio de notificações, perfil de acesso e ações. Nessa tela também é possível ter acesso a informação de licenças utilizadas x total de licenças, além da opção de exportar a lista de usuários.
Exportar Usuários
A tabela de listagem de usuários também conta com um botão para exportar as informações dos mesmos em um .CSV.
Criar Usuário
Através da tela de listagem de usuários é possível criar um novo usuário clicando no ícone de Novo, logo acima da tabela. Ao ser selecionando, uma tela irá se abrir onde será possível efetuar a criação.
A criação do usuário é dividida em três seções:
Na primeira seção, serão cadastrados os dados pessoais e perfil de acesso.
Na segunda, serão definidos os domínios que esse usuário terá acesso.
Por último será perguntado se deseja enviar um senha inicial para o usuário no momento em que for ativado.
Editar Usuário
A tabela de listagem de usuários possui uma coluna de ações. Uma dessas ações é a edição de usuário, que pode ser acessada clicando no ícone de lápis. Nessa tela poderão ser editados todos os dados do usuário, com exceção do e-mail.
Bloquear/Ativar Usuário
Outra ação disponível é a de bloquear ou ativar o usuário. Caso ele esteja com o status pendente ou bloqueado, ficará disponível a opção de ativá-lo, Caso contrário, a opção de bloquear ficará disponível. Essa opção encontra-se do lado direito do botão de editar.
Habilitar MFA
Caso o usuário não possua uma autenticação de dois fatores habilitada, é possível realizar a solicitação através do botão com o ícone de cadeado nas ações disponíveis. Caso o usuário possua um telefone cadastrado, será possível cadastra-lo pelo painel.
Enviar Senha Temporária
Ainda na coluna de ações, clicando na seta para baixo um menu com mais duas opções de abrirá. Uma dela é o envio de uma senha temporária para o usuário. Ao selecionar essa opção, uma nova senha com validade de duas horas será enviada para o e-mail do usuário cadastrado.
Expirar Senha
A segunda opção dentro do menu de mais ações é a ação de expirar senha do usuário. Essa ação faz com que a senha do usuário seja invalidada e ele necessite criar uma nova para acessar o SAW.
Perfis de Acesso
Listagem de Perfis
O gerenciamento de perfis de acesso pode ser acessado pelo menu lateral. Na opção usuário, no menu que irá se abrir, escolha a opção Gerenciar Perfis. Todas os Domínios e ações do usuário dentro do SAW são controladas pelas permissões definidas pelo perfil de acesso que o usuário possui.
Nessa tela estarão listados todos os perfis criados para o seu tenant. Perfis com o símbolo de cadeado são apenas perfis de exemplo e não podem ser utilizados e/ou modificados, sendo necessário que um perfil seja criado para que seja possível a atribuição de um perfil para os usuários do Tenant.
Criar Perfil
Na tela de gerenciamento de perfis também é possível criar um novo perfil de acesso. Clicando no menu Criar Perfil logo abaixo da listagem, duas opções se abrirão, a de criar um Novo perfil e a de Copiar perfil existente. A opção de copiar um perfil existente preenche todos os campos com as mesmas configurações do perfil selecionado com execeção do nome do perfil, enquanto a opção de novo perfil inicia com os campos todos em branco.
Editar Perfil
Todos os perfis listados e que não possuírem o cadeado podem ter seus campos editados.
Tenant
Através do menu lateral, clicando no botão com ícone de prédio, uma nova página será carregada com as informações de cadastro do tenant. Estas informações poderão ser alteradas mediante permissão concedida ao usuário pelo perfil de acesso.
Meu Tenant
Na aba Informações do tenant estarão disponíveis as opções Razão Social, Nome Fantasia, CNPJ, Idioma, Nome Pronunciável, Nome do Responsável, E-mail de Contato e Telefone.
Segurança
Essa configuração define se os usuários cadastrados no tenant deverão obrigatoriamente cadastrar uma opção de autenticação de dois fatores para utilização do aplicativo. Caso um usuário não tenha configurado, essa opção aparecerá no momento de login.
Política de Senha
Nessa opção ficará definido o tempo de validade da senha dos usuários. Após esse período de tempo, o usuário deverá efetuar a troca da senha e o tempo de validade será reiniciado.
Notificações
Nesta seção, o administrador do tenant poderá definir uma configuração padrão para cada tipo de notificação, sendo ela de SIEM ou SOAR. Essas configurações ficam como padrão para cada usuário cadastrado no tenant caso ele não tenha definido uma para si.
Na configuração de Notificação por Push é possível definir, para cada severidade, um padrão diferente. É possível ativar/desativar notificações para novos alertas, tickets ou inicidentes, e para os não atribuídos é possível alterar a frequência de tempo para que uma determinada notificação seja enviada.
Na configuração de Notificação por Voz, também é possível definir, para cada severidade, um padrão diferente. É possível ativar/desativar notificações para novos alertas, tickets ou inicidentes, e para os não atribuídos é possível alterar a frequência de tempo para que uma determinada notificação seja enviada. Porém, também é necessário adicionar um contato para ser notificado. Apenas usuários com autenticação de dois fatores ativada são selecionáveis.
Notas por E-mail
Nesta seção, o administrador do tenant poderá definir uma configuração de envio de Notas por E-mail e também uma Blacklist de envio.
A configuração de Destinatários permite que no momento em que uma Nota seja inserida em algum item de seu ambiente, essa nota será enviada para o e-mail dos Destinatários inseridos.
É possível estabelecer a partir da Blacklist quais os domínios de email que não dispararão os e-amils em caso de adição de uma nota.
Autenticação
Caso seu tenant possui autenticação por outros provedores, algumas configurações devem ser adicionadas nessa seção. Os campos são o ID do Provedor, um Perfil Padrão, um Domínio Padrão e os Domínios Permitidos.
O ID do Provedor é um identificador único encontrado dentro das configurações do provedor.
No momento que o usuário realiza o primeiro login no SAW, são adicionadas algumas configurações extras para que o usuário consiga utilizá-lo, sendo esta ação realizada de maneira automatizada. Com isso, é necessário que existam valores predefinidos para o Perfil Padrão, que define o perfil de acesso padrão dos usuários, e o Domínio Padrão e os Domínios Permitidos que ele poderá ter acesso.
Atualização de Cache
O SAW possui um sistema de armazenamento de informações que é atualizado automaticamente de forma diária. Para atualizar as informações de forma imediata basta realizar ela a partir da configuração de Atualização de Cache.
Gestão de Ameaças - SIEM
Nessa seção são adicionados todos os parâmentros necessários para a conexão com a ferramente de SIEM, sendo obrigatórios os campos de tipo do provedor, url do provedor, token de acesso, e versão.
Caso a opção de Syslog seja habilitada, as configurações de IP, porta e protocolo tornam-se obrigatórias também
Gestão de Ameaças - SOAR
De forma semelhante como na seção anterior, nesta seção veremos os parâmetros de configuração SOAR. É necessário preencher todas as informações da categoria Básico e de Provedor da organização. Caso necessário, pode ser efetuada a ativação de protocolos HTTP, adição de Razões de Fechamento e/ou Fases de Acompanhamento.
Configurações de Severidades SOAR
Nessa seção é efetuado o gerenciamento das severidade do SOAR. Através do botão de Sincronizar é possível sincronizar as informações atuais com as presentes no SOAR.
Para cada severidade presente é possível alterar sua cor e sua ordem. Essa alteração tem reflexo direto dentro dos indicadores do SOAR no SAW, tais como cor e ordem das barras e cor das severidades nos detalhes de ticket e incidentes.
Configurações de Informações de VMDR
De forma semelhante como nas seções de SIEM e SOAR, nesta seção veremos os parâmetros de configuração VMDR. É necessário preencher todas as informações da categoria Provedor. Caso necessário, pode ser efetuada a ativação de protocolos de Conexão e HTTP.
Configurações de Categorias VMDR
Nessa seção é efetuado o gerenciamento das Categorias das Vulnerabilidades. Essa configuração possui impacto direto na aplicação SAW, ao utilizar o filtro de Categorias para pesquisar sobre Vulnerabilidades.
Configurações de Severidades VMDR
Nessa seção é efetuado o gerenciamento das severidade do VMDR de maneira similar ao modo feito para SOAR. Para cada severidade presente é possível alterar sua cor. Essa alteração tem reflexo direto nos itens do aplicativo SAW.
Relatórios
Os relatórios do sistema são acessíveis através do menu lateral, clicando no ícone de planilha. No menu que se abrirá estarão presentes os relatórios disponíveis.
Todos os relatórios também contam com um botão para exportar as informações dos mesmos em um .CSV.
Acessos
O relatório de Acessos mostra de maneira detalhada as ações efetuadas por todos os usuários do tenant no SAW. É possível aplicar filtros de domínio, e-mail de usuário, período de tempo fixo ou personalizado, provedores, nome do evento, categoria e perfil de acesso.
Notificações
O relatório de Notificações mostra de maneira detalhada todas as notificações enviadas para usuários do tenant no SAW. É possível aplicar filtros de Domínio, E-mail de usuário, Período de tempo fixo ou personalizado, meio de envio, tipo da notificação, ID do recurso notificado e status.
