Pular para o conteúdo principal

API SIEM - Tipos e definições de eventos

Bryan Byrne
  • Atualizado

A API SIEM permite consultar eventos relacionados à segurança associados aos seus usuários e à sua organização no Workvivo. Isso ajuda você a monitorar a atividade de login, as ações do usuário e as principais alterações do sistema para fins de segurança e auditoria.

Dispositivo(s): Computador de mesa
Funções/Permissões: Desenvolvedor
Disponibilidade: As APIs devem estar habilitadas na plataforma.

Utilizando a API SIEM

Onde acessar o recurso

O acesso à API do SIEM é feito através dos endpoints da API da Workvivo. Você pode encontrar a documentação completa e os detalhes de acesso aqui: 

Documentação para desenvolvedores da API Workvivo SIEM

Como usar

Você pode consultar a API para recuperar eventos relacionados à segurança. Cada evento contém metadados detalhados para ajudar você a entender qual ação ocorreu, quando ocorreu e qual usuário esteve envolvido.

Cada evento inclui os seguintes campos:

  • created_at_timestamp – A data e hora em que o evento ocorreu.
  • evento – O tipo de evento registrado
  • endereço_ip – O endereço IP associado ao evento
  • user_agent – O dispositivo/navegador usado
  • workvivo_id – O ID de usuário do Workvivo
  • user_email – O endereço de e-mail do usuário em questão
  • Nota – Contexto adicional (quando aplicável)

Tipos de eventos

Abaixo está uma lista de eventos SIEM suportados. A disponibilidade pode variar dependendo da configuração da sua organização.

Eventos de autenticação

  • Conecte-se
    Indica um usuário que fez login por meio de autenticação baseada em senha.
  • loginMobile
    Indica que o usuário fez login por meio de autenticação baseada em senha em um dispositivo móvel.
  • loginSaml
    Indica um usuário conectado via autenticação SAML (SSO).
  • loginSamlFalha
    Indica uma tentativa de login SAML falhada. O campo de notas inclui o e-mail do usuário afetado.
  • loginSamlMobile
    Indica que o usuário fez login via autenticação SAML em um dispositivo móvel.
  • sair
    Indica que o usuário encerrou a sessão no navegador da web.
  • logoutMobile
    Indica que o usuário se desconectou de um dispositivo móvel.

Eventos de MFA (Autenticação Multifator)

  • Redefinição de MFA
    Indica que um administrador redefiniu o token MFA de um usuário. O campo `user_email` reflete o administrador que realizou a ação.
  • Configuração do usuário MFA concluída com sucesso
    Indica que o usuário concluiu com sucesso a configuração da MFA (autenticação multifator).

Eventos de senha

  • O usuário alterou a senha.
    Indica que um usuário alterou sua senha (somente para autenticação baseada em senha).
  • senha
    Indica que um administrador atualizou a senha de um usuário. O campo de observação identifica o usuário afetado.
  • Solicitação de redefinição de senha concluída com sucesso.
    Indica que a solicitação de redefinição de senha foi bem-sucedida.
  • falha na solicitação de redefinição de senha
    Indica uma tentativa falhada de redefinição de senha, geralmente devido a um endereço de e-mail não reconhecido.

Eventos de troca de usuário

  • trocar de usuário
    Indica que um usuário mudou para outra conta (delegação). O campo real_user representa o usuário original.
  • usuário de troca revertido
    Indica que o usuário retornou à sua conta original.

Eventos de sistema e configuração

  • organização
    Indica que uma configuração do sistema foi alterada (por exemplo, fuso horário, marca). O campo user_email identifica quem fez a alteração.
  • Configurações do aplicativo/organização
    Indica atualizações nas configurações do aplicativo em nível organizacional.
  • permissões
    Indica uma alteração nas funções ou permissões do usuário.

Relatando eventos

  • Relatório solicitado pelo usuário activeUsers
    Indica que foi gerado um relatório para usuários ativos.
  • Relatório solicitado pelo usuário: usuários inativos
    Indica que foi gerado um relatório para usuários inativos.

Eventos de conteúdo

  • Classificação de dados
    Indica que um usuário aplicou um rótulo de classificação de dados a um conteúdo, como uma Atualização, Menção Honrosa, Artigo, Página ou Evento.

Informações adicionais

  • Alguns eventos podem não aparecer dependendo da sua configuração de autenticação (por exemplo, SAML versus login baseado em senha).
  • Os eventos relacionados à MFA só se aplicam se a MFA estiver habilitada no Workvivo (e não por meio do seu provedor de identidade externo).

Artigos relacionados