feat(windows): Alerta de Falhas de Login otimizado para N1/N2
- Adicionado pré-processamento JavaScript ao item 'eventlog[Security,,,,4625]'
para limpar o log bruto e exibir apenas campos críticos:
Usuário, Domínio, Estação, IP de Origem e Motivo da Falha.
- Descrição da trigger '👮 Windows: Possível Brute Force' atualizada
com seções de Impacto e Ação, guiando o técnico passo-a-passo.
- Documentação regenerada com 'generate_template_docs.py'.
- Template validado com 'validate_zabbix_template.py'.
This commit is contained in:
parent
ad01642166
commit
e36b1c532c
|
|
@ -602,6 +602,32 @@ zabbix_export:
|
||||||
key: eventlog[Security,,,,4625]
|
key: eventlog[Security,,,,4625]
|
||||||
delay: 1m
|
delay: 1m
|
||||||
value_type: LOG
|
value_type: LOG
|
||||||
|
preprocessing:
|
||||||
|
- type: JAVASCRIPT
|
||||||
|
parameters:
|
||||||
|
- |
|
||||||
|
var accountName = "N/A";
|
||||||
|
var accountDomain = "N/A";
|
||||||
|
var workstation = "N/A";
|
||||||
|
var sourceIP = "N/A";
|
||||||
|
var reason = "N/A";
|
||||||
|
|
||||||
|
var accountMatch = value.match(/Account For Which Logon Failed:[\s\S]*?Account Name:\s+([^\r\n]+)/);
|
||||||
|
if (accountMatch) accountName = accountMatch[1].trim();
|
||||||
|
|
||||||
|
var domainMatch = value.match(/Account For Which Logon Failed:[\s\S]*?Account Domain:\s+([^\r\n]+)/);
|
||||||
|
if (domainMatch) accountDomain = domainMatch[1].trim();
|
||||||
|
|
||||||
|
var workstationMatch = value.match(/Network Information:[\s\S]*?Workstation Name:\s+([^\r\n]+)/);
|
||||||
|
if (workstationMatch) workstation = workstationMatch[1].trim();
|
||||||
|
|
||||||
|
var ipMatch = value.match(/Source Network Address:\s+([^\r\n]+)/);
|
||||||
|
if (ipMatch) sourceIP = ipMatch[1].trim();
|
||||||
|
|
||||||
|
var reasonMatch = value.match(/Failure Reason:\s+([^\r\n]+)/);
|
||||||
|
if (reasonMatch) reason = reasonMatch[1].trim();
|
||||||
|
|
||||||
|
return "👤 Usuário: " + accountName + "\n🏢 Domínio: " + accountDomain + "\n💻 Estação: " + workstation + "\n🌍 Origem: " + sourceIP + "\n❌ Motivo: " + reason;
|
||||||
description: Monitora o Event ID 4625 (Logon falhou) no log de Segurança.
|
description: Monitora o Event ID 4625 (Logon falhou) no log de Segurança.
|
||||||
tags:
|
tags:
|
||||||
- tag: component
|
- tag: component
|
||||||
|
|
@ -612,7 +638,17 @@ zabbix_export:
|
||||||
name: '👮 Windows: Possível Brute Force (Falhas de Login)'
|
name: '👮 Windows: Possível Brute Force (Falhas de Login)'
|
||||||
event_name: '👮 Windows: 5+ Falhas de Login em 2m'
|
event_name: '👮 Windows: 5+ Falhas de Login em 2m'
|
||||||
priority: HIGH
|
priority: HIGH
|
||||||
description: Foram detectadas múltiplas falhas de login (Event ID 4625) em curto período.
|
description: |
|
||||||
|
Foram detectadas múltiplas falhas de login (Event ID 4625) em curto período.
|
||||||
|
|
||||||
|
📉 **Impacto**:
|
||||||
|
Pode indicar uma tentativa de ataque de força bruta ou, mais comumente, um serviço/aplicação com credenciais antigas tentando autenticar repetidamente. Isso pode bloquear a conta do usuário no AD.
|
||||||
|
|
||||||
|
🛠️ **Ação (N1/N2)**:
|
||||||
|
1. Verifique o campo "Account Name" e "Workstation Name" no log abaixo.
|
||||||
|
2. Se for um *usuário*, contate-o para verificar se ele trocou a senha recentemente e esqueceu de atualizar no celular/tablet.
|
||||||
|
3. Se for um *serviço*, verifique tarefas agendadas ou serviços do Windows com credenciais inválidas.
|
||||||
|
4. Se o "Source Network Address" for externo, bloqueie o IP no Firewall imediatamente.
|
||||||
discovery_rules:
|
discovery_rules:
|
||||||
- uuid: c05c8d1be5614ffab1688cc92db32f12
|
- uuid: c05c8d1be5614ffab1688cc92db32f12
|
||||||
name: Descoberta de interfaces de rede
|
name: Descoberta de interfaces de rede
|
||||||
|
|
|
||||||
Loading…
Reference in New Issue