Sem resumo de edição |
|||
| (42 revisões intermediárias por 4 usuários não estão sendo mostradas) | |||
| Linha 1: | Linha 1: | ||
= Escopo = | = Escopo = | ||
<br> | <br> | ||
* O monitoramento e resposta ativa nos ambientes de firewall podem evoluir rapidamente com Wazuh, visando reduzir tentativas de acesso indevido e endurecer a borda de rede. Este projeto formaliza uma automação que: | |||
** Extrai logins bem-sucedidos de um firewall específico via Wazuh e FireGateway (script s1). | |||
** Aplica regras de geoblocking (bloqueio de todas as faixas fora do Brasil) e permite IPs autenticados (lista l) no firewall (script s2). | |||
** Dispara s1/s2 automaticamente quando o Wazuh detectar x logins errados em um firewall gerenciado por nós (regra de trigger). | |||
<br> | |||
= Requisitos = | = Requisitos = | ||
| Linha 9: | Linha 13: | ||
<br> | <br> | ||
* RF01: | * RF01: Implementar um script que consulte os códigos de status das tentativas de acesso a um firewall específico, e retorne a lista dos IPs bem sucedidos, fora do Brasil. | ||
** Davi | |||
<br> | |||
* RF02: Criar uma regra de trigger que aplique os bloqueios de IP a todos os firewalls | |||
<br> | |||
* RF03: Implementar uma função que aplique num determinado firewall uma regra de bloqueio para todas as faixas de IP fora do Brasil, incluindo uma lista de exceções que serão permitidas | |||
** Samuel | |||
<br> | |||
* RF04: Desenvolver uma função que libere todos os IPs bem sucedidos fora do Brasil. | |||
** ?? | |||
<br> | |||
== Requisitos Não-Funcionais == | |||
<br> | |||
* RNF01: Montar ambiente de simulação com firewall teste e instância do Wazuh | |||
** Algar | |||
<br> | |||
RNF01- Ambiente de Simulação: O desenvolvimento deve ser validado pre | |||
liminarmente em um ambiente controlado, contendo um firewall de teste e uma | |||
instância isolada do Wazuh, garantindo que as regras de bloqueio não causem in | |||
disponibilidade em produção acidentalmente. | |||
<br> | <br> | ||
• RNF02-Desempenho da Resposta: Aexecução dos scripts de bloqueio (Active | |||
Response) deve ocorrer em tempo hábil (sugestão: ¡ 60 segundos) após a detecção | |||
do gatilho pelo Wazuh. | |||
<br> | <br> | ||
• RNF03- Modularidade dos Scripts: Os scripts (S1 e S2) devem ser modulares | |||
para facilitar a manutenção, separando a lógica de consulta de logs da lógica de | |||
aplicação de regras no firewall. | |||
<br> | <br> | ||
• RNF04-Auditoria: Toda ação de bloqueio ou liberação realizada pela automação | |||
deve gerar um log de auditoria no próprio Wazuh para rastreabilidade. | |||
= Cronograma = | = Cronograma = | ||
<br> | <br> | ||
{| class="wikitable" | |||
|- | |||
!RF!!Descrição!! Início !! Tempo em dias !! Data Real entrega !! Maker !! % | |||
|- | |||
|01||Identificar ataques no firewall || || 8 || || Davi Faria|| 0% | |||
|- | |||
|02||Criar inspeção do ambiente de firewall || || 6 || || Davi Faria|| 1% | |||
|- | |||
|03||Inibir o sistema para acesso fora do Brasil || || 5 || || Samuel Andrade|| 0% | |||
|- | |||
|04||Liberar IPs fora do Brasil || || 5 || || Samuel Andrade|| 1% | |||
|- | |||
|} | |||
{| class="wikitable" | |||
|- | |||
!RNF!!Descrição!! Início !! Tempo em dias !! Data Real entrega !! Maker !! %!!Impedimento | |||
|- | |||
|01||Baixar WLS || || 1 || 30/12/2025 || Davi Faria e Samuel|| 100% || | |||
|- | |||
|02||Baixar Wazuh || || 1 || 22/12/2025 || Davi Faria e Samuel|| 100%|| | |||
|- | |||
|03||Liberar acesso ao firegateway || || 1 || || Samuel Andrade|| 0%|| | |||
|- | |||
|04||Pedir usuário de teste do Wazuh || || 1 || || Alexandre(para Davi e Samuel) || 100%|| | |||
|- | |||
|05||Pedir credenciais de api firegateway || || 1 || || Alexandre(para Davi e Samuel) || 0%|| | |||
|- | |||
|06||Conetar Wazuh em firewalls (para ter logs) || || 1 || || Alexandre(para Davi e Samuel) || 0%|| | |||
|- | |||
|07||Instalar FortClient || || 1 || 20/01/2025 || Samuel e Davi || 100%|| | |||
|- | |||
|} | |||
= Diagramas = | = Diagramas = | ||
| Linha 31: | Linha 102: | ||
= Ambiente = | = Ambiente = | ||
<br> | |||
= Histórico = | |||
<br> | |||
* 19/12/2025: | |||
** Alexander Tibor Assenheimer: Encontro às 14h para subir o ambiente | |||
** Davi, Samuel e Leonardo: Escrever Escopo, Requisitos e Cronograma na Wiki | |||
* 22/12/2025: | |||
** LC: Discutir com Erick sobre liberação do ambiente | |||
** DF: Verificar com Gustavo sobre acesso pelo notebook | |||
** SA: Entender o problema do RF03 para definição de tempo | |||
** SA: Foi criado um chamado no Jira para download e instalação do WSL, Ubuntu e Wazuh, SR-1148465. | |||
* 24/12/2025: | |||
** DF: Pedir acesso, na máquina da empresa, para baixar Wazuh e SO linux | |||
** SA: Pedir acesso, na máquina da empresa, para baixar Wazuh e SO linux | |||
* 30/12/2025: | |||
** SA: Chamado SR-1148465 finalizado com sucesso. | |||
* 06/01/2026: | |||
** SA: Foi criado um chamado no Jira para resolver o problema da VPN Global Protect "You are not authorized to connect to GlobalProtect Portal", SRV-1152252. Também Foi criado um chamado no Jira para instalação do FortiClient VPN-only, SRV-1152304. | |||
* 12/01/2026: | |||
** SA: Após outras tentativas de instalação do FortiClient VPN-only, o CORTEX está bloqueando a instalação. Aberto chamado SRV-1152140 para o time de segurança configurar a exceção no antivírus. | |||
* 15/01/2026: | |||
** SA: A liberação do CORTEX conforme solicitado no SRV-1152140 foi realizada. Criado um novo chamado para solicitar novamente a instalação do FortiClient VPN-only, SRV-1155885. | |||
* 16/01/2026: | |||
** SA: Instalação do FortiClient VPN-only realizada com sucesso. | |||
*19/01/2026: | |||
** SA: Realizado o primeiro acesso a máquina virtual, com o ambiente do projeto. | |||
* 20/01/2026: | |||
** DF: abri chamado no Jira e instalei fortClient. | |||
* 21/01/2026: | |||
** DF: clonei repositorio e acessei máquina virtual, com ambiente. | |||
** DF: Acessei Wazuh, ambiente de homologação | |||
<br> | <br> | ||
| Linha 38: | Linha 142: | ||
* Davi Rocha Faria | * Davi Rocha Faria | ||
* Samuel Andrade Pinto | * Samuel Andrade Pinto | ||
* Alexander Tibor Assenheimer | |||
* Erick Nascimento Santos | * Erick Nascimento Santos | ||
* José Rogério Braga Garcia | * José Rogério Braga Garcia | ||
Edição atual tal como às 14h25min de 28 de janeiro de 2026
Escopo
- O monitoramento e resposta ativa nos ambientes de firewall podem evoluir rapidamente com Wazuh, visando reduzir tentativas de acesso indevido e endurecer a borda de rede. Este projeto formaliza uma automação que:
- Extrai logins bem-sucedidos de um firewall específico via Wazuh e FireGateway (script s1).
- Aplica regras de geoblocking (bloqueio de todas as faixas fora do Brasil) e permite IPs autenticados (lista l) no firewall (script s2).
- Dispara s1/s2 automaticamente quando o Wazuh detectar x logins errados em um firewall gerenciado por nós (regra de trigger).
Requisitos
Requisitos Funcionais
- RF01: Implementar um script que consulte os códigos de status das tentativas de acesso a um firewall específico, e retorne a lista dos IPs bem sucedidos, fora do Brasil.
- Davi
- RF02: Criar uma regra de trigger que aplique os bloqueios de IP a todos os firewalls
- RF03: Implementar uma função que aplique num determinado firewall uma regra de bloqueio para todas as faixas de IP fora do Brasil, incluindo uma lista de exceções que serão permitidas
- Samuel
- RF04: Desenvolver uma função que libere todos os IPs bem sucedidos fora do Brasil.
- ??
Requisitos Não-Funcionais
- RNF01: Montar ambiente de simulação com firewall teste e instância do Wazuh
- Algar
RNF01- Ambiente de Simulação: O desenvolvimento deve ser validado pre liminarmente em um ambiente controlado, contendo um firewall de teste e uma instância isolada do Wazuh, garantindo que as regras de bloqueio não causem in disponibilidade em produção acidentalmente.
• RNF02-Desempenho da Resposta: Aexecução dos scripts de bloqueio (Active Response) deve ocorrer em tempo hábil (sugestão: ¡ 60 segundos) após a detecção do gatilho pelo Wazuh.
• RNF03- Modularidade dos Scripts: Os scripts (S1 e S2) devem ser modulares para facilitar a manutenção, separando a lógica de consulta de logs da lógica de aplicação de regras no firewall.
• RNF04-Auditoria: Toda ação de bloqueio ou liberação realizada pela automação
deve gerar um log de auditoria no próprio Wazuh para rastreabilidade.
Cronograma
| RF | Descrição | Início | Tempo em dias | Data Real entrega | Maker | % |
|---|---|---|---|---|---|---|
| 01 | Identificar ataques no firewall | 8 | Davi Faria | 0% | ||
| 02 | Criar inspeção do ambiente de firewall | 6 | Davi Faria | 1% | ||
| 03 | Inibir o sistema para acesso fora do Brasil | 5 | Samuel Andrade | 0% | ||
| 04 | Liberar IPs fora do Brasil | 5 | Samuel Andrade | 1% |
| RNF | Descrição | Início | Tempo em dias | Data Real entrega | Maker | % | Impedimento |
|---|---|---|---|---|---|---|---|
| 01 | Baixar WLS | 1 | 30/12/2025 | Davi Faria e Samuel | 100% | ||
| 02 | Baixar Wazuh | 1 | 22/12/2025 | Davi Faria e Samuel | 100% | ||
| 03 | Liberar acesso ao firegateway | 1 | Samuel Andrade | 0% | |||
| 04 | Pedir usuário de teste do Wazuh | 1 | Alexandre(para Davi e Samuel) | 100% | |||
| 05 | Pedir credenciais de api firegateway | 1 | Alexandre(para Davi e Samuel) | 0% | |||
| 06 | Conetar Wazuh em firewalls (para ter logs) | 1 | Alexandre(para Davi e Samuel) | 0% | |||
| 07 | Instalar FortClient | 1 | 20/01/2025 | Samuel e Davi | 100% |
Diagramas
Projeto
Plano de Testes
Ambiente
Histórico
- 19/12/2025:
- Alexander Tibor Assenheimer: Encontro às 14h para subir o ambiente
- Davi, Samuel e Leonardo: Escrever Escopo, Requisitos e Cronograma na Wiki
- 22/12/2025:
- LC: Discutir com Erick sobre liberação do ambiente
- DF: Verificar com Gustavo sobre acesso pelo notebook
- SA: Entender o problema do RF03 para definição de tempo
- SA: Foi criado um chamado no Jira para download e instalação do WSL, Ubuntu e Wazuh, SR-1148465.
- 24/12/2025:
- DF: Pedir acesso, na máquina da empresa, para baixar Wazuh e SO linux
- SA: Pedir acesso, na máquina da empresa, para baixar Wazuh e SO linux
- 30/12/2025:
- SA: Chamado SR-1148465 finalizado com sucesso.
- 06/01/2026:
- SA: Foi criado um chamado no Jira para resolver o problema da VPN Global Protect "You are not authorized to connect to GlobalProtect Portal", SRV-1152252. Também Foi criado um chamado no Jira para instalação do FortiClient VPN-only, SRV-1152304.
- 12/01/2026:
- SA: Após outras tentativas de instalação do FortiClient VPN-only, o CORTEX está bloqueando a instalação. Aberto chamado SRV-1152140 para o time de segurança configurar a exceção no antivírus.
- 15/01/2026:
- SA: A liberação do CORTEX conforme solicitado no SRV-1152140 foi realizada. Criado um novo chamado para solicitar novamente a instalação do FortiClient VPN-only, SRV-1155885.
- 16/01/2026:
- SA: Instalação do FortiClient VPN-only realizada com sucesso.
- 19/01/2026:
- SA: Realizado o primeiro acesso a máquina virtual, com o ambiente do projeto.
- 20/01/2026:
- DF: abri chamado no Jira e instalei fortClient.
- 21/01/2026:
- DF: clonei repositorio e acessei máquina virtual, com ambiente.
- DF: Acessei Wazuh, ambiente de homologação
Equipe
- Davi Rocha Faria
- Samuel Andrade Pinto
- Alexander Tibor Assenheimer
- Erick Nascimento Santos
- José Rogério Braga Garcia