Edição atual tal como às 14h25min de 28 de janeiro de 2026

Escopo

O monitoramento e resposta ativa nos ambientes de firewall podem evoluir rapidamente com Wazuh, visando reduzir tentativas de acesso indevido e endurecer a borda de rede. Este projeto formaliza uma automação que:
- Extrai logins bem-sucedidos de um firewall específico via Wazuh e FireGateway (script s1).
- Aplica regras de geoblocking (bloqueio de todas as faixas fora do Brasil) e permite IPs autenticados (lista l) no firewall (script s2).
- Dispara s1/s2 automaticamente quando o Wazuh detectar x logins errados em um firewall gerenciado por nós (regra de trigger).

Requisitos

Requisitos Funcionais

RF01: Implementar um script que consulte os códigos de status das tentativas de acesso a um firewall específico, e retorne a lista dos IPs bem sucedidos, fora do Brasil.
- Davi

RF02: Criar uma regra de trigger que aplique os bloqueios de IP a todos os firewalls

RF03: Implementar uma função que aplique num determinado firewall uma regra de bloqueio para todas as faixas de IP fora do Brasil, incluindo uma lista de exceções que serão permitidas
- Samuel

RF04: Desenvolver uma função que libere todos os IPs bem sucedidos fora do Brasil.
- ??

Requisitos Não-Funcionais

RNF01: Montar ambiente de simulação com firewall teste e instância do Wazuh
- Algar

RNF01- Ambiente de Simulação: O desenvolvimento deve ser validado pre liminarmente em um ambiente controlado, contendo um firewall de teste e uma instância isolada do Wazuh, garantindo que as regras de bloqueio não causem in disponibilidade em produção acidentalmente.

• RNF02-Desempenho da Resposta: Aexecução dos scripts de bloqueio (Active Response) deve ocorrer em tempo hábil (sugestão: ¡ 60 segundos) após a detecção do gatilho pelo Wazuh.

• RNF03- Modularidade dos Scripts: Os scripts (S1 e S2) devem ser modulares para facilitar a manutenção, separando a lógica de consulta de logs da lógica de aplicação de regras no firewall.

• RNF04-Auditoria: Toda ação de bloqueio ou liberação realizada pela automação deve gerar um log de auditoria no próprio Wazuh para rastreabilidade.

Cronograma

RF	Descrição	Tempo em dias	Maker	%
01	Identificar ataques no firewall	8	Davi Faria	0%
02	Criar inspeção do ambiente de firewall	6	Davi Faria	1%
03	Inibir o sistema para acesso fora do Brasil	5	Samuel Andrade	0%
04	Liberar IPs fora do Brasil	5	Samuel Andrade	1%

RNF	Descrição	Tempo em dias	Data Real entrega	Maker	%
01	Baixar WLS	1	30/12/2025	Davi Faria e Samuel	100%
02	Baixar Wazuh	1	22/12/2025	Davi Faria e Samuel	100%
03	Liberar acesso ao firegateway	1		Samuel Andrade	0%
04	Pedir usuário de teste do Wazuh	1		Alexandre(para Davi e Samuel)	100%
05	Pedir credenciais de api firegateway	1		Alexandre(para Davi e Samuel)	0%
06	Conetar Wazuh em firewalls (para ter logs)	1		Alexandre(para Davi e Samuel)	0%
07	Instalar FortClient	1	20/01/2025	Samuel e Davi	100%

Diagramas

Projeto

Plano de Testes

Ambiente

Histórico

19/12/2025:
- Alexander Tibor Assenheimer: Encontro às 14h para subir o ambiente
- Davi, Samuel e Leonardo: Escrever Escopo, Requisitos e Cronograma na Wiki
22/12/2025:
- LC: Discutir com Erick sobre liberação do ambiente
- DF: Verificar com Gustavo sobre acesso pelo notebook
- SA: Entender o problema do RF03 para definição de tempo
- SA: Foi criado um chamado no Jira para download e instalação do WSL, Ubuntu e Wazuh, SR-1148465.
24/12/2025:
- DF: Pedir acesso, na máquina da empresa, para baixar Wazuh e SO linux
- SA: Pedir acesso, na máquina da empresa, para baixar Wazuh e SO linux
30/12/2025:
- SA: Chamado SR-1148465 finalizado com sucesso.
06/01/2026:
- SA: Foi criado um chamado no Jira para resolver o problema da VPN Global Protect "You are not authorized to connect to GlobalProtect Portal", SRV-1152252. Também Foi criado um chamado no Jira para instalação do FortiClient VPN-only, SRV-1152304.
12/01/2026:
- SA: Após outras tentativas de instalação do FortiClient VPN-only, o CORTEX está bloqueando a instalação. Aberto chamado SRV-1152140 para o time de segurança configurar a exceção no antivírus.
15/01/2026:
- SA: A liberação do CORTEX conforme solicitado no SRV-1152140 foi realizada. Criado um novo chamado para solicitar novamente a instalação do FortiClient VPN-only, SRV-1155885.
16/01/2026:
- SA: Instalação do FortiClient VPN-only realizada com sucesso.
19/01/2026:
- SA: Realizado o primeiro acesso a máquina virtual, com o ambiente do projeto.
20/01/2026:
- DF: abri chamado no Jira e instalei fortClient.
21/01/2026:
- DF: clonei repositorio e acessei máquina virtual, com ambiente.
- DF: Acessei Wazuh, ambiente de homologação

Equipe

Davi Rocha Faria
Samuel Andrade Pinto
Alexander Tibor Assenheimer
Erick Nascimento Santos
José Rogério Braga Garcia

@@ Linha 13: / Linha 13: @@
 <br>
-* RF01: Gerar um script que identifique se um determinado firewall está sofrendo ataques fora do padrão desejado
+* RF01: Implementar um script que consulte os códigos de status das tentativas de acesso a um firewall específico, e retorne a lista dos IPs bem sucedidos, fora do Brasil.
 ** Davi
 <br>
-* RF02: Criar uma regra de trigger para todo ambiente de firewalls da Algar que avalie se os firewalls estão sofrendo ataque.
+* RF02: Criar uma regra de trigger que aplique os bloqueios de IP a todos os firewalls
 <br>
-* RF03: Implementar uma função que aplique num determinado firewall uma regra de bloqueio para todas as faixas de IP fora do Brasil.
+* RF03: Implementar uma função que aplique num determinado firewall uma regra de bloqueio para todas as faixas de IP fora do Brasil, incluindo uma lista de exceções que serão permitidas
 ** Samuel
 <br>
@@ Linha 34: / Linha 34: @@
 ** Algar
 <br>
+RNF01- Ambiente de Simulação: O desenvolvimento deve ser validado pre
+liminarmente em um ambiente controlado, contendo um firewall de teste e uma
+instância isolada do Wazuh, garantindo que as regras de bloqueio não causem in
+disponibilidade em produção acidentalmente.
+<br>
+• RNF02-Desempenho da Resposta: Aexecução dos scripts de bloqueio (Active
+Response) deve ocorrer em tempo hábil (sugestão: ¡ 60 segundos) após a detecção
+do gatilho pelo Wazuh.
+<br>
+• RNF03- Modularidade dos Scripts: Os scripts (S1 e S2) devem ser modulares
+para facilitar a manutenção, separando a lógica de consulta de logs da lógica de
+aplicação de regras no firewall.
+<br>
+• RNF04-Auditoria: Toda ação de bloqueio ou liberação realizada pela automação
+deve gerar um log de auditoria no próprio Wazuh para rastreabilidade.
 = Cronograma =
 <br>
-* RF01:  8 dias a partir da entrega do ambiente Algar
-* RF02:  ??
-* RF03: ??
-* RNF01: 23/12
 {| class="wikitable"
 |-
-!RF!!Descrição!! Início !!     Data provável de término !! Data Real !! Maker !! %
+!RF!!Descrição!! Início !!     Tempo em dias !! Data Real entrega !! Maker !! %
+|-
+|01||Identificar ataques no firewall  ||             ||  8        ||             || Davi Faria||  0%
+|-
+|02||Criar inspeção do ambiente de firewall	    ||              ||  6        ||             || Davi Faria||  1%
+|-
+|03||Inibir o sistema para acesso fora do Brasil	    ||              || 5         ||             || Samuel Andrade||  0%
+|-
+|04||Liberar IPs fora do Brasil	    ||               || 5        ||             || Samuel Andrade||  1%
+|-
+|}
+{| class="wikitable"
+|-
+!RNF!!Descrição!! Início !!     Tempo em dias !! Data Real entrega !! Maker !!  %!!Impedimento
+|-
+|01||Baixar WLS  ||             ||  1       ||      30/12/2025       || Davi Faria e Samuel||  100% ||
 |-
-|01||	    ||              ||          ||             || Davi Faria||  0%
+|02||Baixar Wazuh	    ||              ||  1      ||    22/12/2025         || Davi Faria e Samuel||  100%||
+|-
+|03||Liberar acesso ao firegateway    ||              || 1         ||             || Samuel Andrade||  0%||
+|-
+|04||Pedir usuário de teste do Wazuh	    ||               || 1        ||             || Alexandre(para Davi e Samuel) ||  100%||
+|-
+|05||Pedir credenciais de api firegateway	    ||               || 1        ||             || Alexandre(para Davi e Samuel) ||  0%||
+|-
+|06||Conetar Wazuh em firewalls	(para ter logs)    ||               || 1      ||             || Alexandre(para Davi e Samuel) ||  0%||
+|-
+|07||Instalar FortClient	   ||               || 1      ||  20/01/2025           || Samuel e Davi ||  100%||
 |-
 |}
@@ Linha 74: / Linha 114: @@
 ** DF: Verificar com Gustavo sobre acesso pelo notebook
 ** SA: Entender o problema do RF03 para definição de tempo
+** SA: Foi criado um chamado no Jira para download e instalação do WSL, Ubuntu e Wazuh, SR-1148465.
+* 24/12/2025:
+** DF: Pedir acesso, na máquina da empresa, para baixar Wazuh e SO linux
+** SA: Pedir acesso, na máquina da empresa, para baixar Wazuh e SO linux
+* 30/12/2025:
+** SA: Chamado SR-1148465 finalizado com sucesso.
+* 06/01/2026:
+** SA: Foi criado um chamado no Jira para resolver o problema da VPN Global Protect "You are not authorized to connect to GlobalProtect Portal", SRV-1152252. Também Foi criado um chamado no Jira para instalação do FortiClient VPN-only, SRV-1152304.
+* 12/01/2026:
+** SA: Após outras tentativas de instalação do FortiClient VPN-only, o CORTEX está bloqueando a instalação. Aberto chamado SRV-1152140 para o time de segurança configurar a exceção no antivírus.
+* 15/01/2026:
+** SA: A liberação do CORTEX conforme solicitado no SRV-1152140 foi realizada. Criado um novo chamado para solicitar novamente a instalação do FortiClient VPN-only, SRV-1155885.
+* 16/01/2026:
+** SA: Instalação do FortiClient VPN-only realizada com sucesso.
+*19/01/2026:
+** SA: Realizado o primeiro acesso a máquina virtual, com o ambiente do projeto.
+* 20/01/2026:
+** DF: abri chamado no Jira e instalei fortClient.
+* 21/01/2026:
+** DF: clonei repositorio e acessei máquina virtual, com ambiente.
+** DF: Acessei Wazuh, ambiente de homologação
 <br>
@@ Linha 81: / Linha 142: @@
 * Davi Rocha Faria
 * Samuel Andrade Pinto
+* Alexander Tibor Assenheimer
 * Erick Nascimento Santos
 * José Rogério Braga Garcia

Wazuh: mudanças entre as edições