ESPECIFICAÇÕES

TÉCNICAS DA SOLUÇÃO TECNOLÓGICA

1. Requisitos Gerais:
I. Durante o período de uso, a CONTRATADA deverá sempre utilizar os novos
releases, fixpacks, atualizações e melhorias dos produtos que compõem a
solução do serviço;
II. Deverá antecipar problemas relacionados à segurança em função do
surgimento de novas tecnologias já existentes ou emergentes;
III. Caso, durante o período de execução dos serviços, haja mudanças de
nomenclatura, reajustes na composição dos produtos ofertados (agregação de
novos add-ons, etc.) a CONTRATADA deve garantir o uso dessas novas
funcionalidades no serviço prestado, sem custo adicional;
IV. O funcionamento da solução deverá ser independente da conexão com o site
do fornecedor, com exceção para o atendimento às necessidades de baixa de
atualizações, atualizações de listas, informações de threat inteligence e etc.;
V. Não serão aceitos sistemas baseados em hardware, software de código aberto
(opensource) de uso genérico;
VI. Todos os componentes da solução deverão ser do mesmo fabricante, estar
em linha de produção e não deve haver previsão de descontinuidade, end-of-
support ou end-of-life;
VII. A solução deverá ser composta pelo Sistema de Gerenciamento Centralizado
(gerenciador da solução) e atender ao parque de ativos( Windows e Linux)
com licenças ou agentes compatíveis para a detecção e resposta a incidentes
de seguranças em endpoints (estações de trabalho e servidores em ambientes
Windows e Linux) no ambiente do Ministério da Educação;
VIII. A comunicação dos agentes com o gerenciador da solução deve utilizar
protocolo TLS 1.1 ou superior;
IX. As análises de ameaças devem ser feitas de forma independente apenas pelo
software agente instalado nos endpoints;
X. É vedado o encaminhamento do artefato que está sendo analisado para o
ambiente externo ao orgão, essas análises devem ser feitas on-premises;
XI. A solução deve possuir funcionalidade de resposta automatizada configurável
aos incidentes de segurança;
XII. A solução deve suportar criptografia transparente, sem intervenção do
usuário final, suportando autenticação anterior ao processo de boot (Pre-
boot) do sistema operacional;
XIII. Todas as funcionalidades referentes à resposta a incidentes de segurança e
contenção de ameaças devem ser passíveis de automatização;

www.abgsystems.com A.B.G Computer Systems LTDA

www.orevsn.com

1



XIV. Deve proteger os principais canais contra vazamentos, como por exemplo
dispositivos de armazenamento removíveis, armazenadores em nuvem, e-
mail, mensageria instantânea, web, impressão, área de transferência, captura
de tela e compartilhadores de arquivos;
XV. Ter capacidade de análise comportamental de softwares instalados no
endpoint.
XVI. Coletar e disponibilizar informações das camadas de hardware, software,
usuários e conexões à rede, de forma centralizada, incluindo sub-redes
internas e externas da organização (multi DMZ)
XVII. A SOLUÇÃO deverá monitorar, on-line, todas as atividades de usuários,
processos, arquivos e acessos à rede
XVIII. A SOLUÇÃO deverá possuir Dashboards on-line com funcionalidades distintas,
apresentando dados relevantes analisados, de forma resumida ou detalhada,
de novas atividades nas estações de trabalho e servidores, verificando
correlações em outros pontos da rede.
XIX. Os Dashboards deverão mostrar, de maneira instantânea, alertas para
problemas críticos de segurança e operacional, identificando atividades
anormais de processos, devices e hardware.
XX. A SOLUÇÃO, deverá ALERTAR e NOTIFICAR automaticamente o administrador
através de e-mail ou SMS, sobre quaisquer anomalias detectadas pelo agente.
XXI. A SOLUÇÃO, deverá possibilitar a configuração das NOTIFICAÇÕES e ALERTAS
de acordo com as necessidades estabelecidas pelo administrador.
XXII. A SOLUÇÃO, deverá possibilitar ao administrador de tomar quaisquer ações
que sejam pertinentes no momento.
XXIII. Poder ser instalado em qualquer departamento da organização, sem a
dependência de gerenciamento de rede (Por exemplo: Active Directory), e
sem necessidade de configuração de usuários e arquivos. Poder ser
distribuído pelas ferramentas já utilizadas pela organização
XXIV. Possibilitar gerar informações pertinentes a diversas áreas da corporação
(Segurança, Auditoria, Compras, Inspetoria, Compliance, etc.).
2. Requisitos dos Agentes:
I. Deverão funcionar por meio de software (agente) instalado nos endpoints e
servidores com, no mínimo, sistemas operacionais( Windows e Linux),
independente do ambiente que esteja sendo executado (máquina física ou
virtual) e caso o sistema operacional tenha versões 32 e 64 bits, ambas devem
ser suportadas;
II. A instalação do agente deve possuir um pacote único para cada sistema
operacional suportado (Windows e Linux);

www.abgsystems.com A.B.G Computer Systems LTDA

www.orevsn.com

2



III. A instalação do agente em endpoints Windows deve ser realizada e
gerenciada pela própria solução de forma remota e autônoma, oculta e sem
interferência do usuário e sem a necessidade de reiniciar a máquina.
IV. Identificar patches não aplicados em sistemas operacionais e softwares
instalados em endpoints;
V. Todos os registros de eventos classificados como incidentes deverão ser
passiveis de envio ao gerenciador da solução;
VI. Os agentes deverão, controlar os seguintes componentes: (Hardware
software (versões, serial number, empresa, datas, etc...)
VII. Os agentes devem controlar a performance do endpoint como: (CPU, IO,
memória física e virtual, HD, etc..)
VIII. Os agentes devem controlar rede como: (modificações, conectividades,
atividades, trafego suspeitos, IP e wireless)
IX. OS agentes devem controlar o número de dados IN & OUT da rede dos
endpoints.
X. Os agentes não devem acessar a internet, as atualizações ou comunicações
que eles necessitarem deverão ser feitas pelo gerenciador da solução, caso o
endpoint esteja sendo utilizado fora do ambiente coorporativo, este poderá
acessar o gerenciador da solução via internet apenas para coleta de
atualizações e para envio de incidentes registrados. Esses acessos devem ser
definidos através de políticas e os dados devem trafegar por meio do
protocolo TLS 1.1 ou superior;
XI. Os agentes não deverão ser capazes de serem personalizados pelo seu
gerenciador da solução para reduzir o consumo de recursos do endpoint
(memória, processamento e espaço em disco local e tráfego de rede);
XII. Ter baixo incremento de tráfego na rede, ter baixo incremento de uso de CPU,
ter baixo incremento de uso de memória RAM e ter baixo incremento de uso
do disco local;
XIII. Deve possuir mecanismo de proteção contra desinstalação ou interrupção do
agente;
XIV. Registrar e impedir tentativas de limpeza ou manipulação dos logs do sistema
operacional;
XV. Os logs registrados no agente devem ser acessíveis por SSH, SCP ou TLS 1.1 ou
superior, sempre com controle de acesso e trilha de auditoria;
XVI. Monitorar e informar todos os ativos de segurança no dashboard e relatórios
como: antivírus, firewall, etc....
XVII. Análise comportamental de softwares: aplicação de regras para monitorização
de softwares, tendo por finalidade identificar e impedir a atuação de
malwares em endpoints;

www.abgsystems.com A.B.G Computer Systems LTDA

www.orevsn.com

3



XVIII. Proteção proativa contra botnets (detectar e impedir tentativas de conexão
com Comando & Controle em IRC, WEB e etc);
XIX. Proteção contra ameaças com armazenamento e execução somente em
memória (“fileless”);
XX. Inspeção de Memória;
XXI. Proteção contra Ransomware (deve ser capaz de detectar e proteger contra,
ao menos, 3 tipos conhecidos);
XXII. Detecção/Bloqueios de exploits;
XXIII. Inspeção de exploits em memória e proteção contra ameaças encontradas;
XXIV. Proteção contra vulnerabilidades e ameaças (inclusive zero-day);
XXV. As novas ameaças (zero-day) detectadas devem ser reportadas até o
gerenciador da solução de modo que os demais agentes possam ser
atualizados com as informações coletadas;
XXVI. Liberação apenas de softwares autorizados via Whitelist, a identificação dos
softwares não deve ser através de nome;
XXVII. Bloqueio de softwares não autorizados, a identificação dos softwares não
deve ser através de nome;
XXVIII. Bloqueio de softwares indesejados ou não autorizados por Blacklist, a
identificação dos softwares não deve ser através de nome;
XXIX. Possibilidade de criar grupos de exceções para utilização de softwares em
blacklist;
XXX. Mecanismo para autorização de softwares com possibilidade de pré-
autorização por fabricante, certificado digital do fabricante, etc.;
XXXI. Identificar e bloquear execução de softwares ou versões de softwares
instalados no endpoint que possuam vulnerabilidade(s), os softwares não
devem ser identificados por nome;
XXXII. Verificar a unicidade dos arquivos por meio da verificação de hash, evitando
que o mesmo binário seja analisado diversas vezes;
XXXIII. Possuir stateful firewall de host bidirecional, para monitorar tráfego de dados;
XXXIV. O stateful firewall deve atuar nos modos ativo (com a aplicação de proteções
à ataques com e sem utilização de assinaturas) e em modo passivo (somente
de monitoração e alerta);
XXXV. Controlar tráfegos de entrada e saída com base em endereços MAC, frame
types, protocolos, endereçamento IP e portas (serviços);
XXXVI. Controlar conexões TCP baseadas em Flags TCP;
XXXVII. Ter capacidade parametrizada de coletar, registrar e armazenar todas as
conexões (TCP) ou transmissões (UDP) de rede, incluindo informações sobre
endereços IP, portas de origem e destino e domínios DNS;
XXXVIII. Monitorar operações (acesso, cópia, modificação, duplicação e exclusão) com
arquivos no disco local, dispositivos USB, dispositivos móveis conectados,
www.abgsystems.com A.B.G Computer Systems LTDA
www.orevsn.com

4



drives CD/DVD, mídias removíveis, compartilhamento em rede ou em nuvem
e acesso a drivers de rede, com opção parametrizada para registro e coleta de
evidências;
XXXIX. Informar programas e processos em execução em tempo real;
XL. Registro de softwares (instalados, executados e em execução), com
possibilidade de mitigação de softwares vulneráveis em execução, a
identificação dos softwares não deve ser através de nome;
XLI. Funcionalidade de colocar arquivos e programas suspeitos em quarentena,
impedindo comunicação deles em rede ou a utilização de recursos do
endpoint ou sistema operacional;
XLII. Possuir mitigação automatizada capaz de encerrar processos em execução,
parametrizável quanto a sua habilitação;
XLIII. Detecção, prevenção e remediação de ataques de vírus, malwares, worms,
trojans, spyware, backdoors e qualquer outra forma de código mal-
intencionado;
XLIV. Detecção e prevenção de malwares por comportamento utilizando
assinaturas;
XLV. Detecção e prevenção de código malicioso por análise comportamental;
XLVI. Possuir capacidade de aprendizado de máquina (machine learning) para
aprimoramento das capacidades de identificação de ameaças;
XLVII. Identificar e bloquear a propagação de malwares tipo ransomware e impedir
atividades suspeitas de criptografia de arquivos;
XLVIII. Possuir sistemática de patches e atualizações que permita a manutenção da
qualidade e efetividade do agente frente a novas ameaças e ataques;
XLIX. Monitorar e analisar ameaças executados em módulos binários (.DLL, .SYS,
.EXE, etc.), processos e principais scripts conhecidos (.BAT, VBS, .SCR, .PY,
.JAR, .HTML .HTM, etc.) que sejam executados a partir do disco local,
proveniente de compartilhamento de rede, dispositivos externos, drives de
CD/DVD ou proveniente de download de serviços Internet ou Intranet;
L. Funcionalidades de identificação de usuários locais e de exclusão de usuários
e administradores locais nos endpoints independentemente do nível de
acesso;
LI. A solução deve ser capaz de detectar e identificar dados acessados pelo
usuário, em trânsito para fora ou dentro da rede e estar armazenada
localmente ou em um compartilhamento de rede;
LII. Por meio de agentes instalados a solução deve permitir o controle do dado
em uso, como por exemplo, ações dos usuários relacionadas a cópia de
informações, impressão de arquivos classificados e captura da tela;

www.abgsystems.com A.B.G Computer Systems LTDA

www.orevsn.com

5



LIII. Deve permitir configurar na solução as classificações desejadas, para cada
classificação, deve-se permitir a definição das informações que deverão ser
protegidas;
LIV. Deve possuir capacidade de controlar (Bloquear) o acesso a determinadas
extensões ou arquivos TrueType a dispositivos de armazenamento removíveis;
LV. Deve ser possível habilitar ou desabilitar uma determinada regra de proteção
uma vez que esteja dentro ou fora da rede;
LVI. Ao identificar um novo dispositivo conectado no computador cliente, cujo
hardware for desconhecido, a solução deve emitir um alerta no Console
Centralizado indicando uma nova classe de dispositivo encontrada;
LVII. Monitoração e coleta de eventos de logon e logoff de usuários, inclusive logon
e logoff secundários e em cache, bloqueio e desbloqueio de sessão e acessos
a compartilhamentos;
LVIII. Monitorar utilização de impressoras;
LIX. Monitorar páginas web acessadas e upload de arquivos a partir de páginas
web;
LX. Monitorar, bloquear, registrar e alertar tentativas de evitar a coleta de dados
da solução;
LXI. Monitorar, bloquear, registrar e alertar tentativas de desinstalar a solução;
LXII. Monitorar, bloquear, registrar e alertar alterações nas chaves de registro e em
arquivos de configuração do sistema operacional, bem como em caso de
alteração, deve ser capaz de realizar rollback para retorno ao estado anterior;
LXIII. Monitorar e impedir acesso remoto nos endpoints de acordo com
configuração realizada de forma centralizada, via gerenciador da solução;
LXIV. Monitorar e detectar comandos e execuções suspeitas. (script comand,
execution comand, etc.....)
LXV. O agente deve proteger dados classificados contra vazamento nos seguintes
vetores:
LXVI. Software de cópia (Clipboard);
LXVII. Aplicações em Nuvem;
LXVIII. E-mail;
LXIX. Compartilhamento de Rede;
LXX. Impressão;
a) Aplicações específicas e browsers;
b) Posts Web.
LXXI. Detectar, no mínimo as seguintes técnicas de exploração de vulnerabilidade:
a) Heap spray;
b) Rootkit;
c) Falha em aplicação causada pelo exploit;
d) Ataque Rop;
www.abgsystems.com A.B.G Computer Systems LTDA
www.orevsn.com

6



e) Ataque SEHOP;
f) Escalação de privilégio.
g) Permitir a coleta de, no mínimo, as seguintes informações para
investigação:
h) Arquivos escritos;
i) Arquivos copiados para dispositivos de armazenamento externo e vice-
versa;
j) Falhas de logon e logoff;
k) Tentativa de comunicação na rede;
l) Tentativa de resolução de hostname;
m) Tentativa de acesso a URL;
n) Lista de processos e DLL carregados;
o) Lista de processos iniciados, parados ou executando quando o Agente
inicia;
p) Lista de chaves de registro;
q) Listagem de drivers do Sistema Operacional;
r) Listagem de drivers carregados na memória;
s) Logs do Windows com eventos de aplicação, segurança e sistema;
t) Histórico de usuários que se realizaram logon no endpoint;
u) Arquivos existentes no sistema de arquivos;
v) Kernel hook do tipo IDT, SSDT, IRP e verificação de assinaturas digitais;
w) Tabela ARP;
x) Cache DNS;
y) Tabela de roteamento;
z) Portas de rede ativas;
aa) Hash MD5, SHA1, SHA2 e SHA3;
bb) Processos na memória;
cc) Processos usando a API do Sistema Operacional;
dd) Strings de processos;
ee) Contas de usuários;
ff) Imagem de disco;
gg) Listagem de volumes;
hh) Entradas de prefetch;
ii) Detalhes de pontos de restauração;
jj) Tarefas do Sistema Operacional.
3. Requisitos do Sistema Gerenciador da Solução Centralizado:
I. Deve ser plenamente compatível com o software dos agentes;
II. Deve ser capaz de monitorar e gerenciar de forma centralizada ao parque de
ativos( Windows e Linux);

www.abgsystems.com A.B.G Computer Systems LTDA

www.orevsn.com

7



III. O gerenciador da solução deverá ser remotamente administrável por meio de
interface gráfica (GUI), utilizando canais autenticados e o tráfego deve ser
criptografado fazendo uso do protocolo TLS 1.1 ou superior;
IV. Serão aceitas interfaces gráficas em formato web e/ou em forma de aplicativo
cliente, desde que esse último seja compatível com Microsoft Windows 10 (64
bits) ou superiores;
V. Possuir gerenciamento das licenças de maneira centralizada, incluindo adição e
remoção de licenças;
VI. Deve possibilitar a listagem da quantidade e nomes dos computadores que
executaram versões vulneráveis de aplicativos ou arquivos vulneráveis em um
dado momento, usando como base as informações enviadas pelos agentes e das
bases de inteligência acerca de vulnerabilidades de aplicações fornecidas pela
solução ou de forma customizada pelo contratante, em formato texto
estruturado;
VII. Todos os acessos administrativos devem ser autenticados, criptografados e possuir
trilha de auditoria;
VIII. Autenticar e autorizar usuários administrativos por meio dos protocolos LDAP V3
ou TACACS+;
IX. Deve ser capaz de segregar perfis de acesso, permitindo diferentes níveis de
acesso à console de gerenciamento, onde cada perfil possa ter permissões
específicas associadas à sua função;
X. Painéis configuráveis (dashboards) para cada departamento, usuários ou assuntos;
XI. Permitir que os perfis de acesso sejam relacionados a grupo de usuários do AD
para possibilitar conceder ou revogar acessos conforme a inclusão ou exclusão de
usuários nesses grupos;
XII. Deve permitir múltiplos acessos simultâneos à console de gerenciamento, seja
para análise de informações ou aplicação de configurações;
XIII. Adotar os padrões abertos de gerência de rede SNMPv2, SNMPv3;
XIV. Ter funcionalidade de operação com redundância em um cluster de pelo menos 2
(dois) servidores, na modalidade Appliance Virtual, operando em redes distintas
(subnet) e separadas geograficamente;
XV. No caso de falha em um dos servidores do cluster, o outro deve ser capaz de
assumir todas as operações e funcionalidades sem interrupção dos serviços;
XVI. Poder ser instalado em DMZ para comunicações/atualizações de agentes
instalados em endpoints que poderão estar sendo utilizados fora do ambiente do
orgão;
XVII. Permitir administração de endpoints off-site (conexão VPN, nuvem);
XVIII. O servidor do Gerenciador deve ser compatível com o VMware vSphere
Hypervisor (ESXi) 6 ou superior (não haverá necessidade do fornecimento de
licenças da VMWare junto com a solução);
www.abgsystems.com A.B.G Computer Systems LTDA
www.orevsn.com

8



XIX. Permitir que cada endpoint monitorado seja inserido em grupos ou perfis de
configuração para no mínimo:
a) Enviar informações específicas;
b) Definir a quantidade de disco a ser utilizada para armazenamento local de
eventos;
c) Definir os recursos de rede a serem utilizados (inclusive isolamento da
máquina).
XX. O Gerenciador deverá possuir funcionalidade de personalização dos seus agentes
(todos, em grupos ou individualmente) para configuração de recursos que serão
consumidos pelo endpoint (memória, processamento e espaço em disco local e
tráfego de rede);
XXI. Permitir a divisão lógica dos computadores, dentro da estrutura de
gerenciamento, em sites, domínios e grupos, com administração individualizada
por domínio;
XXII. Permitir ao administrador criar diversos grupos de políticas de segurança para
diferentes divisões lógicas;
XXIII. Permitir visualização por meio de aplicação web (protocolo TLS 1.1 ou superior)
dos eventos contextualizados e ocorridos no passado (base histórica), permitindo
investigação dos incidentes até suas causas raízes, detalhando as ações do
artefato como: comunicações, gestão de arquivos e acesso a recursos de rede;
XXIV. Disponibilizar todo o ciclo de execução de processos nos endpoints monitorados
(recursos do endpoint, comunicações, edição e criação de arquivos e etc.) e
permitir a visualização dos eventos relevantes à análise dos incidentes, a partir dos
campos usados nas pesquisas;
XXV. As pesquisas devem permitir o uso de expressões regulares, operadores binários,
hashes, termos ou frases;
XXVI. Deve ter a capacidade de identificar as seguintes informações, sem a necessidade
de reprocessamento da pesquisa nos dados armazenados localmente nos sistemas
operacionais monitorados:
a) Como um ataque começou, por meio da visualização do encadeamento de
processos executados até a causa raiz de um ataque;
b) O que o atacante fez, por meio do detalhamento dos processos e
comandos executados, inclusive com parâmetros utilizados e alterações
em sistema de arquivos;
XXVII. Quantos e quais endpoints foram impactados, por meio da pesquisa dos seguintes
metadados específicos:
a) Arquivos (nomes e hashes criptográficos);
b) Chaves de Registro;
c) Nomes de processos e arquivos executáveis;
d) Conexões de rede (endereços IP e domínios);
www.abgsystems.com A.B.G Computer Systems LTDA
www.orevsn.com

9



e) Quais arquivos foram criados, modificados, acessados e removidos, por
meio da visualização de alterações feitas no sistema de arquivos;
f) As comunicações efetuadas pelos processos analisados, por meio da
listagem de conexões TCP/IP que foram efetuadas pelos sistemas e em que
portas;
g) Quais arquivos foram baixados e por quais processos.
XXVIII. Deve permitir, a qualquer momento, a listagem e pesquisa de valores históricos de
metadados dos artefatos monitorados;
XXIX. Permitir visualização dos parâmetros passados para os arquivos executáveis,
quando houver a execução de binários em modo console (prompt de comando);
XXX. Permitir o acesso, por meio do histórico armazenado no próprio gerenciador da
solução, às alterações feitas nos sistemas de arquivo, leituras e alterações de
registro, leituras, criações, remoções e modificações de arquivos, comunicações
TCP/IP e todos os processos executados no sistema operacional de todos os
computadores monitorados;
XXXI. Permitir a verificação das atualizações de correção de segurança de aplicações
instaladas e de sistemas operacionais nos endpoints monitorados;
XXXII. Deve efetuar e manter atualizado o inventário dos softwares executados nos
endpoints e seus respectivos hashes criptográficos;
XXXIII. Deve registrar a execução de aplicativos de terceiros, incluindo a capacidade de
registrar o usuário responsável pela execução;
XXXIV. Deve identificar os endpoints com agentes desatualizados;
XXXV. Colocar endpoints infectados em quarentena (podendo ser desabilitada essa
função a qualquer momento), isolando-os da rede podendo ser acessado apenas
pelo Gerenciador, e adicioná-los de volta após remediação;
XXXVI. Possuir mecanismo de identificar e eliminar a propagação lateral de ameaças
sempre que identificar um endpoint infectado;
XXXVII. Deve possuir uma forma de autenticação para permitir alterações nas
configurações dos agentes, definindo permissões para que somente o
administrador da solução possa alterar as configurações, desinstalar ou parar o
serviço do agente;
XXXVIII. Permitir agendamento de instalação, atualização e desinstalação do software dos
agentes via políticas no gerenciador da solução de forma silenciosa, ou seja, sem
interação com usuário, podendo serem aplicadas em grupos de endpoints;
XXXIX. Deve ser capaz de voltar à versão anterior em caso de falha na atualização;
XL. Permitir a ativação e desativação do agente;
XLI. Possibilidade de aplicar regras diferenciadas por grupos de usuários, de máquinas,
de domínios para todas as funcionalidades da solução;
XLII. Horário:
a) Deve permitir configuração de fuso horário;
www.abgsystems.com A.B.G Computer Systems LTDA
www.orevsn.com

1



b) A solução deve funcionar com o Network Time Protocol (NTP);
c) Solução deve exportar configurações num formato comum (por exemplo:
texto ou XML) que facilita o backup da configuração e a cópia entre
máquinas.
XLIII. Possuir capacidade para replicar ameaças detectadas por algum de seus agentes,
inclusive aquelas classificadas como zero-day, para os demais agentes
gerenciados;
XLIV. Possuir alimentação automática ou manual de fontes externas de inteligência para
detecção e combate a novas ameaças e ataques (threat intelligence);
XLV. O gerenciador da solução deverá ter opção de configuração dos dados que os
endpoints ou grupos de endpoints deverão enviar para ele;
XLVI. Possuir mecanismo para que seja feita a priorização de ameaças, fornecendo
insumos para que infecções mais graves sejam investigadas prioritariamente;
XLVII. Ter funcionalidade de identificar ameaças através de correlação de eventos e
comportamentos dos endpoints gerenciados;
XLVIII. Possuir capacidade de Integração com Rest API (Web Service) utilizando protocolo
TLS 1.1 ou superior com autenticação via chave e senha;
XLIX. Deve integrar-se com as principais ferramentas de mercado de gerenciamento e
correlação de eventos de segurança (SIEM);
L. Deve integrar-se com ferramentas de outras camadas de proteção como o
Antivírus da Symantec e Microsoft com foco na automatização da resposta ao
incidente e repasse da informação para que as outras camadas passem a proteger
a rede do MEC;
LI. Capacidade de realizar inventário dos endpoints (software e hardware) onde estão
instalados os agentes.
4. Requisitos dos Logs e Relatórios:
I. A solução deverá gerar e armazenar trilhas de auditoria que permitam o
rastreamento de ações efetuadas em todos os seus componentes;
II. Os registros de logs devem conter, no mínimo: data e hora do evento, origem de
acesso, usuário, host name do equipamento, ameaças detectadas, bloqueadas,
excluídas e outras ações executadas;
III. O Gerenciador deve ter capacidade de armazenamento de logs de funcionamento
da solução de, no mínimo, 100 (cem) milhões de eventos por mês, para serem
armazenados por, no mínimo, 6 (seis) meses e devem estar disponíveis para
acesso por intermédio de filtros de pesquisa;
IV. Possibilitar o envio dos logs a outros sistemas de armazenamento, seguindo
padrões syslog;
V. Deve gerar relatórios a partir de todos os dados monitorados;
VI. Deve gerar relatórios automatizados em períodos, por hora, por dia, por semana,
por mês e por ano, configuráveis pelo administrador;
www.abgsystems.com A.B.G Computer Systems LTDA
www.orevsn.com

1



VII. Os relatórios devem ser gerados em diversos formatos, como: texto, HTML, PDF e
CSV;
VIII. Relatórios devem conter, no mínimo:
a) Informações por domínio;
b) Informações por grupo de endpoints;
c) Informações por usuário;
d) Informações por estação ou grupo de estações;
e) Informações de ataques identificados;
f) Informações de ataques mitigados;
g) Informações de logon e logoff de usuários nos endpoints, inclusive logons
secundários e em cache, além de bloqueios e desbloqueios de sessão;
h) Informações de arquivos (modificados, excluídos, copiados, acessados e
duplicados);
i) Informações de programas (instalados, executados e em execução);
j) Informações de arquivos copiados dos discos locais dos endpoints para
dispositivos de armazenamento externo e vice-versa;
k) Informações de histórico de ocorrências quanto ao uso simultâneo de
redes WIFI e cabeadas por máquina ou por usuário;
l) Informações sobre desempenho da solução, por exemplo, volume de
mensagens trocadas entre os agentes e o gerenciador da solução,
utilização da CPU e memória.
m) Informações das atividades dos usuários na: web, aplicativos, redes sociais,
email com registros de tempo de uso, data, páginas,
n) Informações de performance, hardware, software, rede, conectividades,
atualizações , etc....
5. Dos Alertas:
I. Deve ter um sistema de alertas personalizável pelo administrador que poderá
configurar os itens constantes no alerta, como ataques identificados,
vulnerabilidades conhecidas, infecções detectadas, arquivos acessados, copiados,
apagados, alterados, atividades de mídias removíveis (USB), alteração de
hardware, logon de determinados usuários, execução de determinados
executáveis, utilização simultânea de redes sem fio e cabeada, avisos sobre
eventos críticos no sistema (falha de hardware, falta de espaço de
armazenamento em disco, notificação de ataque, etc.), instalação de novos
aplicativos, processos maliciosos, horários suspeitos, endpoints mais acessados,
usuário mais ativos, URL suspeito, trafico suspeito,etc.;
II. Deve ser capaz de registrar os alertas e dados nativamente, via protocolo syslog, e
de forma automatizada:
a) E-mail;
b) SMS
www.abgsystems.com A.B.G Computer Systems LTDA
www.orevsn.com

1



III. Possuir capacidade de apresentar os alertas em interface web;
IV. Capaz de emitir alertas baseados na comparação de hashes criptográficos de
executáveis com blacklists, fornecidas pela própria solução ou customizadas pelo
MEC, caso um executável considerado malicioso seja executado em um ou mais
computadores;
V. Deve possibilitar a criação de alertas por grupos como: (vazamento de dados,
atividades do usuário, cyber detect, etc...)
VI. Deve ter um sistema de alertas personalizável pelo administrador que poderá
configurar os seguintes itens constantes em um alerta:
a) Ataques identificados;
b) Vulnerabilidades conhecidas;
c) Infecções detectadas;
d) Arquivos acessados;
e) Arquivos copiados;
f) Arquivos apagados;
g) Arquivos alterados;
h) Logon de determinados usuários;
i) Execução de determinados executáveis;
j) Utilização simultânea de redes sem fio e cabeadas;
k) Aviso sobre eventos críticos no sistema (falha de hardware, falta de espaço
de armazenamento em disco, notificação de ataque, etc.);
l) Instalação de novos aplicativos.

www.abgsystems.com A.B.G Computer Systems LTDA

www.orevsn.com