MAUD — Mythus Audit

As 6 fontes do MAUD — 5 em coleta contínua + Registro Forense sob demanda:

1

Cadastro de Identidade Natural

Usuários, libraries autorizadas, histórico de logons.

COLETA CONTÍNUA

2

Registro Forense de Alterações

Captura quem alterou cada campo — antes e depois.

CONSULTA SOB DEMANDA

3

Catálogo de Campos

Estrutura semântica das bases (DDM-VEICULOS, etc).

COLETA CONTÍNUA

4

Sistema Operacional

Sessões Linux + execução Natural (programa, linha, statement).

COLETA CONTÍNUA

5

Scheduler Corporativo

Acoplamento ao sistema de scheduler do cliente.

COLETA CONTÍNUA

6

Sistema de Segurança Corporativa

Acoplamento ao sistema de segurança do cliente.

COLETA CONTÍNUA

7

Hosts em operação

8 min

Última coleta contínua

0

Eventos correlacionáveis

1

Investigação ativa ⚠

A

Pelo campo alterado

Catálogo de Campos · Fase 3

"Em que cadastro vive o campo TAXA-LICENCIAMENTO? Quem o alterou?"

B

Pelo usuário

Cadastro de Identidade Natural · Fase 1

"Que sessões e programas USRX01 teve no período?"

C

Pelo programa Natural

Sistema Operacional · Fase 4

"Quem executou PGMOPS03 nas últimas 24 horas?"

D

Pela sessão Linux

Sistema Operacional · Fase 4

"Que sessões abriram Natural batch no período?"

E

Pelo job batch

Scheduler Corporativo · Fase 5

"PGMOPS03 deveria rodar como batch — rodou interativamente?"

F

Pelo perfil corporativo

Segurança Corporativa · Fase 6

"Quem tem perfil ADMSIST? Quem executou exigindo ADMSIST?"

!

Registro Forense de Alterações

Fase 2 — Ativação manual

⚠ ÚLTIMO RECURSO — abrir só após escopo reduzido

"Cara em I/O — não é ponto de partida."

Após escolher uma rota, o Step 3 apresenta a investigação passo a passo — cada clique avança uma fonte.

A

Rota A — Pelo campo alterado

Passo 1 de 7 — sem Registro Forense ainda

Fontes consultadas

● visitada

● consultando agora

● pendente

● Forense (último recurso)

⚠ Consulta formal ao Registro Forense

Parâmetros vindos da investigação anterior:

Data2026-04-15

Janela14:31:00 – 14:32:00 (60s)

BaseVEICULOS

CampoTAXA-LICENCIAMENTO

UsuárioUSRX01

OperaçãoUPDATE

Identificação técnica: DBID 045 · FNR 002 · ada B7 · flag A1

Por que só agora: o Registro Forense cresce em ritmo de centenas de milhões de linhas/dia. Sem o estreitamento prévio, a consulta levaria horas. Com escopo de 60 segundos + 1 campo + 1 usuário, retorna em < 2 segundos.

Linha do tempo forense — 5 fontes correlacionadas

2026-04-08 a 2026-04-15

Identidade Histórico USRX01 — sem logons (7 dias)

Cadastro de logons vazio para USRX01 (titular em férias)

2026-04-15 14:23:11

SO Conexão Linux iniciada

Sessão pts/3 — terminal CLI4200

2026-04-15 14:23:14

Identidade Logon Natural USRX01 — terminal CLI4200

⚐ terminal habitual de USRX01 é CLI3000 — anomalia de origem

2026-04-15 14:23:50

SO Sessão Natural batch iniciada

Sessão #685 (interativa, modo batch)

2026-04-15 14:24:50

SO Programa PGMCONS01 executado (legítimo)

Library BASEUSR — autorizado para perfil OPMESA

2026-04-15 14:31:08

SO Programa PGMOPS03 executado ⚐

Library SYSPLN — sem autorização para USRX01

2026-04-15 14:31:40

Corp Perfil OPMESA executando função ADMSIST ⚐

USRX01 tem perfil OPMESA — PGMOPS03 exige ADMSIST

2026-04-15 14:31:41

Sched PGMOPS03 executado interativamente ⚐

Programa normalmente roda como JOBNIGHTLY01 (batch)

2026-04-15 14:31:42 ⚠

Forense UPDATE em DDM-VEICULOS.TAXA-LICENCIAMENTO

R$ 348,50 → R$ 0,00 | linha 240 — statement UPDATE

2026-04-15 14:32:15

Identidade Logoff USRX01 — sessão #685 encerrada

duração total: 9m04s

Cadeia de custódia

Evidência MAUD-2026-0415-001

Classificação

ALTERAÇÃO INDEVIDA — UPDATE NÃO AUTORIZADO

Quem

USRX01 (perfil corporativo OPMESA)

O quê

DDM-VEICULOS · TAXA-LICENCIAMENTO
R$ 348,50 → R$ 0,00

Quando

2026-04-15 14:31:42 (horário corporativo)

Onde

Terminal CLI4200 · Library SYSPLN

Como

Programa PGMOPS03 — linha 240
statement: UPDATE VEICULOS

Veículo afetado

Placa XYZ-1234

Fontes correlacionadas

Identidade + SO + Sched + Corp + Forense (5/6)

Forense acionado em

passo 5 (após escopo reduzido)

⚐ Evidência circumstancial — histórico do titular

• USRX01 sem logons nos 7 dias anteriores — coincide com período de férias do titular registradas no RH.

• Terminal CLI4200 nunca usado por USRX01 em logons históricos — terminal habitual era CLI3000 (gerência).

• Programa PGMOPS03 exige perfil ADMSIST — USRX01 tem apenas OPMESA.

• PGMOPS03 nunca executado interativamente em nenhum histórico — sempre como JOBNIGHTLY01.

▶ Hipótese forense (conclusão investigativa)

Uso indevido de credencial de supervisor durante ausência do titular. A combinação de logon em terminal não habitual + execução de programa fora do perfil do titular + fora do padrão de scheduler indica que a senha de USRX01 foi utilizada por terceiro. Recomendação: bloquear credencial, revisar política de senhas compartilhadas e aplicar segregação de função para programas com perfil ADMSIST.

Hora não denunciou.

Comportamento denunciou.

Sem MAUD: cruzamento manual entre 4 equipes — 2 a 3 dias úteis. Com MAUD: investigação completa em menos de 1 hora, com Registro Forense acionado apenas no último passo.

📐 Versão técnica completa — esta é uma demonstração visual. O mockup técnico com queries SQL, schema relacional, joins entre tabelas, formato dos registros forenses e detalhamento do pipeline está disponível sob solicitação para reuniões técnicas (Tech Lead Rafael Miranda).