Escolar Documentos
Profissional Documentos
Cultura Documentos
Objetivo
2. Detecção
Recebemos as detecções de diversos alertas na ferramenta do RIS
3. Análise e investigação
Analisando os detalhes das atividades de entrada conseguimos identificar que o atacante não
conseguiu efetuar a descoberta da senha utilizando de seus métodos de ataques.
Aprofundando mais na investigação, nós analisamos as políticas de acesso condicional
relacionado a métodos de autenticação MFA aplicadas para este usuário e conseguimos
identificar que não havia aplicado métodos de autenticação utilizáveis como camada de proteção
para este colaborador.
Esta fase tem como objetivo eliminar completamente a causa raiz deste incidente de brute force, sempre
que possível, eliminando completamente o invasor do ambiente e impedindo que novos ataques sejam
realizados (utilizando os mesmos métodos e meios utilizados pelo atacante).
• Realizar um filtro completo checando se houve mais relatos de tentativas de ataques de brute force
no ambiente utilizando o mesmo comportamento partindo das mesmas origens e com os mesmos
destinos e se é possível cruzar as informações e relacioná-los
• Alimentar as principais ferramentas de segurança com os IOC’s (indicadores de comprometimento)
com as informações e dados coletados durante a investigação como por exemplo IP’s maliciosos,
domínios, e-mail e hashes.
6. Recuperação
Esta fase tem como objetivo restaurar os serviços, configuração e nível de controles/ recomendáveis.
• Analisar e restaurar os serviços que possam ter sofrido alguma indisponibilidade devido ao
bloqueio do domínio.
• Se for necessário, efetuar os testes com os usuários da organização para garantira normalização
do ambiente.
Em caso de incidentes confirmados, após toda a contenção e mitigação, todo o fluxo do processo deverá
ser documentado em relatório evidenciando todas os processos de contenção tomadas pelos times
envolvidos.