Página 1 de 17

OSMANY D. R. ARRUDA

THREAT HUNTING & INCIDENT RESPONSE

AULA 03
PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800
ti.antoniojunior@gmail.com
 Página 2 de 17

SUMÁRIO

O QUE VEM POR AÍ?............................................................................................... 3

HANDS ON................................................................................................................4
SAIBA MAIS............................................................................................................. 5
O QUE VOCÊ VIU NESTA AULA?............................................................................8
REFERÊNCIAS........................................................................................................15

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 3 de 17

O QUE VEM POR AÍ?

Nesta aula, abordaremos uma das ferramentas mais importantes para

prevenção e resposta a incidentes, o SIEM – um sistema especializado destinado ao
gerenciamento e correlação de eventos de segurança da informação.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 4 de 17

HANDS ON

Neste Hands On, teremos uma conversa entre os professores Osmany Arruda
e Rodrigo Monteiro abordando alguns dos principais aspectos relacionados a soluções
SIEM, tais como aplicabilidade, funcionamento e use cases.

Figura 1 – Visão geral de pipelines do Logstash

Fonte: HP Developers (2023)

Adicionalmente, serão também apresentadas algumas das soluções mais

populares do mercado, bem como a demonstração prática de conceitos fundamentais
relacionados aos SIEM.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 5 de 17

SAIBA MAIS

Antes de se falar em SIEM – Security Information Event Management –, é

conveniente reforçar alguns dos principais conceitos que serão utilizados ao longo
desta aula, necessários para o correto entendimento desta ferramenta indispensável
na prevenção e resposta a incidentes.

Em tradução livre por parte do autor, a ISO/IEC 27000:2018(E) define em seu

Capítulo 3 os seguintes termos e definições:

3.28 Segurança da Informação

Preservação da confidencialidade, integridade e disponibilidade da informação

(adicionalmente, outras propriedades, como autenticidade, confiabilidade e não-
repúdio, poderão também ser envolvidas).

3.30 Evento de Segurança da Informação

Ocorrência identificada no estado de um sistema, serviço ou rede que indique

uma possível violação da política de segurança ou falha de controles ou ainda uma
situação previamente desconhecida que possa ser relevante para a segurança.

3.31 Incidente de Segurança da Informação

Ocorrência de um único ou uma série de eventos de segurança inesperado(s)

ou indesejado(s) que tenha(m) significativa probabilidade de comprometimento das
operações de negócios e de ameaçar a segurança da informação.

Considere o cenário ilustrado na figura 2, no qual uma determinada automação

se autentica por meio de um token em uma aplicação para executar seu job, como por
exemplo coletar e compactar dados dela para análise. Entretanto, por algum motivo,
durante a atualização desta aplicação o token de autenticação utilizado pela
automação também é alterado.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 6 de 17

Figura 2 – Autenticação de automação

Fonte: elaborado pelo autor (2023)

Como resultado, cada vez que a automação tenta se autenticar para executar
seu trabalho, o processo falha, gerando um evento de segurança.

Provavelmente, a automação continuará tentando se autenticar na aplicação,

ao menos por mais algumas vezes, gerando novos eventos de segurança que,
provavelmente, atrairão a atenção do monitoramento, não caracterizando, entretanto,
uma ofensa, uma vez que tais falhas de autenticação decorrem da atualização
executada, não de comportamento malicioso.

Tomaremos agora como referência um segundo cenário, no qual um insider,

aproveitando-se de seu acesso à rede local de uma determinada empresa, inicia um
ataque de brute force contra a aplicação anteriormente referida. Tais ferramentas,
geralmente, apresentam comportamento bem conhecido e facilmente detectado por
controles de segurança bem implementados.

Por exemplo: é possível que, enquanto a automação faça uma única tentativa
de autenticação por segundo, a ferramenta de brute force faça dezenas no mesmo
período, em múltiplas tasks paralelas, caracterizando, portanto, uma ofensa – um
incidente de segurança. A figura 3 exibe um gráfico representando o perfil do tráfego
e o tempo de envio verificado entre os pacotes Telnet de uma amostra (pacotes Telnet
1 a 81) coletada ao longo de uma simulação de ataque de força bruta contra um
servidor de testes.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 7 de 17

Figura 3 – Brute force - Telnet

Fonte: elaborado pelo autor (2023)

Nela, é possível observar que o tempo de envio dos pacotes ao servidor de

testes para descoberta da senha do usuário apresentam, predominantemente, valores
inferiores a 200ms (milissegundos), sugerindo o uso de ferramenta (propositalmente
mal configurada) para automação do processo e caracterizando uma ofensa.

No contexto abordado, um ataque por brute force apresenta um comportamento

bem conhecido, uma “assinatura” característica. Entretanto, cabe ressaltar que um
ofensor habilidoso é capaz de configurar uma ferramenta para brute force de forma
que ela passe a apresentar um comportamento muito próximo de um ser humano,
dificultando assim a detecção da ofensa. Portanto, esse é um exemplo simples, que
demonstra a necessidade de análise comportamental e não apenas padrões e
assinaturas comumente adotados.

Essa análise e a detecção e resposta a um incidente de segurança podem ser

feitas de forma extremamente eficiente por soluções EDR (endponit detection and
response) e XDR (extended detection and response). De forma bastante simplificada,
o EDR analisa informações provenientes de diferentes fontes, limitadas, entretanto,
ao host em que reside.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 8 de 17

Constituem algumas das informações coletadas por soluções EDR: contas de

usuários utilizadas para login local ou remoto, uso de ferramentas administrativas do
sistema operacional e endereços de origem e destino de conexões originadas e/ou
recebidas pelo host. O XDR é capaz de fazer o mesmo, com uma vantagem adicional
bastante significativa: ele é capaz de entender também o contexto formado entre todos
os hosts que compartilham a solução.

Figura 4 – Visão geral do XDR

Fonte: Trend [s.d]

A figura 4 exemplifica algumas das fontes a partir das quais as soluções XDR
coletam dados sobre os eventos/incidentes registrados. Tais dados são denominados
telemetria. Para melhor entendimento, exemplificamos a seguir alguns tipos de
dados coletados a partir de cada fonte:

1. Workloads em nuvem

1.1 Mudanças de configuração.

1.2 Criação ou alteração de instâncias.

1.3 Atividades de contas de usuários.

1.4 Processos.

1.5 Comandos executados.

1.6 Conexões de rede.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 9 de 17

1.7 Arquivos criados e/ou acessados.

2. E-mail

2.1 Metadados da mensagem (e-mail externo e interno).

2.2 Metadados de anexos.

2.3 Links externos.

2.4 Atividades de usuários.

3. Endpoints

3.1 Processos.

3.2 Comandos executados.

3.3 Conexões de rede.

3.4 Arquivos criados/acessados.

3.5 Modificações de registro.

Além das fontes de dados anteriormente citadas, há ainda outras, como

firewalls e switches, também capazes de fornecer dados relevantes acerca de eventos
e incidentes de segurança. Entretanto, elas podem não ser capazes de identificar
claramente uma ameaça, evento ou incidente, carecendo de uma solução
especializada para tal. A solução SIEM agrega e correlaciona os dados (logs) de
múltiplas fontes distintas, incluindo EDR/XDR e, então, identifica eventos e incidentes
de segurança e emite alertas correspondentes.

De acordo com a IBM: “SIEM é uma solução de segurança para empresas,

usada para identificar ameaças e vulnerabilidades antes que elas prejudiquem as
operações de negócios. Ela oferece monitoramento e análise de eventos em tempo
real, rastreamento e registro de dados de segurança para fins de conformidade ou
auditoria”.

Entre outros, destacam-se três dos principais pontos relacionados às soluções

SIEM:

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 10 de 17

1. Gerenciamento de logs: conforme citado anteriormente, a solução coleta

dados de eventos de múltiplas fontes no ambiente da organização.

2. Correlação e análise de eventos: parte essencial de qualquer solução

SIEM. Essas tarefas se baseiam em análises avançadas de dados, a fim de
identificar e entender padrões complexos. A correlação de eventos fornece
insights para localizar e mitigar rapidamente possíveis ameaças à
segurança do negócio.

3. Monitoramento de incidentes e alertas de segurança: ao possibilitar o

gerenciamento centralizado da infraestrutura on premises e em cloud, as
soluções SIEM são capazes de identificar as entidades do ambiente de TI e
monitorar incidentes de segurança envolvendo usuários e dispositivos,
entre outros. A solução é capaz, ainda, de classificar comportamentos
anormais assim que detectados. Providos de regras de correlação
predefinidas e personalizáveis, administradores podem receber alertas
imediatamente e corrigir incidentes antes que eles se tornem problemas de
segurança mais graves.

Do exposto, é possível apontar, entre outros benefícios proporcionados por

soluções SIEM: (I) o reconhecimento avançado de ameaças em tempo real, (II)
auditoria e conformidade regulatória, (III) automatização impulsionada por inteligência
artificial e (IV) investigações forenses. Neste contexto, vale destacar também a
detecção de ameaças avançadas e desconhecidas, por exemplo:

• Ameaças internas: exploração de vulnerabilidades de segurança ou

ataques por insiders.

• Ataques por phishing: ataques de engenharia social disfarçados de

entidades confiáveis, geralmente para obter dados de usuários, credenciais
de login, informações financeiras ou outras informações
relevantes/confidenciais.

• Injeções de SQL: exploração de vulnerabilidade em sistemas que utilizam

bancos de dados SQL com o intuito de burlar medidas de segurança e
adicionar, modificar ou excluir registros residentes nestes bancos.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 11 de 17

• Ataques DDoS: ataque distribuído destinado à negação de algum serviço

baseado na inundação de redes e sistemas com níveis de tráfego não
gerenciáveis, provocando a degradação do desempenho de portais web e
servidores, até que não mais atendam às necessidades de negócio.

• Exfiltração de dados: remete ao vazamento de dados, geralmente

provocado pelo comprometimento de credenciais utilizadas por ativos de
rede por uma ameaça persistente avançada (APT).

Um ponto altamente relevante sobre a implementação de uma solução SIEM

recai sobre seus “use cases” (casos de uso). Simplificadamente, um use case se
refere a um cenário ou circunstância específica que o SIEM deve detectar e alertar
em caso de ocorrência. Alguns dos use cases mais comuns são:

1. Detecção de ameaças: pode incluir a identificação de padrões incomuns

no tráfego de rede, tentativas de acesso não autorizadas, códigos
maliciosos e outras atividades suspeitas.

2. Monitoramento de conformidade: as empresas podem utilizar uma

solução SIEM para coletar a analisar dados, a fim de verificar sua
conformidade com regulamentações específicas ou padrões como HIPA,
NIST e PCI DSS, entre outros.

3. Resposta a incidentes: uma solução SIEM é altamente relevante para

resposta a incidentes, emitindo alertas em tempo real, fornecendo dados
para fins forenses e ajudando os times de resposta a incidentes a avaliar
rapidamente a ocorrência, conter o incidente e erradicar a ameaça, por
exemplo.

4. Detecção de phishing: uma solução SIEM pode analisar o tráfego de e-

mails a fim de identificar anexos, links maliciosos, entre outros.

5. Segurança de rede: soluções SIEM podem monitorar ativos de rede, como

switches, roteadores e firewalls a fim de detectar ameaças e
vulnerabilidades de rede.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 12 de 17

De maneira geral, os use cases têm como componentes principais:

• Regras: detectam e emitem alertas com base em eventos específicos.

• Lógica: determinará como os eventos ou regras serão tratados.

• Ações: determinarão as medidas a serem executadas, conforme a

lógica ou condições predeterminadas.

Sugestões para construção de use cases

Podemos sugerir como elementos básicos, porém não únicos, para construção
de use cases:

1. Identificar os objetivos de segurança: começar pelo entendimento dos

objetivos e das prioridades de segurança da organização. Determinar o que
se deseja alcançar com a solução SIEM, como aprimoramento da detecção
de ameaças ou a atenuação de riscos de segurança específicos, por
exemplo.

2. Definir os requisitos do use case: determinar os requisitos para o use

case: as fontes de dados, sistemas e ativos críticos a monitorar, o escopo e
os limites do use case, entre outros.

3. Explicitar os objetivos do use case: explicitar claramente o que ele

deverá realizar. Por exemplo: se o use case for direcionado para a detecção
de ameaças, especificar claramente os tipos de ameaças que deverão ser
detectadas (códigos maliciosos, insiders, acesso não autorizado, entre
outros).

4. Determinar as fontes de dados: elencar claramente as fontes de dados a

monitorar para que os objetivos do use case sejam atingidos. Por exemplo:
logs de servidores, logs de firewalls, logs de ativos de rede, de endpoints e
de aplicações.

5. Desenvolver a lógica do use case: desenvolver a lógica ou as regras que

serão usadas para a detecção do evento ou a condição de segurança
específica em que se esteja interessado(a). Os sistemas SIEM geralmente

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 13 de 17

usam regras de correlação, expressões regulares e análise comportamental

para identificar anomalias ou incidentes de segurança.

6. Determinar os limites (thresholds) e acionadores (triggers): definir os

limites ou acionadores que produzirão os alertas sobre eventos e incidentes.
Por exemplo: especificar quando um alerta deverá ser emitido com base no
número de tentativas de login que falharam, na volumetria do tráfego de
rede ou em um padrão de evento específico.

O ciclo de vida dos use cases

Durante a operação diária em um SOC, os use cases receberão inputs dos

analistas de SOC de nível 1 ou 2. A maioria destes inputs se deve à detecção de
falsos positivos. Se o SOC dispuser de serviços de threat hunting e de CTI (cyber
threat intelligence), haverá inputs produzidos também por tais serviços, com base no
tráfego que não foi detectado pelos use cases atuais ou pela identificação de uma
nova ameaça por parte da CTI.

Com base nos falsos positivos identificados pelos analistas de SOC de nível 1
e 2, os use cases poderão ser ajustados a fim de reduzir os alertas indesejados
gerados na plataforma SIEM. Um(a) administrador(a) de SIEM ou engenheiro(a) de
use cases também deverá avaliar sua eficiência, identificando eventos com
correspondência parcial, número de alertas duplicados gerados e outros critérios. A
figura 4 ilustra seu ciclo de vida.

Figura 5 – Ciclo de vida de use cases de SIEM

Fonte: Kumar (2020)

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 14 de 17

O QUE VOCÊ VIU NESTA AULA?

Nesta aula, você viu os fundamentos do SIEM, uma ferramenta altamente

relevante para detecção e resposta a incidentes, conformidade e produção de alertas
de segurança, entre outras possibilidades. Ela trabalha essencialmente com base na
análise e correlacionamento de logs. Recomendamos o aprofundamento neste tema,
pois ele contribuirá significativamente para sua formação profissional.

Recomendamos ainda a leitura do artigo “ArcSight, QRadar e Splunk: Qual

o Melhor SIEM?”, descrito nas referências, para uma introdução a três das soluções
SIEM mais populares do mercado.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 15 de 17

REFERÊNCIAS

CINQUE, M; COTRONEO, D; PECCHIA, A. Challenges and Directions in Security

Information and Event Management (SIEM). 2018. Disponível em:
<https://ieeexplore.ieee.org/abstract/document/8539170>. Acesso em: 28 nov. 2023.

GONZÁLEZ-GRANADILLO, G.; GONZÁLEZ-ZARZOSA, S.; DIAZ, R. Security

Information and Event Management (SIEM): Analysis, Trends, and Usage in Critical
Infrastructures. 2021. Disponível em: <https://doi.org/10.3390/s21144759>. Acesso
em: 28 nov. 2023.

HP DEVELOPERS. Logstash. 2023. Disponível em:

<https://developers.hp.com/files/add-elasticsearch-untawale-image-3-
logstashjpg?language=pt>. Acesso em: 28 nov. 2023.

IBM. O que é SIEM? 2023. Disponível em: <https://www.ibm.com/br-pt/topics/siem> .

Acesso em: 28 nov. 2023.

KUMAR, A. A quick guide effective SIEM use cases. 2020. Disponível em:
<https://securityintelligence.com/posts/quick-guide-to-siem-use-cases/>. Acesso em:
28 nov. 2023.

MINUTO DA SEGURANÇA. ArcSight, QRadar e Splunk: Qual o Melhor SIEM?

2018. Disponível em: <https://minutodaseguranca.blog.br/12037-
2/#:~:text=ArcSight%2C%20IBM%20QRadar%20e%20Splunk,Gerenciamento%20d
e%20Eventos%20(SIEM)>. Acesso em: 28 nov. 2023.

TREND. O que é XDR? 2023. Disponível em:

<https://www.trendmicro.com/pt_br/what-is/xdr.html#xdr-edr-tm-anchor>. Acesso em:
28 nov. 2023.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 16 de 17

PALAVRAS-CHAVE

Palavras-chave: Logs. Correlacionamento. Use case.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 17 de 17

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com