Avançado Defesa (Blue Team)

Detecção e resposta a incidentes (IR)

Incident Response (IR) é o processo estruturado para identificar, conter e eliminar ameaças antes que causem dano irreversível. Um plano bem definido reduz o MTTR e os prejuízos operacionais.

Ciclo de vida do NIST SP 800-61

Preparação ──► Detecção & Análise ──► Contenção ──► Erradicação ──► Recuperação ──► Lições aprendidas
     ▲                                                                                      │
     └──────────────────────────────────────────────────────────────────────────────────────┘

1. Preparação

  • Runbooks documentados por tipo de incidente (ransomware, DDoS, insider threat).
  • Contatos atualizados: TI, jurídico, comunicação, CERT externo.
  • Acesso pré-autorizado a backups e snapshots.
  • Ferramentas prontas: EDR, captura de pacotes, imagem forense.

2. Detecção e análise

Fontes de alertas: SIEM, EDR, SOAR, usuário reportando.

Triagem inicial:

Classificação de severidade:
  P1 — Crítico: dado sensível exfiltrado, ransomware ativo, sistema core comprometido
  P2 — Alto:    acesso não autorizado confirmado, malware contido
  P3 — Médio:   tentativa de intrusão bloqueada, scan interno
  P4 — Baixo:   falso positivo, evento informativo

3. Contenção

Contenção de curto prazo — parar o sangramento imediato:

# Isolamento de host comprometido (exemplo em ambiente interno)
# Via EDR: acionar isolamento de rede no console
# Via firewall: bloquear IP no segmento afetado
iptables -I FORWARD -s 192.168.1.77 -j DROP
iptables -I FORWARD -d 192.168.1.77 -j DROP

Contenção de longo prazo — manter operação enquanto investiga:

  • Segmentar VLAN do host isolado.
  • Resetar credenciais comprometidas imediatamente.
  • Preservar evidências antes de qualquer mudança (tirar snapshot/imagem).

4. Erradicação

  • Identificar vetor inicial: phishing, exploit, credencial vazada.
  • Remover artefatos: malware, scheduled tasks, backdoors, usuários criados pelo atacante.
  • Patchar vulnerabilidade explorada ou remover serviço exposto.
Checklist erradicação:
  [ ] Malware removido e confirmado com EDR
  [ ] Persistências apagadas (registro, cron, serviços)
  [ ] Credenciais rotacionadas
  [ ] Patch aplicado
  [ ] Logs preservados para forense

5. Recuperação

  • Restaurar de backup confiável (verificar integridade com hash).
  • Monitorar ativo recuperado por 72h com regras reforçadas.
  • Validar integridade do serviço antes de retornar à produção.

6. Lições aprendidas (Post-Mortem)

Reunião em até 5 dias após encerramento:

  • Timeline completo do incidente.
  • O que funcionou, o que falhou.
  • Ações corretivas com dono e prazo.
  • Atualizar runbook com o que foi aprendido.

Ferramentas de suporte

FaseFerramenta
DetecçãoElastic SIEM, Wazuh, Splunk
ContençãoEDR (CrowdStrike, SentinelOne), Firewall API
ForenseVolatility, Autopsy, FTK
OrquestraçãoTheHive, XSOAR, Shuffle