Avançado Defesa (Blue Team)
SIEM e correlação de eventos
Um SIEM (Security Information and Event Management) é o hub central do Blue Team. Ele agrega logs de diversas fontes, aplica regras de correlação e dispara alertas quando padrões suspeitos aparecem.
Arquitetura de ingestão
Firewall ──┐
IDS/IPS ──┤──► Agente/Syslog ──► Ingestor ──► Parser ──► Index ──► Correlação
Servidores─┘Fontes comuns: syslogs (syslog-ng, rsyslog), APIs cloud (AWS CloudTrail, Azure Monitor), EDR, DNS, proxy web.
Normalização e parsing
Antes de correlacionar, cada log é parseado em campos estruturados.
Raw: "Jun 25 10:14:32 fw01 kernel: DROP IN=eth0 SRC=203.0.113.9 DST=10.0.1.5 DPT=22"
Parsed:
timestamp: 2026-06-25T10:14:32Z
host: fw01
action: DROP
src_ip: 203.0.113.9
dst_ip: 10.0.1.5
dst_port: 22Ferramentas: Logstash, Fluentd, Cribl. Formato unificado comum: ECS (Elastic Common Schema).
Regras de correlação
Correlação liga eventos distintos que, juntos, indicam ataque.
REGRA: "Brute Force SSH"
Condição: action=FAIL AND dst_port=22
Agrupamento: src_ip
Limiar: count >= 10 em 60 segundos
Ação: ALERTA HIGH + bloquear IP no firewall via APIExemplos de correlação mais complexa:
- Login falho → login OK → acesso a dado sensível (lateral movement)
- Port scan + exploit attempt + shell reversa no mesmo src_ip em 5 min
Gestão de alertas e tunagem
Falsos positivos destroem a confiança no SIEM. Estratégias:
- Whitelist dinâmica: IPs de scanners internos, CI/CD.
- Baseline de comportamento: alertar desvio do normal (UEBA).
- Severity scoring: CVSS + contexto do ativo afetado.
- Supressão com prazo: silencia alerta durante janela de manutenção.
Dashboards e métricas
Painel SOC:
- Alertas abertos por severidade (HIGH/MED/LOW)
- MTTD: tempo médio até detecção
- MTTR: tempo médio até resposta
- Top 10 IPs de origem em DROPs
- Volume de logs ingeridos por fonteFerramentas populares
| Ferramenta | Tipo | Destaque |
|---|---|---|
| Elastic SIEM | Open/Cloud | ECS nativo, KQL, alertas ML |
| Splunk | Comercial | SPL poderoso, marketplace de apps |
| Wazuh | Open | XDR + SIEM, leve |
| Microsoft Sentinel | Cloud | Integração Azure/M365 |
Boas práticas
- Centralizar todos os logs antes de começar a correlacionar.
- Definir SLA de retenção (mínimo 90 dias online, 1 ano cold storage).
- Versionar regras de detecção no Git (Detection-as-Code).
- Revisar regras mensalmente: o ambiente muda, as regras devem mudar junto.