Um Security Operations Center (SOC) está operando uma solução SIEM (Security Information and Event Management) que recebe logs de múltiplas fontes:
• Firewall de perímetro (5.000 eventos/segundo); • Proxies web (8.000 eventos/segundo); • Servidores Windows/Linux (3.000 eventos/segundo); • EDR em endpoints (12.000 eventos/segundo); • Cloud AWS/Azure (4.000 eventos/segundo).
O SOC configurou as seguintes regras de correlação:
Regra 1: “Múltiplas tentativas de login falhadas (>10) em diferentes sistemas pelo mesmo usuário em janela de 5 minutos” → Gera alerta de severidade MÉDIA.
Regra 2: “Login bem-sucedido após múltiplas falhas + acesso a arquivo sensível + exfiltração de dados (>100MB upload externo)” → Gera alerta de severidade ALTA.
Regra 3: “Criação de nova conta administrativa + modificação de GPO + execução de PowerShell codificado em Base64” → Gera alerta de severidade CRÍTICA.
Durante uma janela de 30 minutos, o SIEM detectou:
09:00h: Usuário “joao.silva” - 15 logins falhados em 3 aplicações diferentes (SIEM, ERP, Portal RH);
09:03h: Usuário “joao.silva” - Login bem-sucedido no ERP a partir de IP 177.192.20.71 (Brasil);
09:07h: Usuário “joao.silva” - Acesso ao diretório “\fileserver\financeiro\confidencial”;
09:15h: Mesmo IP 177.192.20.71 - Upload de 250MB para storage.xpto.com via HTTPS;
09:20h: Login bem-sucedido do usuário “admin.ti” (conta administrativa) a partir do mesmo IP 177.192.20.71.
Com base neste cenário, assinale a opção que apresenta a análise correta dos alertas disparados e a resposta adequada para este cenário.
- A Apenas o alerta da Regra 1 foi disparado, indicando possível ataque de força bruta. A Regra 2 não foi acionada porque o upload ocorreu 12 minutos após o login, excedendo a janela de correlação típica. Ação recomendada: resetar senha de “joao.silva”, implementar MFA na conta e monitorar por 24h.
- B Os alertas das Regras 1 e 2 foram disparados, caracterizando provável comprometimento de credenciais seguido de exfiltração. Ação recomendada: revogar sessões ativas de “joao.silva”, isolar o endpoint no IP 177.192.20.71, bloquear comunicação com storage.xpto.com, e iniciar investigação forense do fileserver e logs de acesso.
- C Os alertas das Regras 1, 2 e 3 foram disparados em sequência. O login de “admin.ti” às 09:20h do mesmo IP indica elevação de privilégios após o comprometimento inicial. Ação recomendada: desabilitar ambas as contas (“joao.silva” e “admin.ti”), reverter alterações em GPOs, e acionar resposta a incidente nível crítico.
- D Apenas o alerta da Regra 2 foi disparado. A Regra 1 não foi acionada porque os 15 logins falhados distribuídos em 3 sistemas diferentes não caracterizam “múltiplos sistemas” conforme threshold da regra. Ação recomendada: bloquear IP 177.192.20.71 no firewall, quarentenar arquivos acessados e notificar usuário “joao.silva” sobre possível comprometimento.
- E Nenhum alerta foi disparado porque a sequência de eventos, embora suspeita, não atende simultaneamente a todos os critérios de nenhuma das três regras configuradas. Ação recomendada: criar nova regra de correlação que capture este padrão específico de comportamento e manter monitoramento manual do IP 177.192.20.71.