methodology - RunkIntel

# Metodologia do Pipeline CTI > [!info] Transparência sobre como a inteligência é produzida > Este documento explica o pipeline completo do RunkIntel: de onde vem a informação, como é processada, e o que garante a qualidade do output. Entender o processo ajuda a interpretar e confiar nas análises. ## Visão Geral O RunkIntel opera como um pipeline de ETL (Extract-Transform-Load) orientado à inteligência de ameaças. A coleta é automatizada, o enriquecimento combina automação com curadoria humana, e a disseminação acontece em múltiplos formatos para diferentes audiências. ```mermaid graph TB subgraph COLETA["1 - Coleta"] A1["100+ Fontes RSS, APIs, OSINT"] --> A2["Inbox Captura bruta"] end subgraph TRIAGEM["2 - Triagem"] A2 --> B1["Filtragem Relevância + duplicatas"] B1 --> B2["Scoring P1 a P4"] end subgraph ENRICH["3 - Enriquecimento"] B2 --> C1["MITRE ATT&CK Mapeamento de TTPs"] C1 --> C2["Contexto LATAM Impacto regional"] C2 --> C3["Correlação Atores + Campanhas + CVEs"] end subgraph OUTPUT["4 - Disseminação"] C3 --> D1["Feed CTI Rolling 30 dias"] C3 --> D2["Weekly Report Síntese semanal"] C3 --> D3["Base de Conhecimento Notas permanentes"] end style COLETA fill:#1e3a5f,color:#fff style TRIAGEM fill:#3b1f5e,color:#fff style ENRICH fill:#1a4731,color:#fff style OUTPUT fill:#4a2c17,color:#fff ``` --- ## 1 - Coleta ### Fontes O RunkIntel monitora **100+ fontes únicas** organizadas em 4 tiers de confiabilidade: | Tier | Tipo | Quantidade | Frequência | Exemplos | |------|------|-----------|-----------|----------| | **Tier 1** | Blogs/pesquisa de vendors | 40 | Diária | Mandiant, Unit42, Talos, Securelist, CrowdStrike | | **Tier 2** | APIs de vulnerabilidade | 19 | Diária | NVD/NIST, CISA KEV, Microsoft MSRC, GitHub Advisory | | **Tier 3** | OSINT social | 2 | Diária | Reddit (r/netsec, r/cybersecurity), Twitter/X | | **Tier 4** | Feeds de IOCs | 5 | A cada 6h | OTX AlienVault, abuse.ch, TweetFeed | Além disso, **18 fontes LATAM-específicas** são monitoradas separadamente: - CERT.br, CTIR Gov, CAIS/RNP (governo brasileiro) - Tempest, ISH Tecnologia, Axur (pesquisa brasileira) - Kaspersky LATAM, ESET LATAM (cobertura regional) - LACNIC CSIRT (coordenação regional) A lista completa de fontes está disponível em [[sources|Fontes de Inteligência]]. ### Escala de Confiabilidade | Rating | Significado | |--------|-------------| | **A** | Altamente confiável - fonte primária, pesquisa original | | **B** | Confiável - fonte secundária respeitável | | **C** | Geralmente confiável - agregador, verificar claims | | **D** | Nem sempre confiável - requer corroboração | | **F** | Não confiável / desconhecida | ### Método de Coleta A coleta é automatizada via Claude Code com ferramentas especializadas: | Ferramenta | Uso | |------------|-----| | Firecrawl | Scraping de blogs e advisories (Tier 1) | | APIs diretas | NVD, CISA KEV, MSRC (Tier 2) | | Apify | Reddit, Twitter/X (Tier 3) | | REST APIs | OTX, abuse.ch (Tier 4) | | Perplexity | Pesquisa contextual e verificação | --- ## 2 - Triagem ### Critérios de Filtragem Nem tudo que é coletado vira nota. O pipeline aplica filtros em cascata: 1. **Deduplicação:** Mesma notícia de múltiplas fontes é consolidada 2. **Relevância:** Prioridade para ameaças com impacto operacional (não apenas teórico) 3. **Contexto LATAM:** Bônus de prioridade para ameaças que afetam Brasil/LATAM 4. **Acionabilidade:** Preferência para inteligência que leva à ação defensiva ### Scoring P1-P4 Cada item recebe uma prioridade baseada em critérios objetivos: | Prioridade | Emoji | Critério | Exemplo | |-----------|-------|----------|---------| | 🟥 **P1** | CRITICAL | KEV ativo + exploit público, campanha ativa LATAM, impacto nacional | CVE-2024-47575 com exploração massiva | | 🟧 **P2** | HIGH | CVSS >= 9.0, KEV sem exploit, APT com novos TTPs | Novo ransomware afetando setor financeiro | | 🟨 **P3** | MEDIUM | CVSS >= 7.0, tendência relevante, malware novo | Nova variante de banking trojan | | 🟦 **P4** | LOW | Informativo, pesquisa, contexto | Paper acadêmico sobre técnica de evasão | > [!danger] Prioridade baseada em fatos, não em idade > Um item P1 continua P1 independente de quando foi registrado. A priorização reflete severidade operacional, não recência. ### Mapeamento Score Numérico para Prioridade O pipeline também usa scores numéricos (0-100) para granularidade: | Score | Prioridade | Ação | |-------|-----------|------| | >= 90 | P1 | Nota imediata + feed + alerta | | >= 75 | P2 | Nota em até 24h + feed | | >= 60 | P3 | Nota no próximo ciclo | | < 60 | P4 | Avaliar se merece nota | --- ## 3 - Enriquecimento ### O que é Automatizado vs. Curadoria Humana | Etapa | Automação | Humano | |-------|-----------|--------| | Coleta de fontes | Automático | Revisão de qualidade | | Scoring CVSS/EPSS/KEV | Automático (APIs) | Validação de edge cases | | Mapeamento MITRE ATT&CK | Parcial (Claude Code) | Revisão de precisão | | Contexto LATAM | Parcial (pesquisa) | Análise de impacto regional | | Correlação ator-campanha-CVE | Sugerido | Validação de atribuição | | Redação final | Rascunho (Claude Code) | Revisão editorial | | Publicação | Auto-publish | Despublicação se necessário | ### MITRE ATT&CK Mapping Toda nota de ameaça é mapeada para o framework MITRE ATT&CK: - **Técnicas:** Quais TTPs são usados (ex: T1566 Phishing) - **Táticas:** Em qual fase do ataque (ex: Initial Access, Execution) - **Mitigações:** Quais controles reduzem o risco (ex: M1032 MFA) - **Detecções:** Quais data sources detectam (ex: Data Sources) O vault contém **740 técnicas MITRE ATT&CK** completamente documentadas e **44 mitigações** mapeadas. ### Correlação O grafo de conhecimento do Obsidian cria correlações automáticas via wikilinks: - Um **CVE** conecta a **atores** que o exploram, **campanhas** onde foi usado, e **mitigações** - Um **ator** conecta a **malware** que usa, **técnicas** preferidas, e **setores** alvo - Uma **campanha** conecta a **CVEs**, **atores**, **malware**, e **países** afetados Cada nota tem mínimo de **8-12 wikilinks** para garantir conectividade no grafo. --- ## 4 - Disseminação ### Outputs do Pipeline | Output | Frequência | Audiência | Link | |--------|-----------|-----------|------| | [[_feed\|Feed CTI]] | Contínuo (rolling 30 dias) | Analistas SOC, threat hunters | Flagship | | [[_weekly\|Weekly Report]] | Semanal (domingo) | CISOs, gestores, equipes | Síntese executiva | | [[insights\|Insights LATAM]] | Trimestral | C-suite, estrategistas | Panorama regional | | Base de conhecimento | Contínua | Todos | Notas permanentes | ### Ciclo de Publicação ```mermaid graph TB A["Coleta cada 4h"] --> B["Enriquecimento diário 06:30"] B --> C["Feed Update diário"] C --> D["Weekly Draft alimentado diariamente"] D --> E["Síntese Semanal domingo 08:00"] E --> F["Publicação auto-publish"] style A fill:#1e3a5f,color:#fff style E fill:#059669,color:#fff style F fill:#16a34a,color:#fff ``` ### Garantia de Qualidade Cada nota passa por validação automática antes da publicação: | Critério | Limite | Ferramenta | |----------|--------|------------| | YAML frontmatter completo | Obrigatório | Validação automática | | Mínimo de wikilinks | 8-12 por nota | Quality gate | | Wikilinks válidos | 100% resolvidos | Link checker | | Conteúdo em português | Obrigatório | Revisão editorial | | Sem dados sensíveis | Zero tolerância | Checklist de publicação | | Score de qualidade | Mínimo 70/100 | Advisor review | --- ## Stack Tecnológico | Componente | Tecnologia | Papel | |-----------|-----------|-------| | Base de conhecimento | Obsidian | Vault Markdown + grafo | | Publicação | Obsidian Publish | Site estático, zero-JS | | Motor de ETL | Claude Code | Coleta, enriquecimento, geração | | Orquestração | Claude Code Skills | 16 comandos automatizados | | Pesquisa | Perplexity, Firecrawl | Deep research + scraping | | APIs de CVE | NVD, CISA KEV | Dados de vulnerabilidade | | OSINT social | Apify | Reddit, Twitter/X | --- ## Limitações Conhecidas > [!warning] O que o RunkIntel NÃO faz > - Não substitui um SIEM, EDR ou plataforma de detecção > - Não realiza análise de malware em sandbox (usa fontes públicas) > - Não tem acesso a inteligência classificada ou feeds comerciais pagos > - Atribuição de atores é baseada em fontes públicas, não em investigação própria > - IOCs são de fontes públicas e podem estar defasados **O RunkIntel é uma plataforma editorial e de aprendizado.** Ele contextualiza e correlaciona informação pública para acelerar decisões — não gera inteligência primária. --- ## Próximos Passos - Quer aplicar esta metodologia na prática? Veja o [[guide-analyst|Guia do Analista]] - Quer aprender CTI do zero? Comece pelas [[guide-learning|Trilhas de Aprendizado]] - Dúvidas? Consulte o [[faq|FAQ]] --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[_learn|Aprenda CTI]] · [[_about|Sobre o Projeto]] · [[sources|Fontes]]