guide-analyst - RunkIntel

# Guia do Analista SOC > [!tip] Como usar o RunkIntel na sua rotina de investigação > Este guia conecta alertas reais a fluxos de investigação dentro da plataforma. Cada fluxo mostra o caminho entre o alerta inicial e a acao defensiva, usando as notas do vault como base de conhecimento. ## Por Que Este Guia Existe O RunkIntel nao e uma ferramenta de detecção. E uma **base de conhecimento** que contextualiza alertas e acelera decisoes. Quando voce recebe um alerta no SIEM, o RunkIntel responde: - **Quem** esta por tras? (atores, grupos, motivacao) - **Como** o ataque funciona? (TTPs, kill chain, CVEs explorados) - **O que fazer agora?** (playbooks, mitigacoes, IOCs para busca) --- ## Fluxo 1 - Alerta de Ransomware ```mermaid graph TB A["🚨 Alerta SIEM Comportamento de ransomware"] --> B["📰 Feed CTI Buscar campanha ativa"] B --> C["📡 Campanha Identificar grupo e TTPs"] C --> D["👥 Perfil do Ator Historico e motivacao"] C --> E["🎯 TTPs Usados Técnicas MITRE ATT&CK"] E --> F["🛡️ Playbook IR Contencao e erradicacao"] D --> F F --> G["✅ Mitigacoes Hardening pos-incidente"] style A fill:#dc2626,color:#fff style F fill:#059669,color:#fff style G fill:#16a34a,color:#fff ``` **Passo a passo:** 1. **Recebeu alerta de ransomware?** Acesse o [[_feed|Feed CTI]] e busque por campanhas ativas relacionadas 2. **Identifique a campanha.** Por exemplo, se o ransomware e [[lockbit|LockBit]], acesse a campanha [[lockbit-brazil-campaigns|LockBit Brasil]] para entender o contexto regional 3. **Entenda o ator.** O perfil de [[lockbit|LockBit]] mostra historico, setores-alvo, e infraestrutura conhecida 4. **Mapeie os TTPs.** As técnicas usadas estao documentadas: - [[t1486-data-encrypted-for-impact|T1486]] - Criptografia de dados - [[t1190-exploit-public-facing-application|T1190]] - Exploração de servicos expostos - [[t1078-valid-accounts|T1078]] - Uso de credenciais válidas 5. **Execute o playbook.** O [[ir-ransomware-lockbit|Playbook de Ransomware LockBit]] tem o passo a passo de contencao, erradicacao e recuperacao 6. **Aplique mitigacoes.** Após o incidente: - [[m1030-network-segmentation|M1030]] - Segmentacao de rede - [[m1053-data-backup|M1053]] - Backup de dados - [[m1032-multi-factor-authentication|M1032]] - MFA --- ## Fluxo 2 - CVE Critico Novo ```mermaid graph TB A["🔴 CVE Critico CVSS >= 9.0 ou KEV"] --> B["📋 Nota de CVE CVSS, EPSS, patch"] B --> C["🎯 TTPs Associados Como e explorado"] B --> D["👥 Atores Conhecidos Quem explora este CVE"] C --> E["🛡️ Deteccoes Regras e data sources"] D --> F["📡 Campanhas Contexto operacional"] E --> G["✅ Mitigação Patch + hardening"] F --> G style A fill:#dc2626,color:#fff style G fill:#16a34a,color:#fff ``` **Passo a passo:** 1. **CVE novo apareceu?** O [[_feed|Feed CTI]] prioriza CVEs com scoring P1-P4. Itens 🟥 P1 sao criticos com exploração ativa 2. **Consulte a nota de CVE.** Exemplo: [[cve-2024-47575|CVE-2024-47575]] (FortiManager) mostra CVSS, EPSS, status KEV, e se tem patch disponível 3. **Entenda a exploração.** A nota conecta o CVE as técnicas MITRE usadas para explora-lo, como [[t1190-exploit-public-facing-application|T1190]] 4. **Verifique atores.** Alguns CVEs sao explorados por grupos conhecidos. O CVE-2024-47575 foi usado em campanhas direcionadas documentadas no vault 5. **Implemente defesa.** As mitigacoes específicas estao na nota do CVE. Para hardening geral: - [[m1051-update-software|M1051]] - Atualização de software - [[m1050-exploit-protection|M1050]] - Proteção contra exploits --- ## Fluxo 3 - Noticia LATAM / Contexto Regional ```mermaid graph TB A["📰 Noticia Ataque no Brasil/LATAM"] --> B{"Fonte confiavel? Tier 1 ou 2?"} B -->|Sim| C["📋 Contexto Buscar no vault"] B -->|Nao| D["⚠️ Aguardar Confirmar com 2a fonte"] C --> E{"Ator conhecido?"} E -->|Sim| F["👥 Perfil do Ator Historico LATAM"] E -->|Nao| G["🔍 Pesquisar Perplexity + Firecrawl"] F --> H["📡 Campanha Criar ou atualizar nota"] G --> H H --> I["🛡️ Acao Defensiva Playbook ou mitigação"] style A fill:#059669,color:#fff style D fill:#ca8a04,color:#fff style I fill:#16a34a,color:#fff ``` **Passo a passo:** 1. **Recebeu noticia de ataque regional?** Primeiro, valide a fonte. O RunkIntel usa uma [[sources|escala de confiabilidade]] de A (altamente confiavel) a F (nao confiavel) 2. **Busque contexto no vault.** Use a busca para verificar se o ator ou campanha já esta documentado. Exemplos de campanhas LATAM: - [[gopix-campaign|GoPix]] - Trojan bancario brasileiro direcionado a PIX - [[grandoreiro-banking-campaign|Grandoreiro]] - Banking trojan com campanhas de smishing - [[horabot-latam-2026|Horabot LATAM]] - Campanha ativa na regiao 3. **Avalie a prioridade.** Use os criterios P1-P4: - 🟥 **P1**: Exploração ativa confirmada + impacto nacional - 🟧 **P2**: CVSS >= 9.0 ou KEV sem exploit publico - 🟨 **P3**: CVSS >= 7.0 ou tendencia relevante - 🟦 **P4**: Informativo, pesquisa, contexto 4. **Acione defesa.** Playbooks específicos para contexto LATAM: - [[ir-banking-trojan-latam|IR Banking Trojan LATAM]] - [[ir-pix-fraud-android|IR Fraude PIX Android]] - [[ir-apt-espionage-latam|IR Espionagem APT LATAM]] - [[ir-supply-chain-latam|IR Supply Chain LATAM]] --- ## Referencia Rapida - Onde Encontrar o Que | Preciso de... | Onde buscar | Link direto | |---------------|-------------|-------------| | Alertas criticos do dia | Feed CTI com prioridade P1/P2 | [[_feed\|Feed CTI]] | | Resumo semanal para gestao | Relatorio semanal consolidado | [[_weekly\|Weekly Reports]] | | Perfil de um ator | Base de 310+ atores com TTPs | [[_groups\|Threat Actors]] | | Kill chain de uma campanha | Análise tática com Mermaid | [[_campaigns\|Campanhas]] | | Técnica MITRE específica | 740 técnicas mapeadas | [[_techniques\|Técnicas ATT&CK]] | | Playbook de resposta | 32 playbooks IR e hunting | [[_playbooks\|Playbooks]] | | CVE com contexto | CVSS + EPSS + KEV + LATAM | [[_vulnerabilities\|Vulnerabilidades]] | | Panorama LATAM executivo | Visao estratégica trimestral | [[insights\|Insights LATAM]] | | Timeline de incidentes | Linha do tempo CTI | [[_timeline\|Timeline]] | --- ## Dicas para Analistas > [!investigation] Antes de escalar um incidente > 1. Verifique se o ator tem historico LATAM (campo `targets-countries` no YAML) > 2. Cruze os TTPs do alerta com os TTPs documentados do ator > 3. Consulte o playbook antes de improvisar - ele já foi válidado > [!methodology] Ciclo de inteligencia > O RunkIntel segue o ciclo clássico de CTI: **Coleta** (100+ fontes) - **Processamento** (triagem P1-P4) - **Análise** (enriquecimento MITRE) - **Disseminacao** (feed + weekly). Entender este ciclo ajuda a interpretar as notas. Veja **Métodologia** para detalhes. --- ## Matriz de Escalacao Quando escalar e para quem: | Situação | Nivel | Escalar Para | SLA | |----------|-------|-------------|-----| | Item P1 no feed com exploração ativa confirmada | L2 SOC | Lider de SOC + patch management | 4 horas | | Campanha APT ativa contra setor brasileiro | L3 CTI | CISO + equipe de IR | 2 horas | | Zero-day sem patch (CISA KEV) | L2 SOC | Vulnerability management + CISO | 8 horas | | Ransomware com vitima no Brasil | L3 CTI | CISO + juridico + comúnicação | 1 hora | | IOC confirmado na rede interna | L3 IR | Incident Commander + forense | Imediato | | Breach de fornecedor critico (supply chain) | L2 SOC | Procurement + CISO + juridico | 4 horas | > [!warning] Regra de ouro > Na duvida, escale. O custo de escalar desnecessáriamente e zero. O custo de nao escalar quando deveria pode ser catastrofico. --- ## Gestao de Falsos Positivos Antes de descartar um alerta como falso positivo: 1. **Verifique o contexto regional** - Um IOC "benigno" globalmente pode ser relevante para o Brasil (ex: IP de hosting brasileiro usado como C2) 2. **Cruze com o vault** - Busque o IOC, hash ou dominio no RunkIntel. Se ha correlação com campanha ativa, nao descarte 3. **Documente a decisao** - Registre por que foi classificado como FP, quem decidiu e com base em que 4. **Revise semanalmente** - FPs recorrentes indicam regras de detecção que precisam de tuning 5. **Feedback loop** - Se um FP foi na verdade TP, atualize as regras e notifique a equipe | Sinal | Provavelmente TP | Provavelmente FP | |-------|-----------------|-----------------| | IOC no CISA KEV | Sempre TP | - | | Hash no VirusTotal 50+ deteccoes | TP | - | | Dominio registrado < 30 dias | Suspeito | Verificar | | IP em cloud provider (AWS/Azure/GCP) | Verificar contexto | Comum em FP | | User-agent generico (curl, wget) | Verificar | Automacao legitima | --- ## Checklist de Coleta de Evidencias Ao investigar um alerta, colete ANTES de remediar: | Fase | Artefato | Comando/Ferramenta | Prioridade | |------|----------|-------------------|-----------| | **Rede** | Logs de firewall/proxy (src/dst IP, porta, timestamps) | SIEM query | Alta | | **Rede** | Captura de pacotes (se possível) | tcpdump/Wireshark | Media | | **Endpoint** | Processos em execução + arvore de processos | EDR ou `ps aux --forest` | Alta | | **Endpoint** | Conexoes de rede ativas | `netstat -anp` ou EDR | Alta | | **Endpoint** | Arquivos recentes (ultimas 24h) | `find / -mtime -1` ou EDR | Media | | **Endpoint** | Logs de eventos (Windows Event Log, syslog) | SIEM ou local | Alta | | **Identidade** | Logins recentes do usuario afetado | AD logs / SIEM | Alta | | **Identidade** | Mudancas de permissao recentes | AD audit logs | Media | | **Malware** | Hash SHA256 do arquivo suspeito | `sha256sum` | Alta | | **Malware** | Strings e metadata do binario | `strings` / PE tools | Baixa | > [!danger] Regra critica > **NUNCA reinicie, formate ou reinstale** antes de coletar evidencias. A remediacao prematura destroi artefatos forenses essenciais para entender o escopo do comprometimento. --- ## Proximos Passos - Novo no RunkIntel? Comece pelo [[guide-learning|Guia de Aprendizado]] com trilhas progressivas - Quer entender como funciona o pipeline? Leia a [[methodology|Métodologia]] - Duvidas frequentes? Consulte o [[faq|FAQ]] --- --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]