# Trilhas de Aprendizado CTI > [!tip] Aprenda Cyber Threat Intelligence usando o RunkIntel como material > Três trilhas progressivas que usam as notas do vault como base de estudo. Cada trilha combina leitura, análise prática e exercícios de correlação. ## Como Usar Este Guia O RunkIntel não é apenas uma plataforma de consulta - é um **material de estudo vivo**. Cada nota de threat actor, campanha ou técnica foi escrita para ser educativa, com contexto LATAM e conexões entre conceitos. Escolha sua trilha com base no seu momento profissional: ```mermaid graph TB A["🎓 Você"] --> B{"Experiência<br/>em segurança?"} B -->|Iniciante| C["🟢 Trilha Iniciante<br/>~20 horas"] B -->|SOC/Blue Team| D["🔵 Trilha Threat Hunting<br/>~15 horas"] B -->|VM/GRC| E["🟡 Trilha Vulnerabilidades<br/>~10 horas"] C --> F["📚 Fundamentos CTI<br/>+ Atores + Timeline"] D --> G["🔍 Detecção + Hunting<br/>+ Playbooks + MITRE"] E --> H["📊 CVSS + EPSS + KEV<br/>+ Priorização + Patch"] style C fill:#16a34a,color:#fff style D fill:#2563eb,color:#fff style E fill:#ca8a04,color:#fff ``` --- ## Pré-requisitos por Trilha | Trilha | Experiência Necessária | Tempo Total | |--------|----------------------|-------------| | **Iniciante** | Nenhuma - ideal para quem está começando em cibersegurança | ~20 horas | | **Threat Hunting** | Experiência básica em SOC (6+ meses) - familiaridade com SIEM e logs | ~15 horas | | **Vulnerabilidades** | Experiência em gestão de patches ou infraestrutura (6+ meses) | ~10 horas | --- ## Trilha Iniciante (~20 horas) **Para quem:** Estudantes, profissionais migrando para segurança, analistas juniores. **Objetivo:** Entender o que é CTI, conhecer os principais atores de ameaça, e aprender a interpretar inteligência para tomar decisões. ### Módulo 1 - Fundamentos (4h) > [!info] O que você vai aprender > Conceitos básicos de CTI, o ciclo de inteligência, e como o RunkIntel organiza informação. | # | Atividade | Recurso | Tempo | |---|-----------|---------|-------| | 1 | Leia a métodologia do pipeline | [[methodology\|Métodologia]] | 30min | | 2 | Explore o panorama de ameaças LATAM | [[insights\|Insights LATAM]] | 45min | | 3 | Entenda a escala de prioridade P1-P4 | [[_feed\|Feed CTI]] - seção de métodologia | 30min | | 4 | Navegue pela timeline de incidentes | [[_timeline\|Timeline CTI]] | 45min | | 5 | Leia sobre as fontes de inteligência | [[sources\|Fontes]] | 30min | | 6 | Explore o grafo de conhecimento | Clique no ícone de grafo no Publish | 30min | ### Módulo 2 - Atores de Ameaça (8h) > [!danger] Conheça os adversários > Estude 5 atores representativos de diferentes categorias para entender motivações, TTPs e impacto. | # | Ator | Categoria | Por que estudar | Tempo | |---|------|-----------|-----------------|-------| | 1 | [[g0032-lazarus-group\|Lazarus Group]] | Estado-nação (Coreia do Norte) | Espionagem + crime financeiro | 90min | | 2 | [[g0034-sandworm\|Sandworm Team]] | Estado-nação (Rússia) | Infraestrutura crítica + wipers | 90min | | 3 | [[lockbit\|LockBit]] | Ransomware-as-a-Service | Maior operação RaaS global | 90min | | 4 | [[gopix-campaign\|GoPix]] | Crime financeiro (Brasil) | Ameaça direta ao PIX | 60min | | 5 | [[grandoreiro-banking-campaign\|Grandoreiro]] | Banking trojan (LATAM) | Maior banking trojan da região | 60min | **Exercício prático:** Para cada ator, anote: - Motivação principal (financeiro, espionagem, sabotagem) - 3 técnicas MITRE mais usadas - Setores-alvo - Se tem histórico LATAM/Brasil ### Módulo 3 - Incidentes Históricos (4h) > [!abstract] Aprenda com o passado > Estudar incidentes reais é a melhor forma de desenvolver intuição em CTI. | # | Incidente | Ano | Lição principal | Recurso | |---|-----------|-----|-----------------|---------| | 1 | SolarWinds Supply Chain | 2020 | Ataques à cadeia de suprimentos | [[2020-12-solarwinds\|Timeline]] | | 2 | Colonial Pipeline | 2021 | Ransomware em infraestrutura crítica | [[2021-05-colonial-pipeline\|Timeline]] | | 3 | Bybit Heist | 2025 | Maior roubo cripto da história | [[2025-02-bybit-heist\|Timeline]] | | 4 | Campanhas PIX no Brasil | 2026 | Ameaças regionais específicas | [[gopix-campaign\|GoPix]] | ### Módulo 4 - Correlação e Prática (4h) **Exercício final:** Escolha um item P1 ou P2 do [[_feed|Feed CTI]] e faça uma investigação completa: 1. Identifique o ator (se conhecido) 2. Mapeie 3 TTPs no MITRE ATT&CK 3. Encontre o playbook de resposta relevante 4. Proponha 3 mitigações específicas > [!success]- Checkpoint - Você Completou a Trilha Iniciante > Ao final desta trilha, você deve ser capaz de: > - Explicar o que é CTI e por que importa para o Brasil > - Identificar os 10 principais threat actors que visam a LATAM > - Analisar um incidente real usando o modelo Diamond > - Correlacionar TTPs entre campanhas diferentes > > **Próximo passo:** Escolha a Trilha de Threat Hunting ou Vulnerabilidades para aprofundar. --- ## Trilha Threat Hunting (~15 horas) **Para quem:** Analistas SOC, threat hunters, blue teamers. **Objetivo:** Dominar o uso de TTPs MITRE para hunting, construir hipóteses de busca, e aplicar playbooks de investigação. ### Módulo 1 - MITRE ATT&CK Essencial (4h) > [!info] Framework de referência > O MITRE ATT&CK é a linguagem universal de CTI. Domine as táticas e técnicas mais relevantes. | # | Tática | Técnicas-chave para estudar | Tempo | |---|--------|----------------------------|-------| | 1 | Initial Access | [[t1566-phishing\|T1566 Phishing]], [[t1190-exploit-public-facing-application\|T1190 Exploit Public-Facing App]] | 45min | | 2 | Execution | [[t1059-command-and-scripting-interpreter\|T1059 Command & Scripting]] | 30min | | 3 | Persistence | [[t1078-valid-accounts\|T1078 Valid Accounts]] | 30min | | 4 | Impact | [[t1486-data-encrypted-for-impact\|T1486 Data Encrypted for Impact]] | 30min | | 5 | Visão geral das 14 táticas | [[_tactics\|Táticas ATT&CK]] | 45min | ### Módulo 2 - Data Sources e Detecção (4h) > [!success] De onde vem a visibilidade > Entenda quais fontes de dados alimentam suas detecções e onde estão os pontos cegos. | # | Atividade | Recurso | Tempo | |---|-----------|---------|-------| | 1 | Explore os 33 data sources MITRE | [[_data-sources\|Data Sources]] | 60min | | 2 | Entenda detecções e analytics | [[_detections\|Detecções]] | 60min | | 3 | Estude 3 playbooks de hunting | Ver abaixo | 120min | Playbooks recomendados para estudo: - [[hunting-c2-beacon-detection|Hunting C2 Beacon Detection]] - [[hunting-lateral-movement|Hunting Lateral Movement]] - [[hunting-persistence-mechanisms|Hunting Persistence Mechanisms]] ### Módulo 3 - Resposta a Incidentes (4h) > [!warning] Playbooks na prática > Estude playbooks de IR para os cenários mais comuns em LATAM. | # | Playbook | Cenário | Tempo | |---|----------|---------|-------| | 1 | [[ir-ransomware-lockbit\|IR Ransomware LockBit]] | Ransomware enterprise | 60min | | 2 | [[ir-banking-trojan-latam\|IR Banking Trojan LATAM]] | Malware bancário regional | 60min | | 3 | [[ir-apt-espionage-latam\|IR Espionagem APT LATAM]] | Espionagem estatal | 60min | | 4 | [[ir-pix-fraud-android\|IR Fraude PIX Android]] | Fraude financeira mobile | 60min | ### Módulo 4 - Prática (3h) **Exercício:** Construa uma hipótese de hunting para cada cenário: 1. **Ransomware:** Quais data sources monitorar para detectar [[t1486-data-encrypted-for-impact|T1486]]? 2. **Phishing LATAM:** Como detectar [[t1566-phishing|T1566]] com contexto regional? 3. **Movimento lateral:** Quais indicadores de [[t1078-valid-accounts|T1078]] buscar nos logs? > [!success]- Checkpoint - Você Completou a Trilha de Threat Hunting > Ao final desta trilha, você deve ser capaz de: > - Criar hipóteses de hunting baseadas em TTPs do MITRE ATT&CK > - Executar hunts usando playbooks do RunkIntel > - Documentar achados em formato de nota CTI publicável > - Priorizar hunts por relevância regional (LATAM) > > **Próximo passo:** Contribua com um playbook ou nota de hunting para o RunkIntel. --- ## Trilha Gestão de Vulnerabilidades (~10 horas) **Para quem:** Analistas de VM, equipes de GRC, gestores de patch. **Objetivo:** Dominar priorização de CVEs usando CVSS + EPSS + KEV, entender o ciclo de patch, e justificar decisões para a gestão. ### Módulo 1 - Fundamentos de Priorização (3h) > [!warning] Nem todo CVSS 9.8 é urgente > Aprenda a combinar métricas para priorizar o que realmente importa. | # | Atividade | Recurso | Tempo | |---|-----------|---------|-------| | 1 | Entenda CVSS, EPSS e CISA KEV | [[_vulnerabilities\|Vulnerabilidades]] - seção de métodologia | 45min | | 2 | Estude a escala P1-P4 do RunkIntel | [[_feed\|Feed CTI]] - escala de prioridade | 30min | | 3 | Análise 5 CVEs P1 recentes | Selecione do feed | 90min | **Regra de ouro da priorização:** - 🟥 **P1** = CVSS >= 9.0 **E** (KEV **OU** EPSS > 0.90) **OU** exploração ativa - 🟧 **P2** = CVSS >= 7.0 **E** (KEV **OU** EPSS > 0.50) - 🟨 **P3** = CVSS >= 5.0 **OU** relevância LATAM - 🟦 **P4** = Informativo ### Módulo 2 - CVEs na Prática (4h) > [!critical] Estude CVEs reais > Cada nota de CVE no vault tem contexto que vai além do score numérico. | # | CVE | Por que estudar | Tempo | |---|-----|-----------------|-------| | 1 | [[cve-2024-47575\|CVE-2024-47575]] | FortiManager - zero-day com exploração massiva | 60min | | 2 | [[cve-2025-22224\|CVE-2025-22224]] | VMware - impacto em infraestrutura virtualizada | 45min | | 3 | [[cve-2026-20131\|CVE-2026-20131]] | Cisco FMC - zero-day recente | 45min | | 4 | [[cve-2023-4966\|CVE-2023-4966]] | Citrix Bleed - caso clássico de KEV | 30min | Para cada CVE, identifique: - Score CVSS e vetor de ataque - Se está no CISA KEV (exploração confirmada) - Score EPSS (probabilidade de exploração) - Atores conhecidos que exploram - Mitigação específica ### Módulo 3 - Mitigações e Hardening (3h) > [!success] De vulnerabilidade a ação > Conecte CVEs a mitigações MITRE e hardening prático. | # | Mitigação | Quando aplicar | Recurso | |---|-----------|----------------|---------| | 1 | [[m1051-update-software\|M1051 Update Software]] | Sempre - base de tudo | 30min | | 2 | [[m1032-multi-factor-authentication\|M1032 MFA]] | Credenciais comprometidas | 30min | | 3 | [[m1030-network-segmentation\|M1030 Segmentação]] | Movimento lateral | 30min | | 4 | [[m1050-exploit-protection\|M1050 Exploit Protection]] | CVEs de execução | 30min | | 5 | [[m1049-antivirusantimalware\|M1049 Antivirus]] | Malware known-good | 30min | **Exercício final:** Escolha um CVE P1 ativo e monte um business case para a gestão: 1. Impacto técnico (CVSS + vetor) 2. Probabilidade (EPSS + KEV) 3. Contexto LATAM (quem explora, que setores) 4. Mitigação com prazo e custo estimado > [!success]- Checkpoint - Você Completou a Trilha de Vulnerabilidades > Ao final desta trilha, você deve ser capaz de: > - Priorizar CVEs usando CVSS + EPSS + CISA KEV combinados > - Avaliar impacto regional de uma vulnerabilidade para o Brasil > - Criar nota CVE completa seguindo o template do RunkIntel > - Comúnicar risco de vulnerabilidade para stakeholders não técnicos > > **Próximo passo:** Acompanhe o Feed CTI e pratique triagem de CVEs em tempo real. --- ## Recursos Complementares | Recurso | Descrição | Link | |---------|-----------|------| | Feed CTI | Alertas priorizados P1-P4 em tempo real | [[_feed\|Acessar]] | | Weekly Report | Síntese semanal para executivos | [[_weekly\|Acessar]] | | Insights LATAM | Panorama estratégico de ameaças | [[insights\|Acessar]] | | Guia do Analista | Fluxos de investigação práticos | [[guide-analyst\|Acessar]] | | Métodologia | Como funciona o pipeline CTI | [[methodology\|Acessar]] | | FAQ | Perguntas frequentes | [[faq\|Acessar]] | --- --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]