# Data Sources MITRE ATT&CK > Fontes de telemetria e dados observáveis que alimentam as estrategias de detecção do RunkIntel — 33 data sources cobrindo endpoints, rede, identidade, cloud e containers. ```mermaid graph TB DS[Data Sources<br/>33 fontes de telemetria] DS --> EP[Endpoint<br/>Process, File, Registry<br/>Module, Driver, Kernel] DS --> ID[Identidade<br/>User Account, Logon Session<br/>Active Directory, Group] DS --> NW[Rede<br/>Network Traffic, Firewall<br/>Named Pipe, Network Share] DS --> CL[Cloud & Containers<br/>Cloud Service, Instance<br/>Container, Cluster, Pod] DS --> APP[Aplicação<br/>Application Log, Service<br/>Scheduled Job, WMI, Script] EP --> DC1[Data Components<br/>process/] ID --> DC2[Data Components<br/>auth/] NW --> DC3[Data Components<br/>network/] CL --> DC4[Data Components<br/>cloud/] APP --> DC5[Data Components<br/>application/] style DS fill:#2ecc71,color:#fff style EP fill:#3498db,color:#fff style ID fill:#e74c3c,color:#fff style NW fill:#e67e22,color:#fff style CL fill:#9b59b6,color:#fff style APP fill:#1abc9c,color:#fff ``` ## Por Categoria ### Endpoint | ID | Data Source | Plataformas | Nota | |----|-------------|-------------|------| | DS0009 | [[ds0009-process\|Process]] | Win, Linux, macOS, ESXi | Criação, encerramento e acesso a processos | | DS0022 | [[ds0022-file\|File]] | Win, Linux, macOS, ESXi | Criação, modificação e acesso a arquivos | | DS0024 | [[ds0024-windows-registry\|Windows Registry]] | Windows | Chaves de registro — persistência e configuração | | DS0011 | [[ds0011-module\|Module]] | Win, Linux, macOS | Carregamento de DLLs e shared libraries | | DS0027 | [[ds0027-driver\|Driver]] | Win, Linux, macOS | Drivers de kernel — BYOVD e rootkits | | DS0008 | [[ds0008-kernel\|Kernel]] | Linux, macOS | Módulos de kernel e chamadas ao SO | | DS0016 | [[ds0016-drive\|Drive]] | Win, Linux, macOS | Dispositivos de armazenamento físico e USB | | DS0001 | [[ds0001-firmware\|Firmware]] | Win, Linux, macOS | BIOS/UEFI — persistência de nível mais baixo | ### Identidade & Acesso | ID | Data Source | Plataformas | Nota | |----|-------------|-------------|------| | DS0002 | [[ds0002-user-account\|User Account]] | Win, Linux, macOS, SaaS, Cloud | Contas de usuário — criação, modificação, autenticação | | DS0028 | [[ds0028-logon-session\|Logon Session]] | Win, Linux, macOS, SaaS, IaaS | Sessões de logon — criação e metadados | | DS0026 | [[ds0026-active-directory\|Active Directory]] | Windows, Identity Provider | AD — objetos, credenciais Kerberos, DCSync | | DS0036 | [[ds0036-group\|Group]] | Win, SaaS, IaaS, Office Suite | Grupos de segurança e IAM roles | | DS0006 | [[ds0006-web-credential\|Web Credential]] | Win, Linux, macOS, SaaS | Cookies, tokens OAuth, credenciais web | ### Rede | ID | Data Source | Plataformas | Nota | |----|-------------|-------------|------| | DS0029 | [[ds0029-network-traffic\|Network Traffic]] | Win, Linux, macOS, IaaS | Tráfego de rede — NDR, Zeek, NetFlow, PCAP | | DS0018 | [[ds0018-firewall\|Firewall]] | Win, Linux, macOS, IaaS, SaaS | Logs de firewall — regras, bloqueios, enumeração | | DS0023 | [[ds0023-named-pipe\|Named Pipe]] | Win, Linux, macOS | IPC via named pipes — C2 lateral movement | | DS0033 | [[ds0033-network-share\|Network Share]] | Win, Linux, macOS | Compartilhamentos SMB/NFS — acesso e modificação | ### Cloud & Containers | ID | Data Source | Plataformas | Nota | |----|-------------|-------------|------| | DS0025 | [[ds0025-cloud-service\|Cloud Service]] | IaaS, SaaS, Office Suite | APIs de cloud — CloudTrail, MDI, auditoria SaaS | | DS0010 | [[ds0010-cloud-storage\|Cloud Storage]] | IaaS | S3, Azure Blob, GCS — exfiltração de dados | | DS0020 | [[ds0020-snapshot\|Snapshot]] | IaaS | Snapshots de volumes — exfiltração cross-account | | DS0030 | [[ds0030-instance\|Instance]] | IaaS | VMs cloud — criação, modificação, metadados | | DS0032 | [[ds0032-container\|Container]] | Containers | Docker/OCI — container escape e persistence | | DS0031 | [[ds0031-cluster\|Cluster]] | Containers | Kubernetes clusters — RBAC e API server | | DS0014 | [[ds0014-pod\|Pod]] | Containers | Kubernetes pods — exec, criação privilegiada | | DS0034 | [[ds0034-volume\|Volume]] | IaaS, Win, Linux, macOS | Block storage — exfiltração via snapshots | | DS0007 | [[ds0007-image\|Image]] | IaaS | AMIs e imagens VM — supply chain | ### Aplicação & Sistema | ID | Data Source | Plataformas | Nota | |----|-------------|-------------|------| | DS0015 | [[ds0015-application-log\|Application Log]] | Win, Linux, macOS, SaaS | Logs de aplicação — M365, Exchange, ESXi | | DS0019 | [[ds0019-service\|Service]] | Win, Linux, macOS, ESXi | Serviços do sistema — criação e modificação | | DS0003 | [[ds0003-scheduled-job\|Scheduled Job]] | Win, Linux, macOS | Tarefas agendadas — cron, Task Scheduler, BITS | | DS0005 | [[ds0005-wmi\|WMI]] | Windows | WMI Event Subscriptions — persistência | | DS0012 | [[ds0012-script\|Script]] | Windows, ESXi | Scripts — PowerShell AMSI, Script Block Logging | | DS0013 | [[ds0013-sensor-health\|Sensor Health]] | Win, Linux, macOS | Saúde dos sensores — tampering de EDR | | DS0017 | [[ds0017-command\|Command]] | Win, Linux, macOS, Containers | Execução de comandos — CLI, shells, interpreters | ## Cobertura por Tática ATT&CK > [!abstract] Táticas com maior cobertura de telemetria > - **Execução** — DS0017 (Command), DS0009 (Process), DS0012 (Script) > - **Persistência** — DS0003 (Scheduled Job), DS0005 (WMI), DS0024 (Registry), DS0019 (Service) > - **Evasão de Defesa** — DS0009 (Process), DS0022 (File), DS0011 (Module), DS0027 (Driver) > - **Acesso a Credenciais** — DS0026 (Active Directory), DS0028 (Logon Session), DS0006 (Web Credential) > - **Movimentação Lateral** — DS0029 (Network Traffic), DS0033 (Network Share), DS0028 (Logon Session) > - **Exfiltração** — DS0029 (Network Traffic), DS0010 (Cloud Storage), DS0020 (Snapshot) ## Relacionados - [[_mitigations|Mitigações MITRE ATT&CK]] — controles preventivos - [[_detections|Detecções]] — analytics e detection strategies - [[_defenses|Hub de Defesas]] — visão geral defensiva