# DS0013 — Sensor Health ## Descrição **Sensor Health** compreende informações provenientes da telemetria de host que fornecem insights sobre o status do sistema, erros ou outras atividades funcionais relevantes. Em termos práticos, esta fonte engloba os sinais que indicam se os próprios agentes de segurança e controles de detecção estão operacionais — ou se foram comprometidos, desabilitados ou contornados por um adversário. Esta é uma fonte de dados frequentemente subestimada, mas de importância crítica para a integridade de um SOC. Um adversário que desabilita o agente EDR, para o serviço Sysmon, manipula o Auditd ou corrompe o Windows Event Log antes de executar seu payload está explorando exatamente o gap que o Sensor Health foi projetado para detectar. A premissa central é: **se um sensor para de reportar, isso é em si um sinal de alarme** — especialmente se a interrupção é repentina, não planejada, e correlacionada com outros indicadores. Em ambientes corporativos brasileiros, a perda de visibilidade de sensores é um padrão recorrente em pré-ransomware: adversários como operadores de [[lockbit|LockBit]] e [[blackcat|ALPHV/BlackCat]] frequentemente desabilitam EDRs e soluções de antivírus antes de implantar o payload de criptografia. Monitorar o "silêncio" dos sensores — ausência inesperada de heartbeats ou eventos — é uma camada de detecção independente que complementa todas as outras fontes. ```mermaid graph TB A["🖥️ Endpoint / Servidor<br/>EDR, Sysmon, Auditd"] --> B["📡 Heartbeat & Telemetria<br/>Agente envia status periódico"] B --> C["🔄 Coletor de Logs<br/>Winlogon, journald, MDM"] C --> D["📥 SIEM<br/>Splunk / Elastic / Sentinel"] D --> E{"⚡ Análise de Ausência<br/>Host silencioso > 80%?"} E -->|"Sensor parou"| F["🚨 Alerta SOC<br/>EID 7036, 1102, Sysmon ID 4"] E -->|"Volume normal"| G["✅ Status OK<br/>Cobertura contínua"] ``` ## Componentes de Dados | Componente | ID | Descrição | |---|---|---| | Host Status | [[dc0018-host-status\|DC0018]] | Status operacional do host — agente online/offline, erros de serviço, heartbeats de sensor, falhas de log | ## Como Coletar ### Windows — Status de Agentes e Serviços | Fonte | Configuração | Event IDs relevantes | |---|---|---| | **Windows System Event Log** | Automático | **7035** (serviço iniciado), **7036** (serviço parado), **7040** (tipo de início alterado) | | **Windows Security Event Log** | Automático | **1102** (Security log limpo), **4719** (política de auditoria alterada) | | **Windows Application Log** | Automático | Erros de agente EDR, falhas de serviço de segurança | | **Sysmon Event Log** | Automático quando instalado | **4** (Sysmon desabilitado), **255** (erro de serviço) | | **Microsoft Defender Logs** | `HKLM\SYSTEM\CurrentControlSet\Services\WinDefend` | Eventos de início/parada, erros de atualização | | **PowerShell** | `Get-Service -Name *Sysmon*,*Defender*,*WinDefend*,*SentinelAgent*` | Status em tempo real via script de polling | **Chave de registro para monitorar alterações em serviços de segurança:** ``` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{NomeDoAgente} Start: 2 (Auto), 3 (Manual), 4 (Disabled) ``` Alteração de `Start=2` para `Start=4` em um serviço de segurança deve gerar alerta imediato. ### Linux — Status de Agentes e Daemons | Ferramenta | Configuração | O que monitorar | |---|---|---| | **systemd journald** | `journalctl -u auditd -u falco -u elastic-agent` | Parada não planejada de daemons de segurança | | **systemctl status** | Via script de polling periódico | Estado de auditd, falco, osquery, sysmon-linux | | **Auditd Rule Monitoring** | `-w /etc/audit/rules.d/ -p wa -k auditd_config_change` | Modificação de regras de auditoria | | **Syslog** | `facility=daemon, severity=crit/alert/emerg` | Erros críticos de daemons de segurança | | **osquery** | `SELECT name, status FROM services WHERE name LIKE '%auditd%';` | Polling de status via osquery | ### macOS — Status de Agentes | Ferramenta | Configuração | O que monitorar | |---|---|---| | **Unified Log** | `log stream --predicaté 'subsystem == "com.apple.MobileAccessLockdown"'` | Status de agentes MDM e segurança | | **launchctl** | `launchctl list | grep -i security` | Status de daemons de segurança via launchd | | **Endpoint Security Framework** | Eventos `ES_EVENT_TYPE_NOTIFY_IOKIT_OPEN` | Acesso a dispositivos de sensor | ### Android / iOS | Ferramenta | Fonte | O que monitorar | |---|---|---| | **MDM (Microsoft Intune, Jámf)** | Compliance reports | Dispositivos com agente desinstalado, jáilbreak/root detectado | | **UEM Platform** | Device health API | Status de agentes MTD (Mobile Threat Defense) | | **SIEM via MDM API** | Integração REST | Alertas de compliance e device status | ### Integração com SIEM — Detecção de "Silêncio" ``` # Splunk — hosts que pararam de enviar eventos (ausência = alarme) | tstats count WHERE index=wineventlog by host _time span=1h | streamstats window=24 current=f avg(count) AS avg_count by host | eval pct_change = (count - avg_count) / avg_count * 100 | where pct_change < -80 /* host enviou menos de 20% do volume normal */ | table host, _time, count, avg_count, pct_change # Splunk — serviço de segurança parado (Event ID 7036) index=wineventlog EventCode=7036 | where match(Message, "(?i)(sysmon|defender|sentinelone|crowdstrike|carbon black|elastic|auditd)") AND match(Message, "(?i)(stopped|parou|parado|disabled)") | table _time, Computer, Message # Splunk — log de segurança limpo (T1070.001) index=wineventlog EventCode=1102 | stats count by Computer, SubjectUserName | sort -count ``` ## Técnicas Detectadas | ID MITRE | Técnica | Sinal de detecção | |---|---|---| | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Disable or Modify Tools | Parada de serviço de EDR, antivírus ou agente de monitoramento | | [[t1562-002-disable-windows-event-logging\|T1562.002]] | Disable Windows Event Logging | Log de eventos desabilitado ou limpo (EID 1102, EID 1100) | | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Clear Windows Event Logs | EID 1102 (Security log limpo) — adversário apagando rastros antes do payload | | [[t1562-006-indicator-blocking\|T1562.006]] | Indicator Blocking | Modificação de regras de auditoria para suprimir eventos específicos | | [[t1489-service-stop\|T1489]] | Service Stop | Parada em massa de serviços — precursor de ransomware (backup services, VSS, security agents) | ## Gaps de Cobertura Brasil/LATAM **Problemas críticos observados em SOCs brasileiros:** - **Ausência de monitoramento de "silêncio":** A maioria dos SIEMs brasileiros alerta para eventos maliciosos presentes — mas não para a ausência de eventos esperados. Um host Windows que normalmente envia 500 eventos por hora e de repente envia zero deveria gerar alerta. Esta detecção por baseline de volume é raramente implementada. - **Alertas de EID 1102 e 7036 não configurados:** Limpar o log de segurança (EID 1102) e parar serviços de segurança (EID 7036) são ações quase universais no pré-ransomware. Apesar de serem indicadores de altíssima fidelidade, raramente há regras configuradas para eles em SIEMs de empresas médias brasileiras. - **Falta de heartbeat de EDR:** Muitas empresas brasileiras têm EDR implantado, mas não monitoram ativamente se todos os endpoints estão reportando para o console. Descobrem que um agente foi desabilitado semanas depois — na pior das hipóteses, durante a resposta a incidente. - **Dependência de e-mail para alertas de saúde de sensor:** Alertas de "agente offline" chegam por e-mail ao time de TI — que pode não estar monitorando ou pode tratar como problema operacional comum. O fluxo deveria ir diretamente para o SIEM e gerar ticket automático no SOC. **Recomendações:** 1. Implementar detecção de "hosts silenciosos" no SIEM — alerta quando volume de eventos cai mais de 80% em relação à baseline de 24 horas 2. Criar regras de alta prioridade para EID 1102 (log limpo) e EID 7036 para serviços de segurança — correlacionar com outros indicadores de pré-ransomware 3. Integrar console do EDR com o SIEM para receber alertas de agente offline/desabilitado como incidente de segurança — não apenas notificação operacional 4. Auditar mensalmente quais endpoints não estão reportando para o SIEM — gaps de cobertura são riscos de segurança, não apenas problemas de TI ## Referências - [[dc0018-host-status|DC0018 — Host Status]] — componente de dados principal desta fonte - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] — principal técnica detectável por esta fonte - [[t1070-001-clear-windows-event-logs|T1070.001 — Clear Windows Event Logs]] — precursor de ransomware detectável - [[t1489-service-stop|T1489 — Service Stop]] — parada de serviços de segurança e backup pré-ransomware - [[ds0009-process|DS0009 — Process]] — fonte complementar para identificar qual processo desabilitou o sensor - [[m1049-antivirusantimalware|M1049 — Antivirus/Antimalware]] — mitigação cujo status é monitorado por esta fonte - [[m1047-audit|M1047 — Audit]] — auditoria de configurações e integridade de controles de segurança --- *Fonte: [MITRE ATT&CK — DS0013](https://attack.mitre.org/datasources/DS0013)*