# DS0015 — Application Log ## Descrição **Application Log** abrange eventos coletados por serviços de terceiros — como servidores de e-mail, aplicações web, appliances de segurança, plataformas SaaS e hipervisores — que **não** são gerados diretamente pelo sistema operacional ou plataforma nativa. Essas fontes incluem logs de servidores web (Apache, Nginx, IIS), gateways de e-mail (Exchange, Postfix), plataformas de colaboração (Microsoft 365, Google Workspace), SaaS corporativos (Salesforce, ServiceNow) e sistemas de virtualização (VMware ESXi). Do ponto de vista de detecção de ameaças, Application Logs são uma das fontes mais ricas para identificar técnicas de acesso inicial e movimentação lateral. Campanhas de [[spearphishing]] contra alvos brasileiros do setor financeiro — frequentemente associadas a grupos como [[g0032-lazarus-group]] e operadores de malware bancário da família [[s0531-grandoreiro]] — chegam através de vetores de e-mail e plataformas SaaS. Logs de gateways de e-mail registram entrega de mensagens com anexos maliciosos, enquanto logs de aplicações web capturam tentativas de exploração de vulnerabilidades como [[t1190-exploit-public-facing-application|T1190]]. Em ambientes ESXi, os Application Logs do hypervisor são críticos para detectar campanhas direcionadas a infraestrutura de virtualização, como as realizadas pelo ransomware [[g1024-akira|akira-ransomware]] e [[blackcat]], que frequentemente utilizam ESXi como alvo secundário após comprometer o Active Directory da organização. ```mermaid graph TB A["🌐 Aplicações e Serviços<br/>Web, E-mail, SaaS, ESXi"] --> B["📝 Geração de Logs<br/>Apache/Nginx, Exchange,<br/>M365, ESXi syslog"] B --> C["📡 Agente de Coleta<br/>Filebeat / Splunk UF<br/>syslog remoto"] C --> D["📥 SIEM<br/>Normalização e parsing<br/>CIM / ECS"] D --> E{"🔎 Correlação<br/>Exploit? BEC?<br/>Acesso anômalo?"} E -->|"Ameaça detectada"| F["🚨 Alerta SOC<br/>T1190 / T1566 / T1078"] E -->|"Normal"| G["📊 Baseline<br/>Monitoramento contínuo"] ``` ## Componentes de Dados | Componente | ID | Descrição | |------------|----|-----------| | Application Log Content | [[dc0038-application-log-content\|DC0038]] | Conteúdo de logs gerados por aplicações, serviços e appliances de terceiros | ## Como Coletar ### Servidores Web (Apache / Nginx / IIS) ```bash # Apache — habilitar mod_security para logs de detecção de ataques LoadModule security2_module modules/mod_security2.so SecAuditLog /var/log/httpd/modsec_audit.log SecAuditLogParts ABCFHZ # Nginx — configurar acesso e erro com campos estruturados log_format combined_json escape=json '{"time":"$time_iso8601",' '"remote_addr":"$remote_addr","request":"$request",' '"status":"$status","body_bytes_sent":"$body_bytes_sent",' '"http_referer":"$http_referer","http_user_agent":"$http_user_agent"}'; ``` ### Microsoft 365 / Exchange Online | Log Source | Como Acessar | Retenção Padrão | |-----------|-------------|----------------| | Unified Audit Log | `Search-UnifiedAuditLog` (PowerShell) / Compliance Center | 90 dias (E3) / 1 ano (E5) | | Message Trace | Exchange Admin Center → Mail Flow → Message Trace | 90 dias | | Defender for Office 365 | Threat Explorer → Email Events | 30 dias | | Sign-in Logs (Entra ID) | Azure Portal → Microsoft Entra ID → Sign-ins | 30 dias | Habilitar auditoria de caixa postal: ```powershell Set-OrganizationConfig -AuditDisabled $false Set-Mailbox -Identity "all" -AuditEnabled $true -AuditOwner MailItemsAccessed,UpdateFolderPermissions ``` ### Google Workspace ```bash # Exportar logs de auditoria via Admin SDK GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/drive ``` ### VMware ESXi ```bash # Logs críticos do ESXi /var/log/auth.log # Autenticação SSH e vSphere Client /var/log/hostd.log # Operações do host daemon (criação/modificação de VMs) /var/log/vpxa.log # vCenter Agent — comandos recebidos do vCenter /var/log/vobd.log # Eventos do VMkernel observados pelo vSphere # Habilitar syslog remoto via CLI esxcli system syslog config set --loghost='tcp://siem.empresa.com:514' esxcli system syslog reload ``` ### Integração SIEM | SIEM | Método | Notas | |------|--------|-------| | **Splunk** | Splunk Add-on for Microsoft Office 365; Apache/Nginx TA | Normaliza para CIM | | **Elastic SIEM** | Filebeat com módulos `apache`, `nginx`, `iis`, `o365` | ECS mapping automático | | **Microsoft Sentinel** | Conectores nativos M365, Exchange, Entra ID | Recomendado para ambientes Azure | | **IBM QRadar** | DSMs para Apache, Nginx, Exchange, ESXi | Requer licença por EPS | | **Wazuh** | Agente coleta logs locais; regras MITRE pré-configuradas | Open-source; popular no Brasil | ### Event IDs Relevantes (Windows — IIS/Application Logs) | Event ID | Fonte | Significado | |---------|-------|-------------| | 4648 | Security | Logon com credenciais explícitas (aplicação tentando autenticar) | | 4688 | Security | Criação de processo — correlacionar com logs de app | | 1000-1002 | Application | Erros de aplicação Windows | ## Técnicas Detectadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Tentativas de exploração de aplicações web visíveis externamente | | Phishing — Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Entrega de e-mail malicioso detectada em logs de gateway de e-mail | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Logins suspeitos detectados em logs de aplicações SaaS e M365 | | Data from Information Repositories | [[t1213-data-from-information-repositories\|T1213]] | Acesso anômalo a repositórios SharePoint/Confluence detectado em audit logs | | Impair Defenses | [[t1562-impair-defenses\|T1562]] | Desabilitação de logging em aplicações — ausência de eventos esperados | ## Gaps de Cobertura Brasil/LATAM **Gaps comuns identificados em organizações brasileiras:** 1. **Audit Log do Microsoft 365 desabilitado:** Apesar de habilitado por padrão desde 2019, muitos tenants M365 de empresas brasileiras de médio porte nunca configuraram exportação para SIEM. O log fica no portal de Compliance mas não é correlacionado com outras fontes. 2. **Retenção insuficiente:** Planos E3 do M365 retêm logs por apenas 90 dias — insuficiente para resposta a incidentes de campanhas persistentes como as do grupo [[g1015-scattered-spider]] e operadores de BEC (Business Email Compromise) ativos no Brasil. 3. **ESXi sem syslog remoto:** A maioria dos ambientes de virtualização on-premises no Brasil ainda coleta logs ESXi localmente, sem forwarding para SIEM. Em incidentes de ransomware direcionados a ESXi, esses logs são os primeiros a serem apagados pelos atacantes. 4. **Logs de aplicações customizadas não normalizados:** Sistemas bancários legados e ERPs nacionais (TOTVS, Senior, Sankhya) raramente possuem conectores SIEM nativos, criando pontos cegos em setores críticos como financeiro e varejo. **Recomendações:** - Contratar licença E5 ou complemento de auditoria avançada do M365 para retenção de 1 ano - Configurar syslog remoto em todos os hosts ESXi apontando para SIEM - Desenvolver parsers customizados para sistemas legados nacionais - Habilitar `MailItemsAccessed` no M365 para detectar acesso a caixas postais por atores de BEC ## Referências - [[dc0038-application-log-content|DC0038 — Application Log Content]] — componente de detecção principal - [[ds0017-command|DS0017 — Command]] — correlacionar comandos executados após acesso via aplicação - [[ds0018-firewall|DS0018 — Firewall]] — correlacionar bloqueios de rede com eventos de aplicação - [[ds0019-service|DS0019 — Service]] — serviços que geram logs de aplicação - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] — técnica principal - [[t1566-001-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] — vetor de e-mail - [[t1078-valid-accounts|T1078 — Valid Accounts]] — uso de credenciais legítimas --- *Fonte: [MITRE ATT&CK — DS0015](https://attack.mitre.org/datasources/DS0015)*