# DS0029 — Network Traffic ## Descrição Tráfego de rede compreende os dados transmitidos através de redes de computadores — web, DNS, e-mail, transferência de arquivos, entre outros — sejá na forma sumarizada (como registros NetFlow/IPFIX) ou capturada como dados brutos em formato analisável (como PCAP). Esta é uma das fontes de dados mais abrangentes e fundamentais para detecção de ameaças, cobrindo tanto a periferia da rede quanto comúnicações internas (leste-oeste). A visibilidade sobre o tráfego de rede permite identificar comúnicações com infraestrutura maliciosa (C2, domínios de phishing), exfiltração de dados, movimentos laterais sobre protocolos legítimos e técnicas de *living-off-the-land* que exploram serviços de rede nativos. Grupos de ameaça como [[g0007-apt28]], [[g0032-lazarus-group]] e operadores de ransomware ativo no Brasil dependem extensivamente de canais de rede para C2, movimento lateral via SMB/RDP e exfiltração — tornando DS0029 indispensável para qualquer operação de detecção e resposta. No contexto de segurança ofensiva, técnicas modernas de evasão incluem o uso de protocolos legítimos para C2 (HTTPS sobre porta 443, DNS over HTTPS, túneis via Slack/Teams), o que exige análise de conteúdo além de simples metadados de fluxo. A combinação de inspeção de fluxo (NetFlow), análise de conteúdo (PCAP/DPI) e detecção baseada em comportamento (NDR) é necessária para cobertura adequada contra adversários sofisticados. ## Pipeline de Coleta ```mermaid graph TB A["🌐 Infraestrutura de Rede<br/>Roteadores · Firewalls<br/>VPC Flow Logs · Endpoints"] --> B["📊 Metadados de Fluxo<br/>NetFlow v9 · IPFIX · sFlow<br/>VPC Flow (AWS/Azure/GCP)"] A --> C["🔬 Análise de Conteúdo<br/>Zeek · Suricata · Arkime<br/>DPI · PCAP captura"] B --> D["📦 Coletor de Fluxo<br/>ntopng · Elastic Flow<br/>Grafana · Stealthwatch"] C --> D D --> E["🔍 NDR / SIEM<br/>Darktrace · ExtraHop<br/>Sentinel · Splunk"] E --> F["🚨 Alertas de Rede<br/>Beaconing C2 · DNS tunneling<br/>Exfiltração · Varredura"] ``` ## Componentes de Dados | Componente | ID | Descrição | Uso Principal | |---|---|---|---| | Network Traffic Flow | [[dc0078-network-traffic-flow\|DC0078]] | Metadados sumarizados de fluxos: IPs, portas, bytes, duração | Detecção de beaconing, varreduras, exfiltração volumétrica | | Network Connection Creation | [[dc0082-network-connection-creation\|DC0082]] | Evento de estabelecimento de conexão TCP/UDP com contexto de processo | Correlacionar processo com destino de rede; detectar C2 | | Network Traffic Content | [[dc0085-network-traffic-content\|DC0085]] | Payload e dados completos da comunicação de rede | Análise de protocolos, DPI, extração de IoCs, detectar tunneling | ## Como Coletar ### Captura de Fluxo (NetFlow / IPFIX / sFlow) - **Roteadores e switches gerenciados:** Configurar exportação NetFlow v9 ou IPFIX para um coletor (ex: ntopng, Elastic Stack, Grafana Flow). - **Cisco NetFlow / Juniper J-Flow / Huawei sFlow:** Suporte nativo em equipamentos enterprise; configuração via CLI ou SNMP. - **VPC Flow Logs (AWS, Azure, GCP):** Logs nativos de fluxo de rede em nuvem — habilitados por padrão ou com um clique no console. Exportar para S3/Log Analytics/Cloud Logging para análise. - **Granularidade recomendada:** Coletar fluxos para todas as interfaces de borda e, quando possível, para segmentos internos críticos (servidor-servidor, data center). ### Análise de Pacotes (PCAP / DPI) - **Zeek (anteriormente Bro):** Gera logs estruturados de protocolos (conn.log, dns.log, http.log, ssl.log, files.log) a partir de tráfego capturado. Altamente recomendado para ambientes SOC. - **Suricata:** IDS/IPS com capacidade de geração de logs de rede e alertas baseados em regras (ET Open, regras customizadas). Integração nativa com Elastic Stack. - **Arkime (antigo Moloch):** Indexação e busca de sessões PCAP em escala — permite drill-down de FlowID para pacotes brutos. - **tcpdump / Wireshark:** Captura ad-hoc para análise forense; não adequado para produção contínua. ### Network Detection and Response (NDR) - **Plataformas comerciais:** Darktrace, ExtraHop Reveal(x), Vectra AI, Cisco Stealthwatch — análise comportamental de tráfego sem depender de assinaturas. - **Open-source:** Zeek + Security Onion como alternativa viável para SOCs com orçamento limitado. ### Endpoints (DC0082) - **Sysmon (Event ID 3):** Captura criação de conexão de rede por processo no endpoint Windows — essencial para correlacionar processo com destino remoto. - **EDR agents:** CrowdStrike, SentinelOne, Microsoft MDE registram conexões de rede com contexto de processo e hash de executável. - **Linux (ss / netstat + auditd):** Regras auditd para syscalls `connect`, `accept` capturam eventos de rede com PID. ### DNS - **Passive DNS:** Coletar queries DNS via [[dc0096-passive-dns|DC0096]] — resolução de domínios maliciosos é frequentemente o primeiro sinal de comprometimento. - **Active DNS / RPZ (Response Policy Zone):** Bloquear e registrar resolução de domínios maliciosos no resolvedor recursivo interno. - **DNS sobre HTTPS (DoH):** Monitorar e, se possível, interceptar tráfego DoH para evitar evasão de monitoramento DNS. ## Técnicas Detectadas | ID | Técnica | Como DS0029 Detecta | |---|---|---| | T1071 | [[t1071-application-layer-protocol\|T1071 — Application Layer Protocol]] | Beaconing periódico para IP/domínio externo; padrões de jitter típicos de frameworks C2 | | T1041 | [[t1041-exfiltration-over-c2-channel\|T1041 — Exfiltration Over C2 Channel]] | Volume anômalo de dados saindo por canal C2 estabelecido; grandes transferências HTTPS para destino novo | | T1046 | [[t1046-network-service-scanning\|T1046 — Network Service Scanning]] | Varredura de portas: múltiplas conexões recusadas em sequência rápida de uma única origem | | T1095 | [[t1095-non-application-layer-protocol\|T1095 — Non-Application Layer Protocol]] | Tráfego ICMP ou TCP raw com payload incomum; tunneling sobre protocolos não-padrão | | T1048 | [[t1048-exfiltration-over-alternative-protocol\|T1048 — Exfiltration Over Alternative Protocol]] | DNS tunneling (queries DNS excessivamente longas); FTP/SFTP para destino externo não corporativo | ## Gaps de Cobertura Brasil/LATAM **Ausência de visibilidade leste-oeste:** A maioria dos SOCs brasileiros monitora apenas o perímetro (tráfego norte-sul), deixando movimentos laterais internos completamente invisíveis. Ransomware como [[lockbit]] e grupos APT percorrem redes internas por horas ou dias antes da ação final — inteiramente fora do radar. **ISPs sem compartilhamento de NetFlow:** O Brasil carece de mecanismos formalizados de compartilhamento de dados de fluxo entre ISPs e times de segurança nacionais comparáveis aos existentes na Europa ou EUA. O CERT.br tem iniciativas de troca de IOCs, mas visibilidade de fluxo em escala nacional é limitada. **Zeek/Suricata subutilizados:** Apesar do custo zero, ferramentas como Zeek e Suricata são pouco adotadas em SOCs brasileiros de médio porte. A dependência exclusiva de firewalls com logging básico resulta em ausência de logs estruturados de protocolo (HTTP, DNS, TLS) necessários para correlação avançada. **VPC Flow Logs desabilitados em nuvem:** Avaliações de postura de segurança em cloud no Brasil frequentemente revelam VPC Flow Logs desabilitados por padrão, especialmente em ambientes AWS de pequenas e médias empresas. Sem este dado, comprometimentos de workloads cloud são indetectáveis até causar impacto visível. **DNS como blind spot:** Queries DNS raramente são coletadas e correlacionadas com alertas de ameaça em organizações brasileiras fora do setor financeiro. Isso representa um gap crítico dado que muitos malwares — incluindo os utilizados em campanhas contra o setor governamental brasileiro — dependem de DNS para C2 e resolução de infraestrutura de suporte. ## Referências - [[_detections|Central de Detecções RunkIntel]] - [[dc0078-network-traffic-flow|DC0078 — Network Traffic Flow]] - [[dc0082-network-connection-creation|DC0082 — Network Connection Creation]] - [[dc0085-network-traffic-content|DC0085 — Network Traffic Content]] - [[dc0096-passive-dns|DC0096 — Passive DNS]] - [[dc0103-active-dns|DC0103 — Active DNS]] - [MITRE ATT&CK — DS0029 Network Traffic](https://attack.mitre.org/datasources/DS0029/) - [Zeek Network Security Monitor](https://zeek.org/) - [Suricata IDS/IPS](https://suricata.io/)