# DC0038 — Application Log Content ## Descrição **Application Log Content** refere-se aos logs gerados por aplicações e serviços em execução, fornecendo um registro detalhado de suas atividades. Esses logs incluem métricas de desempenho, erros de runtime, eventos de segurança, tentativas de autenticação, chamadas de API e alertas operacionais de aplicações web, de e-mail, SaaS, cloud e sistemas de monitoramento. Este componente é um dos mais ricos em telemetria para detecção de ataques, pois registra o comportamento da aplicação em nível semântico — não apenas o tráfego de rede, mas o que a aplicação fez com esse tráfego. Logs de aplicações web capturam tentativas de injeção SQL, XSS, traversal de path, exploração de APIs não documentadas e uso abusivo de funcionalidades legítimas. Logs de aplicações SaaS registram acessos a recursos sensíveis, exportações de dados e alterações de configuração. A qualidade e completude dos logs de aplicação são frequentemente subestimadas como controle de segurança. Muitas organizações configuram logging mínimo em produção por razões de performance, criando pontos cegos críticos. A configuração de logging verbose para endpoints de autenticação, APIs administrativas e funções de acesso a dados é fundamental para suportar investigações de incidentes. ## Telemetria | Fonte | Tipo de Log | Conteúdo Relevante | |-------|-----------|-------------------| | Servidor Web (Apache/Nginx) | Access Log | IP, método, URL, status, user-agent | | Aplicação Web | Error Log | Stack traces, exceções, falhas de válidação | | E-mail (Exchange/Postfix) | Mail Log | Sender, recipient, subject, attachments | | SaaS (Salesforce/O365) | Audit Log | Login, export, config change, data access | | API Gateway | Access Log | Endpoint, auth token, latência, status | | Aplicação customizada | App Log | Lógica de negócio, acessos a dados, erros | ## Queries de Detecção **Nginx/Apache — Tentativas de exploração de aplicação web:** ```bash # Detectar padrões de scanning e exploração nos logs de acesso grep -E "(union.*select|exec\(|cmd=|\.\.\/|etc\/passwd|<script|eval\(|base64_decode)" \ /var/log/nginx/access.log | \ awk '{print $1, $7, $9}' | \ sort | uniq -c | sort -rn | head -50 ``` > Adapte os padrões ao contexto da aplicação. Correlacione com IPs em feeds de threat intelligence. ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] — Logs de aplicação capturam tentativas de exploração de vulnerabilidades em serviços públicos - [[t1078-valid-accounts|T1078-valid-accounts]] — Logs de autenticação registram uso abusivo de credenciais válidas e account takeover - [[t1133-external-remote-services|T1133-external-remote-services]] — Acesso a VPN, portais web e serviços remotos visível nos logs de aplicação ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Aplicações web de e-commerce, bancos e governo brasileiro são alvos frequentes de ataques de injeção SQL, credential stuffing e exploração de APIs não documentadas. O CERT.br registra consistentemente aplicações web entre os vetores de comprometimento mais comuns no Brasil. Logs de aplicação são frequentemente a única fonte de evidência em ataques que não geram tráfego de rede anômalo detectável por IDS. A retenção mínima de 90 dias de logs de aplicação é recomendada pelo Banco Central para instituições financeiras (Resolução CMN 4.893/2021). ## Referências - [MITRE ATT&CK — DC0038 Application Log Content](https://attack.mitre.org/datacomponents/DC0038) - [OWASP — Logging Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Logging_Cheat_Sheet.html) - [CERT.br — Relatório Anual de Atividades](https://www.cert.br/stats/) - [[ds0015-application-log|DS0015 — Application Log]] - [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] - [[_defenses|Hub de Defesas]]