# DC0106 — Response Metadata ## Descrição **Response Metadata** abrange informações contextuais sobre recursos expostos à internet coletadas durante varreduras, incluindo detalhes como portas abertas, serviços em execução, protocolos identificados e versões de software detectadas. Estes metadados são tipicamente derivados da interpretação de resultados de scanning e constroem um perfil técnico do sistema alvo. Este componente difere do [[dc0104-response-content|DC0104 — Response Content]] pelo foco em metadados estruturados sobre o serviço — não o conteúdo bruto da resposta, mas as características inferidas: qual sistema operacional está em uso, quais portas TCP/UDP estão abertas e respondem ativamente, qual versão de um servidor SSH ou web está em execução, e quais certificados TLS estão configurados. Ferramentas como Nmap, Masscan, Shodan e Censys são as principais fontes deste componente. Para defensores, Response Metadata é essencial tanto para Attack Surface Management (conhecer o que está exposto externamente) quanto para detectar quando a própria infraestrutura está sendo mapeada por atores externos. Picos de scanning originados de blocos de IP conhecidos de infraestrutura de scanning (Shodan, Censys, GreyNoise) são esperados; scanning de IPs em feeds de threat intelligence ou de regiões geográficas incomuns para a operação devem acionar investigação. ## Telemetria | Fonte | Mecanismo | Metadados Coletados | |-------|-----------|---------------------| | Nmap / Masscan | Scanner ativo | Portas, serviços, versões, OS fingerprint | | Shodan API | Internet scanning | Serviços expostos, banners, certificados TLS | | Censys / GreyNoise | Passive + active | Perfil de host, tags de comportamento | | IDS/IPS (Zeek/Suricata) | Análise de tráfego | Scanning inbound, SYN sweeps | | Firewall Logs | Regra de borda | Tentativas de conexão em portas não usuais | ## Queries de Detecção **Suricata/Zeek — Detecção de varredura de portas inbound:** ```spl index=zeek_conn | where proto="tcp" AND conn_state IN ("S0", "REJ", "RSTOS0") | bin _time span=5m | stats dc(id_resp_p) as unique_ports count as attempts by _time, id_orig_h | where unique_ports > 20 OR attempts > 100 | lookup threat_intel_ips ip AS id_orig_h OUTPUT is_scanner, scanner_name | eval risk = if(is_scanner="true", "LOW", if(unique_ports > 50, "HIGH", "MEDIUM")) | sort -unique_ports ``` > Adapte limiares conforme baseline do ambiente. IPs não identificados como scanners conhecidos com alta contagem de portas únicas são alta prioridade. ## Técnicas Relacionadas - [[T1595.001-active-scanning-scanning-ip-blocks]] — Varredura de blocos de IP para identificar hosts ativos e serviços expostos - [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]] — Coleta de metadados de rede como parte de reconhecimento da infraestrutura alvo - [[t1046-network-service-discovery|T1046-network-service-discovery]] — Identificação de serviços disponíveis via análise de metadados de resposta ## Contexto LATAM > [!info] Relevância para Brasil e América Latina > Blocos de IP de provedores de internet brasileiros (Claro, Vivo/Telefônica, TIM, NET) são regularmente escaneados por infraestrutura de threat actors globais. O GreyNoise classifica consistentemente percentual significativo de IPs brasileiros como "scanning the internet" — tanto alvos quanto fontes de scanning (possívelmente comprometidos). Organizações brasileiras devem integrar dados do **Shodan** e **Censys** em seus programas de Attack Surface Management, monitorando mudanças em sua superfície exposta. O **NIC.br** oferece informações sobre blocos ASN brasileiros para contextualização de dados de scanning. ## Referências - [MITRE ATT&CK — DC0106 Response Metadata](https://attack.mitre.org/datacomponents/DC0106) - [GreyNoise — Internet Background Noise](https://www.greynoise.io/) - [Censys — Attack Surface Management](https://censys.com/) - [NIC.br — Blocos ASN Brasil](https://registro.br/tecnologia/ferramentas/whois/) - [[ds0029-network-traffic|DS0029 — Network Traffic]] - [[dc0104-response-content|DC0104 — Response Content]] - [[_defenses|Hub de Defesas]]