# DC0001 - Process Creation ## Descrição Process Creation captura eventos de inicialização de novos processos no sistema operacional, incluindo o processo pai, argumentos de linha de comando e variáveis de ambiente. É um dos data components mais críticos para detecção de comportamentos maliciosos, pois quase toda execução de código adversarial gera ao menos um evento de criação de processo. Monitorar relações pai-filho e argumentos suspeitos permite identificar abuso de interpreters, injeção de código e execução de payloads. ### Pipeline de Detecção ```mermaid graph TB A["📥 Fonte de Dados<br/>Sysmon EID 1 / Win EID 4688"] --> B["🔄 Coleta<br/>WEF / Elastic Agent / Wazuh"] B --> C["📊 Normalização<br/>Parse de campos: Image,<br/>CommandLine, ParentImage"] C --> D["🔍 Correlação<br/>Parent-child anomalies,<br/>Base64 em argumentos"] D --> E["⚠️ Regras de Detecção<br/>Sigma / KQL / SPL"] E --> F["🚨 Alerta<br/>SOC Tier 1 - Triagem"] F --> G["📋 Resposta<br/>Isolamento + Investigação"] classDef source fill:#3498db,stroke:#2c3e50,color:#ecf0f1 classDef process fill:#2ecc71,stroke:#2c3e50,color:#ecf0f1 classDef alert fill:#e74c3c,stroke:#2c3e50,color:#ecf0f1 class A source class B,C,D process class E,F,G alert ``` ## Fonte de Dados Parent: [[ds0009-process|DS0009 - Process]] ## O Que Monitorar - Windows Event ID 4688 (criação de processo com linha de comando) - Sysmon Event ID 1 (ProcessCreate com hash, GUID de processo, usuário) - EDR telemetria: nome do executável, caminho, processo pai, argumentos - Processos iniciados por processos incomuns (ex: winword.exe > cmd.exe) - Execuções a partir de diretórios temporários (`%TEMP%`, `C:\Users\Public`) - Argumentos codificados em Base64 ou ofuscados ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Command and Scripting Interpreter | [[t1059-command-and-scripting-interpreter\|T1059]] | cmd.exe/powershell.exe com argumentos suspeitos | | Process Injection | [[t1055-process-injection\|T1055]] | Processos filhos inesperados de aplicações legítimas | | Scheduled Task/Job | [[t1053-scheduled-task-job\|T1053]] | schtasks.exe criando ou executando tarefas | | Windows Management Instrumentation | [[t1047-windows-management-instrumentation\|T1047]] | wmiprvse.exe gerando processos filhos | | User Execution | [[t1204-user-execution\|T1204]] | Processos iniciados após abertura de documentos | | Create or Modify System Process | [[t1543-create-or-modify-system-process\|T1543]] | sc.exe, services.exe criando novos serviços | ## Implementação **Sysmon (recomendado):** ```xml <RuleGroup name="ProcessCreaté" groupRelation="or"> <ProcessCreaté onmatch="include"> <Rule name="SuspiciousParent" groupRelation="or"> <ParentImage condition="contains">winword.exe</ParentImage> <ParentImage condition="contains">excel.exe</ParentImage> </Rule> </ProcessCreaté> </RuleGroup> ``` **Windows Event Log:** Habilitar auditoria de criação de processos em `Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy > Detailed Tracking > Audit Process Creation`. Ativar inclusão de linha de comando via Group Policy. **SIEM (Splunk):** ``` index=sysmon EventCode=1 | stats count by ParentImage, Image, CommandLine ``` **Ferramentas:** Sysmon, CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Elastic Agent, Wazuh. ## Detecção KQL (Microsoft Sentinel / Defender) ```kql // Processos suspeitos - parent-child anomaly DeviceProcessEvents | where InitiatingProcessFileName in~ ("winword.exe", "excel.exe", "outlook.exe") | where FileName in~ ("cmd.exe", "powershell.exe", "wscript.exe", "mshta.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, FileName, ProcessCommandLine | order by Timestamp desc ``` ```kql // Execução com argumentos Base64 DeviceProcessEvents | where ProcessCommandLine matches regex @"-[eE]nc[oO]ded[cC]ommand\s" or ProcessCommandLine contains "FromBase64String" | project Timestamp, DeviceName, FileName, ProcessCommandLine ``` ## Contexto LATAM > [!latam] Relevância Regional > Process Creation é o data component mais universalmente adotado em SOCs brasileiros, presente em práticamente toda operação que utiliza Sysmon ou EDR. A maturidade de monitoramento varia significativamente entre grandes bancos (que operam SOCs 24/7 com cobertura completa) e empresas de médio porte que ainda dependem apenas do Event ID 4688 sem enriquecimento de linha de comando. > - Adoção em SOCs brasileiros: **alto** > - Ferramentas comuns: Wazuh (predominante em PMEs), Elastic SIEM, CrowdStrike Falcon, Microsoft Defender for Endpoint > - Desafios: falta de habilitação de command-line logging via GPO em ambientes legados; volume excessivo de eventos sem tuning adequado de Sysmon; escassez de analistas para triagem de alertas de parent-child anomalies