# DC0003 - Network Connection Creation ## Descrição Network Connection Creation captura o estabelecimento inicial de sessões de rede, registrando metadados como IP/porta de origem e destino, protocolo e o processo responsável pela conexão. É essencial para identificar movimentação lateral, comunicação com infraestrutura C2, exfiltração de dados e o uso de protocolos não autorizados. Complementa o Network Traffic Flow ao focar específicamente no momento da abertura da conexão e sua correlação com processos do sistema. ### Pipeline de Detecção ```mermaid graph TB A["📥 Fonte de Dados<br/>Sysmon EID 3 / EDR<br/>Firewall Logs"] --> B["🔄 Coleta<br/>Elastic Agent / Wazuh<br/>Log Forwarder"] B --> C["📊 Normalização<br/>Processo, IP destino,<br/>porta, protocolo"] C --> D["🔍 Correlação<br/>Threat Intel (IOC match),<br/>Beacon detection"] D --> E["⚠️ Regras de Detecção<br/>C2 patterns, portas<br/>anômalas, GeoIP"] E --> F["🚨 Alerta<br/>SOC Tier 1 - Triagem"] F --> G["📋 Resposta<br/>Bloqueio de IP +<br/>Contenção do host"] classDef source fill:#3498db,stroke:#2c3e50,color:#ecf0f1 classDef process fill:#2ecc71,stroke:#2c3e50,color:#ecf0f1 classDef alert fill:#e74c3c,stroke:#2c3e50,color:#ecf0f1 class A source class B,C,D process class E,F,G alert ``` ## Fonte de Dados Parent: [[ds0029-network-traffic|DS0029 - Network Traffic]] ## O Que Monitorar - Sysmon Event ID 3 (NetworkConnect) com processo de origem, IP destino, porta - Conexões de processos que normalmente não fazem comunicação de rede - Beacons regulares para IPs externos (C2 jitter patterns) - Conexões em portas incomuns (4444, 8080, 1337, 31337) - Processos do sistema (lsass.exe, svchost.exe) iniciando conexões incomuns - Conexões para TOR exit nodes ou proxies conhecidos - Volumes altos de conexões para um único destino externo ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Application Layer Protocol | [[t1071-application-layer-protocol\|T1071]] | HTTP/S, DNS, SMTP para C2 disfarçado de tráfego legítimo | | Non-Application Layer Protocol | [[t1095-non-application-layer-protocol\|T1095]] | Conexões ICMP ou raw sockets anômalos | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Alto volume de dados em conexões C2 identificadas | | Remote Services | [[t1021-remote-services\|T1021]] | Conexões RDP (3389), SMB (445), SSH (22) laterais | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Downloads de ferramentas via HTTP/FTP/BITS | ## Implementacao **Sysmon:** ```xml <RuleGroup name="NetworkConnect" groupRelation="or"> <NetworkConnect onmatch="include"> <Image condition="contains">powershell.exe</Image> <DestinationPort condition="is">4444</DestinationPort> </NetworkConnect> </RuleGroup> ``` **Firewall/IDS:** Exportar logs de conexões de Next-Gen Firewall (Palo Alto, Fortinet, CheckPoint) para SIEM. Habilitar logging de todas as sessões aceitas e negadas. **EDR:** CrowdStrike, SentinelOne e Defender for Endpoint registram conexões por processo automaticamente. **SIEM (Splunk):** ``` index=sysmon EventCode=3 | stats count by Image, DestinationIp, DestinationPort | where count > 100 ``` ## Detecção KQL (Microsoft Sentinel / Defender) ```kql // Conexões em portas suspeitas por processos incomuns DeviceNetworkEvents | where RemotePort in (4444, 8080, 1337, 31337, 9001, 5555) | where InitiatingProcessFileName !in~ ("chrome.exe", "msedge.exe", "firefox.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, RemoteIP, RemotePort | order by Timestamp desc ``` ```kql // Beacon detection - conexões periódicas para mesmo destino DeviceNetworkEvents | where ActionType == "ConnectionSuccess" | summarize ConnectionCount = count(), Timestamps = make_list(Timestamp) by DeviceName, InitiatingProcessFileName, RemoteIP, bin(Timestamp, 1h) | where ConnectionCount > 50 | order by ConnectionCount desc ``` ## Contexto LATAM > [!latam] Relevância Regional > A correlação de conexões de rede com processos é crítica para SOCs brasileiros, especialmente na detecção de trojans bancários (Grandoreiro, Guildma) que estabelecem conexões C2 via processos legítimos. Muitas organizações brasileiras ainda dependem apenas de logs de firewall sem correlação com processos de endpoint, perdendo visibilidade essencial. > - Adoção em SOCs brasileiros: **médio** > - Ferramentas comuns: Fortinet FortiGate (líder de mercado BR), Palo Alto NGFW, Wazuh + Sysmon, Elastic SIEM > - Desafios: Sysmon Event ID 3 não habilitado por padrão (requer configuração customizada); volume elevado de eventos em redes corporativas grandes; falta de integração entre logs de firewall e telemetria de endpoint