# DC0004 - Network Traffic Flow ## Descrição Network Traffic Flow representa os metadados de sessões de rede (equivalente a NetFlow/IPFIX), capturando informações agregadas sobre fluxos de comunicação como bytes transferidos, duração, protocolo e endpoints. Diferente do conteúdo do tráfego, o flow data não inspeciona o payload, sendo adequado para ambientes com criptografia. É amplamente utilizado para detecção de varreduras, exfiltração por volume, uso de proxies e padrões anormais de comunicação interna. ### Pipeline de Detecção ```mermaid graph TB A["📥 Fonte de Dados<br/>NetFlow / IPFIX<br/>Zeek conn.log"] --> B["🔄 Coleta<br/>ntopng / Elastic Flow<br/>Stamus Networks"] B --> C["📊 Normalização<br/>Bytes, duração, protocolo,<br/>src/dst endpoints"] C --> D["🔍 Análise<br/>Baseline comportamental,<br/>anomalia de volume"] D --> E["⚠️ Regras de Detecção<br/>Exfiltração, port scan,<br/>DNS tunneling"] E --> F["🚨 Alerta<br/>SOC Tier 2 - Análise"] F --> G["📋 Resposta<br/>Bloqueio de fluxo +<br/>Investigação forense"] classDef source fill:#3498db,stroke:#2c3e50,color:#ecf0f1 classDef process fill:#2ecc71,stroke:#2c3e50,color:#ecf0f1 classDef alert fill:#e74c3c,stroke:#2c3e50,color:#ecf0f1 class A source class B,C,D process class E,F,G alert ``` ## Fonte de Dados Parent: [[ds0029-network-traffic|DS0029 - Network Traffic]] ## O Que Monitorar - NetFlow v5/v9/IPFIX de roteadores, switches e firewalls - Fluxos de longa duração com alto volume de bytes enviados (exfiltração) - Varreduras de portas: múltiplas conexões de um IP para múltiplas portas - Comúnicação interna não esperada entre workstations (lateral movement) - Fluxos DNS com alto volume de queries (DNS tunneling) - Conexões para países não operacionais ou ASNs suspeitos - Tráfego em horários fora do expediente com volumes anômalos ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Network Service Scanning | [[t1046-network-service-scanning\|T1046]] | Fan-out de conexões curtas para múltiplas portas | | Active Scanning | [[t1595-active-scanning\|T1595]] | Fluxos de reconhecimento em blocos IP sequenciais | | Exfiltration Over Alternative Protocol | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | Alto volume outbound em protocolos DNS/ICMP/FTP | | Proxy | [[t1090-proxy\|T1090]] | Chained flows através de proxies intermediários | | Non-Application Layer Protocol | [[t1095-non-application-layer-protocol\|T1095]] | Fluxos ICMP com payloads incomuns | ## Implementação **Coleta NetFlow:** Configurar exportação de NetFlow em roteadores de borda (Cisco: `ip flow-export`). Usar coletores como ntopng, Elastic Flow, Stamus Networks ou Zeek. **Zeek (Bro) para análise de flow:** ```zeek # conn.log captura todos os flows com duracao, bytes, servico # Analisar: orig_bytes, resp_bytes, duration, service ``` **SIEM (correlação de exfiltração):** ``` index=netflow | stats sum(bytes_out) as total_out by src_ip, dest_country | where total_out > 100000000 ``` **Ferramentas:** Darktrace, Vectra AI, Cisco Stealthwatch, ntopng, Zeek/Bro, Elastic Stack + packetbeat. ## Detecção KQL (Microsoft Sentinel / Defender) ```kql // Exfiltração - alto volume de dados outbound DeviceNetworkEvents | where ActionType == "ConnectionSuccess" | where RemoteIPType == "Public" | summarize TotalBytesSent = sum(SentBytes) by DeviceName, RemoteIP, bin(Timestamp, 1h) | where TotalBytesSent > 100000000 | order by TotalBytesSent desc ``` ```kql // Port scan detection - múltiplas portas em curto período DeviceNetworkEvents | where ActionType == "ConnectionAttempt" | summarize DistinctPorts = dcount(RemotePort), PortList = make_set(RemotePort) by DeviceName, RemoteIP, bin(Timestamp, 5m) | where DistinctPorts > 20 | project Timestamp, DeviceName, RemoteIP, DistinctPorts, PortList ``` ## Contexto LATAM > [!latam] Relevância Regional > A análise de flow (NetFlow/IPFIX) é subutilizada em organizações brasileiras de médio porte, apesar de ser essencial para detecção de exfiltração em ambientes com tráfego criptografado. Grandes bancos e telecoms brasileiras já utilizam NDR (Network Detection and Response), mas a maioria das empresas ainda depende apenas de logs de firewall para visibilidade de rede. > - Adoção em SOCs brasileiros: **baixo a médio** > - Ferramentas comuns: Zeek (em ambientes acadêmicos e ISPs via RNP), Elastic + Packetbeat, Fortinet FortiAnalyzer, ntopng > - Desafios: infraestrutura de rede heterogênea dificulta coleta uniforme de NetFlow; custo de armazenamento de flow data em larga escala; poucos profissionais com experiência em análise de tráfego de rede no mercado brasileiro