dc0053-firewall-metadata

# DC0053 — Firewall Metadata > [!info] Data Component MITRE ATT&CK > **ID:** DC0053 | **Fonte pai:** [[ds0018-firewall|DS0018 — Firewall]] | **Cobertura:** Configuração, políticas, status e regras de firewall ## Descrição Firewall Metadata captura informações contextuais sobre firewalls — suas configurações, políticas, status operacional e regras associadas. Ao contrário dos logs de tráfego, este componente foca nos *metadados administrativos* do firewall: quem modificou uma regra, quando, qual política está ativa e quais portas estão abertas ou bloqueadas. Este componente é crítico para detectar modificações maliciosas em regras de firewall, uma técnica amplamente utilizada por atores como [[g0032-lazarus-group]], [[g0096-apt41]] e grupos de ransomware para desabilitar controles de segurança antes de iniciar a fase destrutiva de um ataque. A modificação de políticas de firewall frequentemente precede movimentação lateral e exfiltração de dados. Em ambientes de nuvem, os metadados de firewall cobrem Security Groups (AWS), Network Security Groups (Azure) e Firewall Rules (GCP) — todos representando controles de rede que, quando modificados por adversários, podem expor infraestrutura crítica à internet pública. No Brasil, ataques a setores [[financial]] e [[government]] frequentemente envolvem manipulação de regras de firewall para abrir caminhos de exfiltração. A telemetria gerada por este componente alimenta casos de uso de detecção de [[T1562.004-disable-or-modify-system-firewall]] (Impair Defenses: Disable or Modify System Firewall) e [[t1599-network-boundary-bridging|T1599-network-boundary-bridging]], além de ser essencial para auditorias de conformidade como PCI-DSS e LGPD no contexto brasileiro. ## Telemetria | Fonte | Evento / Log | Descrição | |-------|-------------|-----------| | Windows Event Log | **EID 4950** | Configuração do Windows Firewall alterada | | Windows Event Log | **EID 4954** | Regra do Windows Firewall alterada pelo GPO | | Windows Event Log | **EID 4946** | Regra adicionada à lista de exceções do Windows Firewall | | Windows Event Log | **EID 4947** | Regra modificada na lista de exceções do Windows Firewall | | Windows Event Log | **EID 4948** | Regra removida da lista de exceções do Windows Firewall | | Windows PowerShell | `Get-NetFirewallRule` | Metadados de todas as regras configuradas | | Linux iptables | `iptables -S` / `nft list ruleset` | Ruleset completo do firewall host | | AWS CloudTrail | `AuthorizeSecurityGroupIngress` | Adição de regra de entrada em Security Group | | AWS CloudTrail | `RevokeSecurityGroupEgress` | Remoção de regra de saída em Security Group | | Azure Activity Log | `Microsoft.Network/networkSecurityGroups/write` | Modificação de NSG | | Azure Activity Log | `Microsoft.Network/firewallPolicies/write` | Alteração em política de Azure Firewall | | GCP Audit Log | `compute.firewalls.insert` / `compute.firewalls.patch` | Criação/modificação de regra de firewall GCP | | EDR (Sysmon/CrowdStrike) | Processo `netsh.exe` ou `sc.exe` | Comando para alterar firewall via linha de comando | ## Queries de Detecção ### KQL — Microsoft Sentinel: Alteração de Regra de Firewall Windows ```kql SecurityEvent | where EventID in (4946, 4947, 4948, 4950, 4954) | extend RuleAction = tostring(EventData.RuleAction), RuleName = tostring(EventData.RuleName), ModifiedBy = tostring(EventData.SubjectUserName) | where ModifiedBy !contains "SYSTEM" | project TimeGenerated, Computer, EventID, RuleName, RuleAction, ModifiedBy | order by TimeGenerated desc ``` ### KQL — Azure: Modificação de NSG Fora do Horário Comercial ```kql AzureActivity | where OperationNameValue contains "networkSecurityGroups" and ActivityStatusValue == "Success" | extend Hour = hourofday(TimeGenerated) | where Hour < 7 or Hour > 19 | project TimeGenerated, Caller, OperationNameValue, ResourceGroup, Properties | order by TimeGenerated desc ``` ### SPL — Splunk: Detecção de Desabilitação de Firewall via netsh ```spl index=windows sourcetype=XmlWinEventLog:Security (EventCode=4950 OR EventCode=4954) | eval rule_name=mvindex(split(Message,"Rule Name:"),1) | search Message="*disabled*" OR Message="*Disabled*" | stats count by Computer, rule_name, Account_Name, _time | where count > 0 | sort - _time ``` ### SPL — Splunk: Modificações em Security Groups AWS ```spl index=aws sourcetype=aws:cloudtrail eventName IN ("AuthorizeSecurityGroupIngress","AuthorizeSecurityGroupEgress", "RevokeSecurityGroupIngress","RevokeSecurityGroupEgress") | spath output=fromPort path=requestParameters.fromPort | spath output=ipProtocol path=requestParameters.ipProtocol | spath output=cidr path=requestParameters.cidrIp | where cidr="0.0.0.0/0" | stats count by userIdentity.arn, eventName, fromPort, cidr, _time | sort - _time ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---------|------|-----------| | [[T1562.004-disable-or-modify-system-firewall]] | Disable or Modify System Firewall | Técnica primária — desabilitar firewall antes de C2 | | [[t1562-impair-defenses\|T1562-impair-defenses]] | Impair Defenses | Categoria pai — evasão de controles de segurança | | [[t1190-exploit-public-facing-application\|T1190-exploit-public-facing-application]] | Exploit Public-Facing Application | Firewalls expostos com regras permissivas como vetor inicial | | [[t1599-network-boundary-bridging\|T1599-network-boundary-bridging]] | Network Boundary Bridging | Modificação de regras para criar pontes de rede | | [[t1078-valid-accounts\|T1078-valid-accounts]] | Valid Accounts | Uso de credenciais legítimas para alterar regras de firewall | ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Grupos de ransomware como **Black Basta**, **LockBit** e **RansomHub** — ativos no Brasil — consistentemente desabilitam ou modificam regras de firewall como parte de sua execução. Em incidentes respondidos por equipes brasileiras em 2024-2025, a modificação de NSGs em ambientes Azure foi observada em ataques ao setor [[financial]] e [[government]]. > > Organizações brasileiras em setores regulados (bancário, saúde) devem correlacionar eventos de modificação de firewall com o calendário de mudanças aprovadas (ITSM/CMDB). Qualquer alteração fora de janelas de manutenção autorizadas deve ser escalada para análise imediata. Ferramentas como **Fortinet FortiGate** e **Palo Alto Networks** dominam o mercado corporativo LATAM — ativar o syslog de auditoria administrativa é prioritário. ## Referências - [MITRE ATT&CK — DC0053 Firewall Metadata](https://attack.mitre.org/datacomponents/DC0053) - [MITRE ATT&CK — T1562.004 Disable or Modify System Firewall](https://attack.mitre.org/techniques/T1562/004/) - [[ds0018-firewall|DS0018 — Firewall]] - [[_defenses|Hub de Defesas]] - [[_data-sources|Índice de Data Sources]]