# M1047 — Audit ## Visão Geral *Fonte: [MITRE ATT&CK — M1047](https://attack.mitre.org/mitigations/M1047)* ## Descrição A auditoria é o processo de registrar atividades e revisar e analisar sistematicamente as atividades e configurações do sistema. O objetivo principal da auditoria é detectar anomalias e identificar ameaças ou fragilidades potenciais no ambiente. Configurações adequadas de auditoria também podem auxiliar no atendimento a requisitos de conformidade. O processo de auditoria abrange a análise regular de comportamentos de usuários e logs de sistema em suporte a medidas proativas de segurança. A auditoria é aplicável a todos os sistemas utilizados em uma organização, desde a entrada de um prédio até o acesso a um arquivo em um servidor de arquivos. É considerada mais crítica em setores regulados, como saúde, financeiro e governo, onde os requisitos de conformidade exigem rastreamento rigoroso das atividades de usuários e sistemas. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["⚙️ Configurar Auditoria<br/>Políticas de log — OS e apps"] --> B["📁 Auditoria de Permissões<br/>Revisar ACLs e privilégios"] B --> C["🖥️ Auditoria de Sistemas<br/>CIS Benchmark + SCAP scan"] C --> D["🌐 Auditoria de Rede<br/>Firewall rules + tráfego anômalo"] D --> E["📊 Correlação SIEM<br/>Detecção de anomalias + alertas"] E --> F["📋 Relatório de Conformidade<br/>PCI-DSS / LGPD / ISO 27001"] ``` Auditoria de Sistemas: - Caso de uso: Avalie regularmente as configurações do sistema para garantir conformidade com as políticas de segurança da organização. - Implementação: Use ferramentas para escanear desvios em relação a benchmarks estabelecidos. Auditoria de Permissões: - Caso de uso: Revise permissões de arquivos e pastas para minimizar o risco de acesso não autorizado ou escalonamento de privilégios. - Implementação: Execute revisões de acesso para identificar usuários ou grupos com permissões excessivas. Auditoria de Software: - Caso de uso: Identifique software desatualizado, sem suporte ou inseguro que possa servir como vetor de ataque. - Implementação: Use ferramentas de inventário e vulnerability scanning para detectar versões desatualizadas e recomendar alternativas seguras. Auditoria de Configurações: - Caso de uso: Avalie as configurações de sistemas e redes para garantir definições seguras (ex.: SMBv1 desabilitado, MFA habilitado). - Implementação: Implemente ferramentas automatizadas de scanning de configuração, como o SCAP (Security Content Automation Protocol), para identificar sistemas não conformes. Auditoria de Rede: - Caso de uso: Examine o tráfego de rede, regras de firewall e comúnicações de endpoints para identificar conexões não autorizadas ou inseguras. - Implementação: Utilize ferramentas como Wireshark ou Zeek para monitorar e registrar comportamentos de rede suspeitos. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1484 | [[t1484-domain-or-tenant-policy-modification\|T1484 — Domain or Tenant Policy Modification]] | | T1059.006 | [[t1059-006-python\|T1059.006 — Python]] | | T1036 | [[t1036-masquerading\|T1036 — Masquerading]] | | T1482 | [[t1482-domain-trust-discovery\|T1482 — Domain Trust Discovery]] | | T1053.003 | [[t1053-003-cron\|T1053.003 — Cron]] | | T1574.005 | [[t1574-005-executable-installer-file-permissions-weakness\|T1574.005 — Executable Installer File Permissions Weakness]] | | T1505.005 | [[t1505-005-terminal-services-dll\|T1505.005 — Terminal Services DLL]] | | T1176.001 | [[t1176-001-browser-extensions\|T1176.001 — Browser Extensions]] | | T1505 | [[t1505-server-software-component\|T1505 — Server Software Component]] | | T1562.013 | [[t1562-013-disable-or-modify-network-device-firewall\|T1562.013 — Disable or Modify Network Device Firewall]] | | T1542 | [[t1542-pre-os-boot\|T1542 — Pre-OS Boot]] | | T1566 | [[t1566-phishing\|T1566 — Phishing]] | | T1484.001 | [[t1484-001-group-policy-modification\|T1484.001 — Group Policy Modification]] | | T1539 | [[t1539-steal-web-session-cookie\|T1539 — Steal Web Session Cookie]] | | T1505.001 | [[t1505-001-sql-stored-procedures\|T1505.001 — SQL Stored Procedures]] | | T1564.006 | [[t1564-006-run-virtual-instance\|T1564.006 — Run Virtual Instance]] | | T1574.009 | [[t1574-009-path-interception-by-unquoted-path\|T1574.009 — Path Interception by Unquoted Path]] | | T1021.001 | [[t1021-001-remote-desktop-protocol\|T1021.001 — Remote Desktop Protocol]] | | T1564.008 | [[t1564-008-email-hiding-rules\|T1564.008 — Email Hiding Rules]] | | T1548.002 | [[t1548-002-bypass-user-account-control\|T1548.002 — Bypass User Account Control]] | | T1558.004 | [[t1558-004-as-rep-roasting\|T1558.004 — AS-REP Roasting]] | | T1027.011 | [[t1027-011-fileless-storage\|T1027.011 — Fileless Storage]] | | T1053.002 | [[t1053-002-at\|T1053.002 — At]] | | T1543.003 | [[t1543-003-windows-service\|T1543.003 — Windows Service]] | | T1671 | [[t1671-cloud-application-integration\|T1671 — Cloud Application Integration]] | | T1550 | [[t1550-use-alternate-authentication-material\|T1550 — Use Alternate Authentication Material]] | | T1552.006 | [[t1552-006-group-policy-preferences\|T1552.006 — Group Policy Preferences]] | | T1528 | [[t1528-steal-application-access-token\|T1528 — Steal Application Access Token]] | | T1574 | [[t1574-hijack-execution-flow\|T1574 — Hijack Execution Flow]] | | T1610 | [[t1610-deploy-container\|T1610 — Deploy Container]] | | T1606.001 | [[t1606-001-web-cookies\|T1606.001 — Web Cookies]] | | T1213.001 | [[t1213-001-confluence\|T1213.001 — Confluence]] | | T1213.005 | [[t1213-005-messaging-applications\|T1213.005 — Messaging Applications]] | | T1566.002 | [[t1566-002-spearphishing-link\|T1566.002 — Spearphishing Link]] | | T1546.006 | [[t1546-006-lcloaddylib-addition\|T1546.006 — LC_LOAD_DYLIB Addition]] | | T1564 | [[t1564-hide-artifacts\|T1564 — Hide Artifacts]] | | T1562.012 | [[t1562-012-disable-or-modify-linux-audit-system\|T1562.012 — Disable or Modify Linux Audit System]] | | T1543 | [[t1543-create-or-modify-system-process\|T1543 — Create or Modify System Process]] | | T1558.005 | [[t1558-005-ccache-files\|T1558.005 — Ccache Files]] | | T1213.002 | [[t1213-002-sharepoint\|T1213.002 — Sharepoint]] | | T1556.008 | [[t1556-008-network-provider-dll\|T1556.008 — Network Provider DLL]] | | T1563.002 | [[t1563-002-rdp-hijacking\|T1563.002 — RDP Hijacking]] | | T1021 | [[t1021-remote-services\|T1021 — Remote Services]] | | T1578.001 | [[t1578-001-create-snapshot\|T1578.001 — Create Snapshot]] | | T1021.005 | [[t1021-005-vnc\|T1021.005 — VNC]] | | T1176.002 | [[t1176-002-ide-extensions\|T1176.002 — IDE Extensions]] | | T1552.008 | [[t1552-008-chat-messages\|T1552.008 — Chat Messages]] | | T1566.001 | [[t1566-001-spearphishing-attachment\|T1566.001 — Spearphishing Attachment]] | | T1070.008 | [[t1070-008-clear-mailbox-data\|T1070.008 — Clear Mailbox Data]] | | T1059.011 | [[t1059-011-lua\|T1059.011 — Lua]] | | T1550.001 | [[t1550-001-application-access-token\|T1550.001 — Application Access Token]] | | T1606.002 | [[t1606-002-saml-tokens\|T1606.002 — SAML Tokens]] | | T1095 | [[t1095-non-application-layer-protocol\|T1095 — Non-Application Layer Protocol]] | | T1087.004 | [[t1087-004-cloud-account\|T1087.004 — Cloud Account]] | | T1556.006 | [[t1556-006-multi-factor-authentication\|T1556.006 — Multi-Factor Authentication]] | | T1578 | [[t1578-modify-cloud-compute-infrastructure\|T1578 — Modify Cloud Compute Infrastructure]] | | T1560.001 | [[t1560-001-archive-via-utility\|T1560.001 — Archive via Utility]] | | T1548 | [[t1548-abuse-elevation-control-mechanism\|T1548 — Abuse Elevation Control Mechanism]] | | T1036.012 | [[t1036-012-browser-fingerprint\|T1036.012 — Browser Fingerprint]] | | T1213.003 | [[t1213-003-code-repositories\|T1213.003 — Code Repositories]] | | T1578.005 | [[t1578-005-modify-cloud-compute-configurations\|T1578.005 — Modify Cloud Compute Configurations]] | | T1566.003 | [[t1566-003-spearphishing-via-service\|T1566.003 — Spearphishing via Service]] | | T1562.007 | [[t1562-007-disable-or-modify-cloud-firewall\|T1562.007 — Disable or Modify Cloud Firewall]] | | T1552.002 | [[t1552-002-credentials-in-registry\|T1552.002 — Credentials in Registry]] | | T1053 | [[t1053-scheduled-taskjob\|T1053 — Scheduled Task/Job]] | | T1574.010 | [[t1574-010-services-file-permissions-weakness\|T1574.010 — Services File Permissions Weakness]] | | T1560 | [[t1560-archive-collected-data\|T1560 — Archive Collected Data]] | | T1027 | [[t1027-obfuscated-files-or-information\|T1027 — Obfuscated Files or Information]] | | T1505.004 | [[t1505-004-iis-components\|T1505.004 — IIS Components]] | | T1562.002 | [[t1562-002-disable-windows-event-logging\|T1562.002 — Disable Windows Event Logging]] | | T1176 | [[t1176-software-extensions\|T1176 — Software Extensions]] | | T1213.004 | [[t1213-004-customer-relationship-management-software\|T1213.004 — Customer Relationship Management Software]] | | T1556.007 | [[t1556-007-hybrid-identity\|T1556.007 — Hybrid Identity]] | | T1552 | [[t1552-unsecured-credentials\|T1552 — Unsecured Credentials]] | | T1578.002 | [[t1578-002-create-cloud-instance\|T1578.002 — Create Cloud Instance]] | | T1574.008 | [[t1574-008-path-interception-by-search-order-hijacking\|T1574.008 — Path Interception by Search Order Hijacking]] | | T1562.004 | [[t1562-004-disable-or-modify-system-firewall\|T1562.004 — Disable or Modify System Firewall]] | | T1542.004 | [[t1542-004-rommonkit\|T1542.004 — ROMMONkit]] | | T1053.005 | [[t1053-005-scheduled-task\|T1053.005 — Scheduled Task]] | | T1574.001 | [[t1574-001-dll\|T1574.001 — DLL]] | | T1204.003 | [[t1204-003-malicious-image\|T1204.003 — Malicious Image]] | | T1578.003 | [[t1578-003-delete-cloud-instance\|T1578.003 — Delete Cloud Instance]] | | T1612 | [[t1612-build-image-on-host\|T1612 — Build Image on Host]] | | T1562 | [[t1562-impair-defenses\|T1562 — Impair Defenses]] | | T1505.002 | [[t1505-002-transport-agent\|T1505.002 — Transport Agent]] | | T1059 | [[t1059-command-and-scripting-interpreter\|T1059 — Command and Scripting Interpreter]] | | T1653 | [[t1653-power-settings\|T1653 — Power Settings]] | | T1666 | [[t1666-modify-cloud-resource-hierarchy\|T1666 — Modify Cloud Resource Hierarchy]] | | T1574.007 | [[t1574-007-path-interception-by-path-environment-variable\|T1574.007 — Path Interception by PATH Environment Variable]] | | T1036.010 | [[t1036-010-masquerade-account-name\|T1036.010 — Masquerade Account Name]] | | T1114.003 | [[t1114-003-email-forwarding-rule\|T1114.003 — Email Forwarding Rule]] | | T1649 | [[t1649-steal-or-forge-authentication-certificates\|T1649 — Steal or Forge Authentication Certificates]] | | T1114 | [[t1114-email-collection\|T1114 — Email Collection]] | | T1606 | [[t1606-forge-web-credentials\|T1606 — Forge Web Credentials]] | | T1552.001 | [[t1552-001-credentials-in-files\|T1552.001 — Credentials In Files]] | | T1548.006 | [[t1548-006-tcc-manipulation\|T1548.006 — TCC Manipulation]] | | T1530 | [[t1530-data-from-cloud-storage\|T1530 — Data from Cloud Storage]] | | T1543.004 | [[t1543-004-launch-daemon\|T1543.004 — Launch Daemon]] | | T1593 | [[t1593-search-open-websitesdomains\|T1593 — Search Open Websites/Domains]] | | T1213 | [[t1213-data-from-information-repositories\|T1213 — Data from Information Repositories]] | | T1552.004 | [[t1552-004-private-keys\|T1552.004 — Private Keys]] | | T1542.005 | [[t1542-005-tftp-boot\|T1542.005 — TFTP Boot]] | | T1556 | [[t1556-modify-authentication-process\|T1556 — Modify Authentication Process]] | | T1558 | [[t1558-steal-or-forge-kerberos-tickets\|T1558 — Steal or Forge Kerberos Tickets]] | | T1562.001 | [[t1562-001-disable-or-modify-tools\|T1562.001 — Disable or Modify Tools]] | | T1525 | [[t1525-implant-internal-image\|T1525 — Implant Internal Image]] | | T1213.006 | [[t1213-006-databases\|T1213.006 — Databases]] | | T1505.006 | [[t1505-006-vsphere-installation-bundles\|T1505.006 — vSphere Installation Bundles]] | | T1593.003 | [[t1593-003-code-repositories\|T1593.003 — Code Repositories]] | --- ## Contexto LATAM > [!globe] Relevância Regional > Auditorias de segurança são obrigatórias em setores regulados no Brasil, mas a qualidade e frequência variam enormemente. Instituições financeiras sob supervisão do BACEN possuem processos maduros de auditoria contínua, enquanto empresas de outros setores frequentemente realizam auditorias apenas anuais ou em resposta a incidentes. A LGPD criou novo impulso para auditorias de permissões e acesso a dados pessoais. Ferramentas open-source como Wazuh e OSSEC têm alta adoção em SOCs brasileiros de custo reduzido. > - Adoção em SOCs brasileiros: alto (financeiro e governo federal) / médio (outros setores) > - Regulamentações relevantes: LGPD (auditoria de acesso a dados pessoais obrigatória), BACEN 4893 (auditoria contínua de IFs), SOX para empresas listadas em bolsa americana, PCI-DSS para processadoras de pagamento > - Desafios regionais: volume excessivo de logs sem correlação adequada; SIEM comercial fora do alcance financeiro da maioria das PMEs; falta de profissionais para análise contínua