_playbooks - RunkIntel

# Playbooks de Resposta Procedimentos operacionais de Incident Response (IR) e Threat Hunting baseados em inteligência de ameaças. Cada playbook cobre detecção, triagem, contenção, erradicação e recuperação para uma ameaça ou categoria específica. > [!warning] Uso Responsável > Todos os playbooks são pontos de partida baseados em fontes abertas. Adapte ao seu ambiente antes de usar em produção. Não substituem um plano formal de IR. --- ```mermaid graph TB subgraph lifecycle["Ciclo de Resposta a Incidentes"] PREP["Preparação"] --> DET["Detecção<br/>e Análise"] DET --> CONT["Contenção"] CONT --> ERAD["Erradicação"] ERAD --> REC["Recuperação"] REC --> LESS["Lições<br/>Aprendidas"] LESS -.->|"retroalimentação"| PREP end classDef phase fill:#1a3a5c,color:#fff,stroke:#2980b9 class PREP,DET,CONT,ERAD,REC,LESS phase ``` --- ## Playbooks de Incident Response %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Playbook", severity AS "Severidade", length(triggers) AS "Triggers", length(techniques-covered) AS "TTPs" FROM "defenses/playbooks" WHERE type = "playbook" AND playbook-category = "incident-response" SORT severity ASC ``` %%   | Playbook | Severidade | Triggers | TTPs | | ------------------------------------------------------------------------------------------------------------------------------ | ---------- | -------- | ---- | | [[ir-apt-espionage-latam\|IR Playbook - Espionagem APT em LATAM]] | critical | 6 | 6 | | [[ir-apt29-espionage\|IR Playbook - APT29 Espionagem]] | critical | 3 | 5 | | [[ir-cloud-account-compromise\|IR Playbook - Comprometimento de Conta Cloud]] | critical | 3 | 7 | | [[ir-data-exfiltration\|IR Playbook - Resposta a Exfiltração de Dados]] | critical | 3 | 6 | | [[ir-fortimanager-exploitation\|IR Playbook - FortiManager Exploitation]] | critical | 3 | 3 | | [[ir-fortinet-legacy-exploitation\|Playbook - Resposta a Exploração de FortiOS Legacy (CVE-2022-40684)]] | critical | 1 | 3 | | [[ir-pan-os-exploitation\|IR Playbook - PAN-OS Exploitation]] | critical | 3 | 3 | | [[ir-pix-fraud-android\|IR Playbook - Fraude PIX via Malware Android]] | critical | 6 | 5 | | [[ir-ransomware-akira\|IR Playbook - Ransomware Akira]] | critical | 4 | 6 | | [[ir-phishing-bec\|IR Playbook - Phishing e BEC]] | critical | 3 | 8 | | [[ir-supply-chain-attack\|IR Playbook - Comprometimento de Cadeia de Suprimentos]] | critical | 4 | 5 | | [[ir-supply-chain-latam\|IR Playbook - Ataque Supply Chain LATAM]] | critical | 4 | 5 | | [[ir-vmware-exploitation\|Playbook - Resposta a Exploração de VMware ESXi/vCenter]] | critical | 2 | 3 | | [[ir-webshell-compromise\|IR Playbook - Webshell e Comprometimento de Aplicação Web]] | critical | 2 | 7 | | [[ir-zero-day-response\|IR Playbook - Resposta a Zero-Day]] | critical | 3 | 6 | | [[ir-credential-theft\|IR Playbook - Roubo de Credenciais / Infostealer]] | high | 3 | 5 | | [[ir-ddos-response\|IR Playbook - Resposta a Ataque DDoS]] | high | 2 | 4 | | [[ir-insider-threat\|IR Playbook - Ameaça Interna (Insider Threat)]] | high | 3 | 8 |  --- ## Playbooks de Threat Hunting %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Playbook", severity AS "Severidade", length(techniques-covered) AS "TTPs Cobertos" FROM "defenses/playbooks" WHERE type = "playbook" AND playbook-category = "threat-hunting" SORT file.mtime DESC ``` %%   | Playbook | Severidade | TTPs Cobertos | | ------------------------------------------------------------------------------------------------------------- | ---------- | ------------- | | [[hunting-lateral-movement\|Hunting - Movimentação Lateral]] | high | 7 | | [[hunting-discovery-enumeration\|Hunting - Enumeração e Discovery Pós-Comprometimento]] | high | 6 | | [[hunting-scheduled-task-persistence\|Hunting - Persistência via Tarefas Agendadas]] | high | 3 | | [[hunting-data-exfiltration\|Hunting - Exfiltração de Dados]] | critical | 6 | | [[hunting-powershell-abuse\|Hunting - Abuso de PowerShell e Execução de Scripts]] | critical | 4 | | [[hunting-persistence-mechanisms\|Hunting - Mecanismos de Persistência]] | high | 10 | | [[hunting-credential-dumping\|Hunting - Credential Dumping e Credential Access]] | critical | 6 | | [[hunting-initial-access-brokers\|Hunting - Initial Access Brokers (IABs)]] | high | 8 | | [[hunting-supply-chain-compromise\|Hunting - Supply Chain Compromise]] | high | 3 | | [[hunting-c2-beacon-detection\|Hunting - Detecção de Beacons C2]] | critical | 8 | | [[hunting-c2-beaconing\|Hunting - C2 Beaconing (Cobalt Strike, Brute Ratel, Sliver)]] | high | 6 |  --- ## Últimas Atualizações %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Playbook", type AS "Tipo", dateformat(file.mtime, "yyyy-MM-dd HH:mm") AS "Modificado" FROM "defenses/playbooks" WHERE publish = true AND !contains(file.name, "_") SORT file.mtime DESC LIMIT 5 ``` %%   | Playbook | Tipo | Modificado | | ------------------------------------------------------------------------------------------------------------- | -------- | ---------------- | | [[ir-ddos-response\|IR Playbook - Resposta a Ataque DDoS]] | playbook | 2026-03-30 02:37 | | [[hunting-lateral-movement\|Hunting - Movimentação Lateral]] | playbook | 2026-03-30 02:34 | | [[hunting-discovery-enumeration\|Hunting - Enumeração e Discovery Pós-Comprometimento]] | playbook | 2026-03-30 02:34 | | [[ir-credential-theft\|IR Playbook - Roubo de Credenciais / Infostealer]] | playbook | 2026-03-30 02:34 | | [[hunting-scheduled-task-persistence\|Hunting - Persistência via Tarefas Agendadas]] | playbook | 2026-03-30 02:34 |  --- > [!tip] Fontes > Playbooks baseados em NIST SP 800-61, SANS Incident Handler's Handbook e procedimentos públicos de resposta a incidentes documentados por CrowdStrike, Mandiant e Microsoft DART.