# CrowdStrike Falcon OverWatch > MDR · Vendor: [[_crowdstrike|CrowdStrike]] ## Visão Geral O **CrowdStrike Falcon OverWatch** é o serviço de Managed Detection and Response (MDR) da CrowdStrike, operado por uma equipe global de threat hunters humanos disponíveis 24 horas por dia, 7 dias por semana, 365 dias por ano. Diferente de ferramentas automatizadas de SOAR ou regras de correlação estáticas, o OverWatch combina a telemetria do [[falcon-edr|Falcon EDR]] com análise humana especializada para identificar intrusões que evadiriam detecções automatizadas. O OverWatch é posicionado como a **última linha de defesa** da plataforma Falcon - atuando nos casos em que o [[falcon-prevent|Falcon Prevent (NGAV)]] não bloqueou preventivamente e o [[falcon-edr|Falcon EDR]] gerou alertas que requerem investigação humana aprofundada. Os threat hunters do OverWatch têm acesso a dados de telemetria de todos os clientes CrowdStrike simultaneamente, permitindo detectar padrões de campanha em andamento antes que um cliente individual perceba o ataque. Segundo benchmarks do setor, o OverWatch ostenta um dos menores **Mean Time to Detect (MTTD)** do mercado de MDR - com notificações aos clientes em menos de 1 minuto após a identificação de uma intrusão ativa em muitos casos documentados. **Dados do produto:** - Categoria: MDR (Managed Detection and Response) - Vendor: [[_crowdstrike|CrowdStrike]] - Cobertura: 24x7x365 - Relatório anual: OverWatch Threat Hunting Report ## Threat Hunting ### Abordagem Proativa O OverWatch não reage apenas a alertas - seus analistas conduzem **hunts proativas baseadas em hipóteses** derivadas de inteligência de ameaças atual. Quando o [[_crowdstrike|CrowdStrike Intelligence]] identifica uma nova campanha de um grupo rastreado, o OverWatch imediatamente inicia hunts em toda a base de clientes buscando os TTPs característicos daquela campanha - mesmo antes de os indicadores automáticos serem atualizados. O processo de hunting segue o modelo **adversary-focused**: 1. **Hipótese**: com base em inteligência recente (ex: novo TTP de [[g0096-apt41|APT41]]) 2. **Query**: construção de Falcon Threat Graph QL para buscar evidências do comportamento 3. **Análise**: revisão manual dos resultados, eliminação de falsos positivos 4. **Notificação**: alerta ao cliente com contexto completo e recomendações de contenção ### Adversários Rastreados em Campo Os threat hunters do OverWatch documentam encontros reais com grupos de ameaça em relatórios de casos, incluindo: - **[[g0096-apt41|APT41]]** (WICKED PANDA): operações de espionagem e crime simultâneas - o OverWatch identificou intrusões em redes de tecnologia e saúde onde o grupo utilizou ferramentas legítimas de administração como cobertura - **[[g0032-lazarus-group|Lazarus Group]]** (SILENT CHOLLIMA): campanhas de roubo de criptoativos com técnicas de engenharia social direcionadas a operadores de exchanges - o OverWatch detectou movimentação lateral via RDP em redes de exchanges antes da fase de exfiltração - **[[g0007-apt28|APT28 / Fancy Bear]]** (FANCY BEAR): spearphishing contra alvos governamentais e militares, com uso de zero-days e técnicas de evasão de EDR - o OverWatch correlacionou artefatos forenses para atribuição ### Operation Jáckpot e Casos Documentados O OverWatch documenta operações rastreadas ao longo do tempo. A **Operation Jáckpot** é um exemplo de campanha contra o setor financeiro investigada pelo OverWatch - onde hunters identificaram intrusões em múltiplos bancos utilizando o mesmo conjunto de ferramentas e infraestrutura, permitindo à CrowdStrike notificar todas as vítimas potenciais antes da fase de exfiltração. Esses casos são públicados de forma anonimizada no **OverWatch Threat Hunting Report** anual, que representa um dos recursos mais ricos de threat intelligence baseada em intrusões reais disponível públicamente. ## Relatórios OverWatch O **OverWatch Threat Hunting Report** anual compila dados de todas as intrusões detectadas e investigadas pelos threat hunters no ano anterior. As principais métricas públicadas incluem: - Número total de intrusões interrompidas - Breakdowns por setor, país de origem do atacante e motivação - TTPs mais frequentes observadas em campo (mapeadas ao MITRE ATT&CK) - Tendências de eCrime vs. espionagem estatal Adversários com presença consistente nos relatórios OverWatch: - **[[cl0p|Cl0p / TA505]]**: operações de ransomware e extorsão em larga escala - o OverWatch documentou a rapidez com que o grupo explora N-days recém-divulgados para comprometer centenas de organizações em dias - **[[lockbit|LockBit Operators]]**: maior família de ransomware-as-a-service por volume de vítimas em 2023 e 2024 - o OverWatch públicou análises detalhadas das TTPs de afiliados LockBit, incluindo vetores de acesso inicial e tempos médios de progressão - **[[g0016-apt29|APT29 / Cozy Bear]]**: espionagem de estado russo - o OverWatch rastreou campanhas de comprometimento de cadeia de suprimentos de software e acesso a ambientes cloud Os dados do OverWatch Threat Hunting Report alimentam diretamente as atualizações de detecção do [[falcon-edr|Falcon EDR]] e as regras de bloqueio do [[falcon-prevent|Falcon Prevent (NGAV)]]. ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | Nenhuma CVE catalogada | - | - | - | - | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-daté AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Falcon OverWatch") SORT patch-daté DESC ``` %% > [!latam] Relevância para Brasil e LATAM > O OverWatch detecta campanhas como as do Blind Eagle (APT-C-36), grupo com foco específico em América do Sul, incluindo Brasil. A capacidade de identificar intrusões antes da fase de exfiltração é crítica num ambiente onde empresas brasileiras são alvos crescentes de grupos de ransomware e espionagem industrial. ## Notas Relacionadas **Vendor:** [[_crowdstrike|CrowdStrike]] **Produtos relacionados:** [[falcon-edr|Falcon EDR]] · [[falcon-prevent|Falcon Prevent (NGAV)]] **Atores rastreados em campo:** [[g0096-apt41|APT41]] · [[g0032-lazarus-group|Lazarus Group]] · [[g0007-apt28|APT28 / Fancy Bear]] · [[g0016-apt29|APT29 / Cozy Bear]] · [[g1017-volt-typhoon|Volt Typhoon]] **Grupos cibercriminosos monitorados:** [[lockbit|LockBit Operators]] · [[cl0p|Cl0p / TA505]] · [[qilin|Qilin]] **Malwares relevantes:** [[s0154-cobalt-strike]] · [[lockbit]] · [[s0559-sunburst]] **Setores:** [[financial]] · [[government]] · [[healthcare|saúde]] · [[technology]] · [[infraestrutura-crítica]]