BHACK
Threat Detection
Use Case
Manager @ MISP
BRUNO
GUERREIRO
C:\Users\bguerreiro> whoami.exe
 Nômade brasileiro em busca de um lugar ao sol. Atualmente meu próprio
chefe…. Mas respondendo ao conselho (esposa).
 Instrutor e Orientador
 Cyber Community Manager
Bruno Guerreiro Diniz
 bruno.guerreiro@datasec.com.br
 linkedin.com/in/brunogdiniz/
 twitter.com/brunogdiniz
C:\Users\bguerreiro> whoami.exe
MDR
Embasamento NIST CSF
Operations
Engineering
MDR
Embasamento NIST CSF
Resposta
Detecção
Caso de Uso
Um caso de uso é uma metodologia usada na análise de
identificar, esclarecer e organizar
os requisitos do sistema.
sistemas para
Cada caso de uso contém três elementos essenciais:
• O ator => Cenário de Ameaça
• O objetivo => Condição de Sucesso da Ameaça
• O sistema => Comportamento da Ameaça
Fonte: https://www.techtarget.com/searchsoftwarequality/definition/use-case
Caso de Uso em Detecção e
Resposta
“Os casos de uso são o núcleo das atividades de
monitoramento de segurança. Um processo estruturado
para identificar, priorizar, implementar e manter casos
de uso permite que as organizações alinhem os esforços
de monitoramento para estratégia de segurança,
escolha as melhores soluções e maximize o valor obtido
de ferramentas de monitoramento de segurança.”
- Dr. Anton Chuvakin
Fonte: https://blogs.gartner.com/anton-chuvakin/2016/02/17/our-new-paper-on-securitymonitoring-use-cases-publishes/
Definições Importantes
Definições Importantes
Cenário de Ameaça
Caso de Uso
Regra de Detecção
Por que é importante?
(Adaptação)
Fonte:
Cardinal Ops - 2022 REPORT THE STATE OF SIEM DETECTION RISK Report
Por que é importante?
(Adaptação)
Fonte:
Cardinal Ops - 2022 REPORT THE STATE OF SIEM DETECTION RISK Report
CTI Mapping Capabilities
Complexity
Domain/Hostname
IPs
Hashes
IoAs & TTPs
• Annoying
Pescaria de Anzol
- Avalio Primeiro
- Detecto Depois
• Simple
• Easy
IOCs
Network and
Host Artifacts
• Challenging
R&D
Tools
• Complex
Operations
TTPs
Pescaria de Arrasto
- Detecto Primeiro
- Avalio Depois
• Trivial
12
Por que é importante?
(Volume)
Fonte: Red Canary 2022Threat Detection Report
Por que é importante?
(Volume)
Por que é importante?
(Amplitude)
Domínio: TI / SecTI
Domínio: SOC
Prevenção
Log Sources
Sensores
Deception
Scan de
Vulnerabilidades
Enriquecimento
Reputação de Ameaças
IOCs / IOAs
Early Detection
TIP
Security Analytics
(Online)
Firewall
Domínio: Governança de Risco
SIEM
(Online)
LOG Correlacionável
Network IPS
Enriquecimento
Cloud
Risk Management
Antivírus
Switches
xDR (EDR / NDR)
LOG Archive
(Offline)
ITSM
Servidor
Tratamento
Live
Forensics
Contenção
SOAR
SOC
Retro Hunt & Auto Hunt
Detection Knowledge Base
Novos IOCs/IOAs
+
Logs Antigos
Dia 1
Logs
Dia 2
Threat
Novos IOCs/IOAs
+
Novos Logs
Novos IOCs/IOAs
Logs
Dia 3
Logs
Dia 4
Logs
Dia 5
Logs
Threat
16
SIGMA
17
SIGMA
18
SIGMA
SIGMA
MISPANDO: Preparando o terreno
CONTEXTO
REQUISITOS
CODE
MISPANDO: Caso de Uso
MISPANDO: Regras de Detecção
MISPANDO: Biblioteca
Automatizando os Indicadores
Automatizando Indicadores de
Falso Positivo
Extraindo Métricas
Automatizando o Retro-Hunting