🛡️ Domínio 4

Operações e Resposta a Incidentes

📚 90 Flashcards
❓ 40 Questões
✅ 0% Dominado
Card 1 de 90
0 dominados
FRENTE
👆 Clique para virar

📖 Resumo - Domínio 4: Operações e Resposta a Incidentes

🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
  • 6 fases do Incident Response: Preparation → Identification → Containment → Eradication → Recovery → Lessons Learned
  • IDS vs IPS: IDS detecta e alerta (passivo), IPS detecta e bloqueia (ativo)
  • False Negative (não detectar ataque) é MAIS GRAVE que False Positive
  • Ordem de Volatilidade: CPU/RAM → Disco → Logs → Backups
  • 3-2-1 Rule: 3 cópias, 2 mídias, 1 offsite

1️⃣ Processo de Resposta a Incidentes

1. PreparationPlanos, ferramentas
2. IdentificationDetectar
3. ContainmentIsolar
4. EradicationRemover causa
5. RecoveryRestaurar
6. Lessons LearnedMelhorias

Containment (Contenção)

  • Isolation: Desconectar sistema da rede (preserva evidências)
  • Segmentation: Mover para VLAN isolada (quarentena)
  • Removal: Desligar sistema (último caso, perde dados voláteis)

Eradication e Recovery

  • Eradication: Remover causa raiz: deletar malware, fechar vulnerabilidade, revogar credenciais
  • Recovery: Restaurar sistemas à operação normal: restore de backup, rebuild, patches

2️⃣ Monitoramento e Detecção

IDS vs IPS

IDSIPS
DETECTA e ALERTADETECTA e BLOQUEIA
Modo passivo (out-of-band)Modo ativo (inline)
Não afeta tráfegoPode adicionar latência

Métodos de Detecção

  • Signature-based: Compara com assinaturas conhecidas. Rápido, baixo falso positivo, só detecta conhecido.
  • Anomaly-based: Detecta desvios do baseline normal. Detecta novos ataques, mais falsos positivos.

SIEM e SOAR

  • SIEM: Security Information and Event Management. Coleta e correlaciona logs. Ex: Splunk, QRadar.
  • SOAR: Security Orchestration, Automation and Response. Automatiza resposta a incidentes.
⚠️ REGRA DE OURO: False Negative é MUITO pior que False Positive! Deixar uma vulnerabilidade real sem detecção pode levar a um ataque real.

3️⃣ Gerenciamento de Vulnerabilidades

Ciclo de Vida

  1. Discovery: Encontrar vulnerabilidades
  2. Assessment: Avaliar severidade
  3. Prioritization: Priorizar por risco
  4. Remediation: Corrigir
  5. Verification: Confirmar correção
  6. Monitoring: Monitoramento contínuo

CVSS, CVE e NVD

  • CVSS: Common Vulnerability Scoring System. Score 0-10 (Critical 9-10, High 7-8.9, Medium 4-6.9, Low 0.1-3.9)
  • CVE: Common Vulnerabilities and Exposures. ID único (CVE-2024-12345)
  • CWE: Common Weakness Enumeration. Categorias de fraquezas

Tipos de Scan

  • Credentialed: Com credenciais, mais profundo, menos falsos negativos
  • Non-credentialed: Sem credenciais, visão de atacante externo
  • Agent-based: Agente no host, scan contínuo
  • Agentless: Scan remoto sem agente

Interpretação de Resultados

  • True Positive: Vulnerabilidade real detectada
  • False Positive: Alerta incorreto
  • False Negative: Vulnerabilidade real não detectada (GRAVE)

4️⃣ Ferramentas de Scan e Pentest

Nessus

Scanner comercial mais usado

OpenVAS

Scanner open source

Qualys

Cloud-based, contínuo

Metasploit

Framework de exploração

Burp Suite

Proxy para web apps

OWASP ZAP

Web scanner open source

Tipos de Pentest

  • Black Box: Sem conhecimento prévio
  • White Box: Conhecimento completo (código, arquitetura)
  • Gray Box: Conhecimento parcial

5️⃣ Forense Digital

Ordem de Volatilidade

1. CPU registers, cache (mais volátil)
2. RAM (memória volátil)
3. Swap/Page file
4. Disco rígido
5. Logs remotos
6. Backups (menos volátil)

Chain of Custody (Cadeia de Custódia)

  • Documentar quem teve acesso à evidência, quando, onde e por quê
  • Essencial para admissibilidade em tribunal

Ferramentas Forenses

  • FTK Imager: Criar imagens forenses
  • dd/dcfldd: Disk imaging no Linux
  • Autopsy: Análise forense GUI
  • Volatility: Memory forensics
  • Wireshark: Network forensics
💡 IMPORTANTE: Sempre usar Write Blocker para não modificar evidência. Calcular hash antes e depois para provar integridade.

6️⃣ Redundância e Backup

RAID

RAID 0

Striping. Performance, SEM REDUNDÂNCIA

RAID 1

Mirroring. 50% capacidade, tolera 1 falha

RAID 5

Striping + parity. Mínimo 3 discos, tolera 1 falha

RAID 6

Double parity. Mínimo 4 discos, tolera 2 falhas

RAID 10

Mirror de stripes. Performance + redundância

Tipos de Backup

TipoDescriçãoRestore
FullCópia completaRápido
IncrementalMudanças desde último backupLento (full + todos incrementais)
DifferentialMudanças desde último fullMédio (full + último differential)

Conceitos Importantes

  • 3-2-1 Rule: 3 cópias, 2 mídias, 1 offsite
  • RPO (Recovery Point Objective): Quanto dado pode perder
  • RTO (Recovery Time Objective): Tempo para recuperar
  • MTD (Maximum Tolerable Downtime): Tempo máximo sem o processo

DR Sites

  • Hot Site: Totalmente equipado, failover imediato (RTO minutos)
  • Warm Site: Equipado mas sem dados atuais (RTO horas)
  • Cold Site: Apenas espaço físico (RTO dias)
🎯 DICAS FINAIS PARA PROVA:
  • 6 fases IR: Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned
  • Ordem de volatilidade: RAM > Disco > Logs > Backups
  • Chain of Custody = documentar tudo
  • Write Blocker = não modificar evidência
  • RAID 0 = performance, RAID 1 = mirror, RAID 5 = parity
  • 3-2-1 rule: 3 cópias, 2 mídias, 1 offsite
  • RPO = quanto dado perder, RTO = tempo recuperar

Quiz — Sessão de 15 Questões

Pool completo • Nova sessão sorteia 15 aleatórias • Passing Score: 80%

🎉

Resultado

0%