Triaging a Detection

• As detecções estão presentes para um período de retenção de 90 dias.

• Os indicadores estão presentes com base no seu período de retenção do CS, que provavelmente é de 1 ano.

• Podemos adicionar e remover filtros

Detalhes sobre cada aba

Details (primeiro filtro mental)

Aqui você decide se vale investigar mais.

Sinais suspeitos:

• Severity High/Critical

• Técnica MITRE ligada a:

  • Execution

  • Persistence

  • Lateral Movement

• Processo estranho (ex: powershell.exe, rundll32.exe, wscript.exe)

• Usuário fora do padrão (admin executando coisa incomum)

• Horário estranho (madrugada, fora do expediente)

Pergunta-chave:

Isso faz sentido para esse usuário/host?

Process Tree

Essa é a mais importante.

Procure por:

Cadeias estranhas

Exemplo clássico:

• explorer.exe → cmd.exe → powershell.exe

• winword.exe → powershell.exe

LOLBins (ferramentas legítimas usadas maliciosamente)

Fique atento a:

• powershell.exe

• cmd.exe

• rundll32.exe

• mshta.exe

• regsvr32.exe

• wmic.exe

Processos iniciados por documentos

Muito suspeito:

• excel.exe → cmd.exe

• acrobat.exe → powershell.exe

Filhos inesperados

Exemplo:

• Navegador iniciando script shell

• Serviço do sistema iniciando script de usuário

Process Table

Mais visão geral.

Procure:

• Mesmo processo repetido várias vezes

• Execuções com caminhos estranhos:

  • C:\Users\Public\

  • AppData\Temp

• Binários com nomes parecidos com legítimos:

  • svch0st.exe (zero no lugar de “o”)

Process Graph

Use para confirmar padrões visuais.

Procure:

• Ramificações grandes (muitos processos derivados)

• Comportamento em cadeia (execução em cascata)

Events Timeline

Aqui você entende a história.

Sinais:

• Execuções muito rápidas em sequência (script automatizado)

• Sequência típica de ataque:

  1. Download

  2. Execução

  3. Persistência

Asset Graph

Expansão do incidente.

Procure:

• Mesmo hash em múltiplos hosts

• Mesmo usuário em vários endpoints

• Conexões entre máquinas (lateral movement)