Neste artigo

Níveis de Threat Intelligence

Threat Intelligence existe em três níveis, cada um servindo a audiências e propósitos diferentes:

Nível Foco Audiência Exemplo
Estratégica Tendências, motivações, riscos de longo prazo C-level, Board Relatório sobre ameaças ao setor financeiro em 2026
Tática TTPs de adversários Security architects, Detection engineers APT29 usa scheduled tasks para persistência
Operacional IOCs, indicadores acionáveis SOC, IR team IP 192.0.2.1 é C2 de Cobalt Strike

Este artigo foca no nível operacional - como transformar indicadores e intel em ações práticas de defesa no dia-a-dia do SOC.

Trabalhando com IOCs

Tipos de IOCs

  • Network: IPs, domínios, URLs, JA3 fingerprints
  • File: Hashes (MD5, SHA1, SHA256), nomes de arquivo, paths
  • Email: Endereços, subjects, attachment names
  • Host: Registry keys, scheduled tasks, service names
  • Behavioral: YARA rules, SIGMA rules

Pirâmide de Dor (Pyramid of Pain)

Nem todos os IOCs são iguais. A Pirâmide de Dor de David Bianco classifica indicadores pela dificuldade que um atacante tem em mudá-los:

  • Hash values: Trivial para atacante mudar (recompilar)
  • IP addresses: Fácil (usar nova infraestrutura)
  • Domain names: Simples (registrar novo domínio)
  • Network artifacts: Incômodo (mudar User-Agent, URI patterns)
  • Host artifacts: Incômodo (mudar nomes de arquivo, registry)
  • Tools: Desafiador (mudar ferramentas usadas)
  • TTPs: Difícil (mudar táticas e técnicas)

Implicação prática

Focar apenas em hashes e IPs (base da pirâmide) fornece proteção efêmera - atacantes mudam rapidamente. Investir em detecção de TTPs (topo) fornece proteção duradoura porque requer que o atacante mude fundamentalmente como opera.

Ciclo de vida de IOCs

  1. Ingestão: Receber de feeds, reports, hunting
  2. Validação: Verificar formato, remover duplicatas
  3. Enriquecimento: Adicionar contexto (WHOIS, geoloc, reputação)
  4. Scoring: Atribuir confiança baseado em fonte e corroboração
  5. Distribuição: Enviar para ferramentas de segurança
  6. Ação: Detectar, alertar ou bloquear
  7. Expiração: Remover IOCs antigos (IPs mudam de dono)

Cuidado com IOCs antigos

IPs e domínios mudam de dono. Um IP usado por malware em 2023 pode ser um site legítimo em 2026. Defina TTL (time-to-live) para IOCs e remova automaticamente após expiração. IOCs de hash são mais duráveis - o arquivo malicioso não muda.

Fontes de Inteligência

Fontes Open Source (OSINT)

  • AlienVault OTX: Comunidade compartilhando pulses de IOCs
  • Abuse.ch: URLhaus, MalwareBazaar, Feodo Tracker
  • CIRCL: MISP feeds europeus
  • VirusTotal: IOCs de arquivos submetidos
  • Emerging Threats: Regras Snort/Suricata open

ISACs e Comunidades

  • FS-ISAC: Setor financeiro
  • H-ISAC: Saúde
  • E-ISAC: Energia
  • CERT.br: Intel específica Brasil

Comerciais

  • Mandiant/Google: Forte em APT tracking
  • CrowdStrike: Adversary intel e IOCs de telemetria
  • Recorded Future: Intel de dark web e OSINT
  • Intel 471: Foco em threat actors e underground

Internas

  • Incident response: IOCs de incidentes próprios
  • Threat hunting: Indicadores descobertos proativamente
  • Red team: TTPs simulados que devem ser detectados

Plataformas TIP

TIP (Threat Intelligence Platform) centraliza a gestão de intel:

Funções principais

  • Agregação: Ingerir de múltiplas fontes
  • Normalização: Padronizar formatos (STIX/TAXII)
  • Deduplicação: Eliminar IOCs repetidos
  • Correlação: Relacionar IOCs de diferentes fontes
  • Enriquecimento: Adicionar contexto automaticamente
  • Scoring: Calcular confiança e severidade
  • Distribuição: Exportar para SIEM, firewall, EDR

Opções de TIP

Open Source

  • MISP: Plataforma mais popular, forte comunidade
  • OpenCTI: Moderno, focado em STIX 2.1
  • YETI: Leve, bom para começar

Comercial

  • Anomali ThreatStream: Ampla integração
  • ThreatConnect: Forte em workflow
  • Recorded Future: TIP + intel propria
  • Microsoft Sentinel TI: Integrado ao SIEM

Operacionalização Prática

Integração com SIEM

  • Importar IOCs como watchlists ou lookup tables
  • Criar alertas quando IOCs são vistos em logs
  • Enriquecer alertas existentes com contexto de TI
  • Priorizar alertas baseado em intel (campanhas ativas)

Integração com Firewall/Proxy

  • Bloquear IPs e domínios maliciosos automaticamente
  • Implementar feed de alta confiança para bloqueio automático
  • Feeds de média confiança para alerta apenas
  • Processo de exceção para falsos positivos

Integração com EDR

  • Hashes de malware para detecção e bloqueio
  • Alertas customizados baseados em file IOCs
  • Retrohunting: buscar IOCs em telemetria histórica

Workflow de operacionalização

  1. Ingestão automática: TIP ingere feeds continuamente
  2. Scoring automático: Confiança baseada em fonte e corroboração
  3. Distribuição automática: Alta confiança → bloqueio; média → alerta
  4. Feedback loop: FPs reportados pelo SOC alimentam tuning
  5. Expiração: IOCs removidos após TTL

Consumo manual de reports

Nem toda intel é automatizável. Reports de threat actors requerem ação humana:

  • Extrair IOCs e ingerir na TIP
  • Mapear TTPs para MITRE ATT&CK
  • Verificar se há detecções para essas TTPs
  • Criar hunting queries para TTPs sem detecção
  • Briefar time sobre ameaça se relevante para o setor

Métricas de Eficácia

Métricas de cobertura

  • IOCs ativos: Número de indicadores em uso
  • Fontes integradas: Diversidade de intel
  • TTL médio: Frescor dos IOCs

Métricas de impacto

  • Hits por fonte: Quais feeds geram mais alertas úteis
  • Bloqueios: Ameaças prevenidas por intel
  • Detecções: Alertas gerados por IOCs
  • False positive rate: Por fonte de intel

Métricas de processo

  • Time to ingest: Tempo entre publicação e uso
  • Time to action: Tempo entre alerta e resposta
  • Retrohunt coverage: % de dados históricos analisados

ROI de feeds

Avalie feeds pelo número de TRUE positives gerados, não pelo volume de IOCs. Um feed com 1000 IOCs que gera 0 hits úteis tem menos valor que um feed com 100 IOCs que detecta ameaças reais. Cancele feeds que não agregam valor.

Perguntas Frequentes

O que é Threat Intelligence operacional?

Threat Intelligence operacional foca em transformar inteligência de ameaças em ações práticas de defesa. Enquanto intel estratégica informa decisões de longo prazo e tática descreve TTPs de adversários, intel operacional fornece IOCs e contexto para detecção e bloqueio imediato de ameaças no dia-a-dia do SOC.

O que são IOCs e como usá-los?

IOCs (Indicators of Compromise) são artefatos observáveis que indicam comprometimento: IPs, domínios, hashes de arquivos, URLs, padrões de email. São usados para: detectar (alertar quando vistos nos logs), bloquear (adicionar a blacklists de firewall/proxy), e investigar (buscar retroativamente nos logs). Importante avaliar confiança e contexto antes de bloquear.

O que é uma TIP (Threat Intelligence Platform)?

TIP é uma plataforma para agregar, normalizar, enriquecer e distribuir threat intelligence. Ingere feeds de múltiplas fontes (comerciais, open source, ISACs), deduplica e correlaciona indicadores, adiciona contexto e scoring, e distribui para ferramentas de segurança (SIEM, firewall, EDR) via APIs. Exemplos: MISP, OpenCTI, Anomali, ThreatConnect.

Como começar com threat intelligence?

Comece com fontes gratuitas de alta qualidade (Abuse.ch, AlienVault OTX). Integre com seu SIEM para gerar alertas em hits. Implemente MISP ou OpenCTI para centralizar gestão. Defina processo para avaliar e agir em alertas. Expanda para feeds comerciais e ISACs conforme maturidade. Foque em feeds relevantes para seu setor e região.

Conclusão

Threat Intelligence só tem valor quando operacionalizada. Relatórios que ficam no email ou feeds que não são consumidos são desperdício de recurso. O objetivo é transformar intel em ação - detectar mais rápido, bloquear proativamente, e responder com contexto.

Comece simples: alguns feeds de qualidade integrados ao SIEM. Evolua para uma TIP conforme o volume crescer. Sempre meça o impacto - feeds que não geram valor devem ser descontinuados.

A operacionalização eficaz requer processo além de tecnologia: quem avalia novos reports? Como TTPs viram detecções? Qual o SLA para ingerir IOCs de incidentes próprios? Responder essas perguntas é tão importante quanto escolher ferramentas.

Implemente Threat Intelligence

Precisa de ajuda para implementar ou otimizar seu programa de threat intelligence? Entre em contato para uma consultoria especializada.

Falar com Especialista