Questão nº 65

Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 65)

FGV2025Auditor Estadual de Controle - Tecnologia da InformaçãoTecnologia da Informação
Gabarito: Bver comentário ↓

Um Security Operations Center (SOC) está operando uma solução SIEM (Security Information and Event Management) que recebe logs de múltiplas fontes:

Firewall de perímetro (5.000 eventos/segundo);
Proxies web (8.000 eventos/segundo);
• Servidores Windows/Linux (3.000 eventos/segundo);
• EDR em endpoints (12.000 eventos/segundo);
Cloud AWS/Azure (4.000 eventos/segundo).

O SOC configurou as seguintes regras de correlação:

Regra 1: "Múltiplas tentativas de login falhadas (>10) em diferentes sistemas pelo mesmo usuário em janela de 5 minutos" → Gera alerta de severidade MÉDIA.
Regra 2: "Login bem-sucedido após múltiplas falhas + acesso a arquivo sensível + exfiltração de dados (>100MB upload externo)" → Gera alerta de severidade ALTA.
Regra 3: "Criação de nova conta administrativa + modificação de GPO + execução de PowerShell codificado em Base64" → Gera alerta de severidade CRÍTICA.

Durante uma janela de 30 minutos, o SIEM detectou:

09:00h: Usuário "joao.silva" - 15 logins falhados em 3 aplicações diferentes (SIEM, ERP, Portal RH);
09:03h: Usuário "joao.silva" - Login bem-sucedido no ERP a partir de IP 177.192.20.71 (Brasil);
09:07h: Usuário "joao.silva" - Acesso ao diretório "\fileserver\financeiro\confidencial";
09:15h: Mesmo IP 177.192.20.71 - Upload de 250MB para storage.xpto.com via HTTPS;
09:20h: Login bem-sucedido do usuário "admin.ti" (conta administrativa) a partir do mesmo IP 177.192.20.71.

Com base neste cenário, assinale a opção que apresenta a análise correta dos alertas disparados e a resposta adequada para este cenário.

Resposta comentada

Gabarito Alternativa B

Um SIEM (Security Information and Event Management) é uma ferramenta que coleta e analisa logs (registros de atividades) de diversos sistemas para identificar eventos de segurança e, através de regras de correlação, agrupar eventos relacionados para detectar ameaças complexas.

  • (A) Incorreta: A Regra 1 foi disparada (15 falhas > 10, em 3 sistemas diferentes, dentro de 5 minutos). A Regra 2 também foi disparada. A afirmação de que o upload excedeu a janela de correlação típica para a Regra 2 é a armadilha da banca. Regras de correlação sem janela explícita consideram eventos em sequência lógica e temporalmente próxima. 15 minutos entre o login bem-sucedido e a exfiltração é um período razoável para uma correlação de ataque multi-estágio.
  • (B) Correta: A Regra 1 foi disparada às 09:00h (15 logins falhados > 10, em 3 aplicações diferentes, dentro de 5 minutos). A Regra 2 foi disparada pela sequência: login bem-sucedido (09:03h) após as falhas, acesso a arquivo sensível (09:07h) e exfiltração de 250MB (09:15h) > 100MB. Esta sequência de eventos se encaixa perfeitamente nos critérios da Regra 2. As ações recomendadas são adequadas para conter um incidente de comprometimento de credenciais e exfiltração de dados.
  • (C) Incorreta: A Regra 3 não foi disparada. O login de "admin.ti" às 09:20h não inclui "criação de nova conta administrativa", "modificação de GPO" ou "execução de PowerShell codificado em Base64". Apenas um login não satisfaz a regra.
  • (D) Incorreta: A Regra 1 foi disparada. 15 logins falhados em 3 sistemas diferentes claramente se enquadram em "múltiplas tentativas de login falhadas (>10) em diferentes sistemas".
  • (E) Incorreta: Pelo menos as Regras 1 e 2 foram disparadas, conforme análise acima.

Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho