Questão nº 65
Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 65)
Um Security Operations Center (SOC) está operando uma solução SIEM (Security Information and Event Management) que recebe logs de múltiplas fontes:
• Firewall de perímetro (5.000 eventos/segundo);
• Proxies web (8.000 eventos/segundo);
• Servidores Windows/Linux (3.000 eventos/segundo);
• EDR em endpoints (12.000 eventos/segundo);
• Cloud AWS/Azure (4.000 eventos/segundo).
O SOC configurou as seguintes regras de correlação:
Regra 1: "Múltiplas tentativas de login falhadas (>10) em diferentes sistemas pelo mesmo usuário em janela de 5 minutos" → Gera alerta de severidade MÉDIA.
Regra 2: "Login bem-sucedido após múltiplas falhas + acesso a arquivo sensível + exfiltração de dados (>100MB upload externo)" → Gera alerta de severidade ALTA.
Regra 3: "Criação de nova conta administrativa + modificação de GPO + execução de PowerShell codificado em Base64" → Gera alerta de severidade CRÍTICA.
Durante uma janela de 30 minutos, o SIEM detectou:
09:00h: Usuário "joao.silva" - 15 logins falhados em 3 aplicações diferentes (SIEM, ERP, Portal RH);
09:03h: Usuário "joao.silva" - Login bem-sucedido no ERP a partir de IP 177.192.20.71 (Brasil);
09:07h: Usuário "joao.silva" - Acesso ao diretório "\fileserver\financeiro\confidencial";
09:15h: Mesmo IP 177.192.20.71 - Upload de 250MB para storage.xpto.com via HTTPS;
09:20h: Login bem-sucedido do usuário "admin.ti" (conta administrativa) a partir do mesmo IP 177.192.20.71.
Com base neste cenário, assinale a opção que apresenta a análise correta dos alertas disparados e a resposta adequada para este cenário.
- AApenas o alerta da Regra 1 foi disparado, indicando possível ataque de força bruta. A Regra 2 não foi acionada porque o upload ocorreu 12 minutos após o login, excedendo a janela de correlação típica. Ação recomendada: resetar senha de "joao.silva", implementar MFA na conta e monitorar por 24h.
- BOs alertas das Regras 1 e 2 foram disparados, caracterizando provável comprometimento de credenciais seguido de exfiltração. Ação recomendada: revogar sessões ativas de "joao.silva", isolar o endpoint no IP 177.192.20.71, bloquear comunicação com storage.xpto.com, e iniciar investigação forense do fileserver e logs de acesso. (alternativa correta)
- COs alertas das Regras 1, 2 e 3 foram disparados em sequência. O login de "admin.ti" às 09:20h do mesmo IP indica elevação de privilégios após o comprometimento inicial. Ação recomendada: desabilitar ambas as contas ("joao.silva" e "admin.ti"), reverter alterações em GPOs, e acionar resposta a incidente nível crítico.
- DApenas o alerta da Regra 2 foi disparado. A Regra 1 não foi acionada porque os 15 logins falhados distribuídos em 3 sistemas diferentes não caracterizam "múltiplos sistemas" conforme threshold da regra. Ação recomendada: bloquear IP 177.192.20.71 no firewall, quarentenar arquivos acessados e notificar usuário "joao.silva" sobre possível comprometimento.
- ENenhum alerta foi disparado porque a sequência de eventos, embora suspeita, não atende simultaneamente a todos os critérios de nenhuma das três regras configuradas. Ação recomendada: criar nova regra de correlação que capture este padrão específico de comportamento e manter monitoramento manual do IP 177.192.20.71.
Resposta comentada
Gabarito Alternativa B
Um SIEM (Security Information and Event Management) é uma ferramenta que coleta e analisa logs (registros de atividades) de diversos sistemas para identificar eventos de segurança e, através de regras de correlação, agrupar eventos relacionados para detectar ameaças complexas.
- (A) Incorreta: A Regra 1 foi disparada (15 falhas > 10, em 3 sistemas diferentes, dentro de 5 minutos). A Regra 2 também foi disparada. A afirmação de que o upload excedeu a janela de correlação típica para a Regra 2 é a armadilha da banca. Regras de correlação sem janela explícita consideram eventos em sequência lógica e temporalmente próxima. 15 minutos entre o login bem-sucedido e a exfiltração é um período razoável para uma correlação de ataque multi-estágio.
- (B) Correta: A Regra 1 foi disparada às 09:00h (15 logins falhados > 10, em 3 aplicações diferentes, dentro de 5 minutos). A Regra 2 foi disparada pela sequência: login bem-sucedido (09:03h) após as falhas, acesso a arquivo sensível (09:07h) e exfiltração de 250MB (09:15h) > 100MB. Esta sequência de eventos se encaixa perfeitamente nos critérios da Regra 2. As ações recomendadas são adequadas para conter um incidente de comprometimento de credenciais e exfiltração de dados.
- (C) Incorreta: A Regra 3 não foi disparada. O login de "admin.ti" às 09:20h não inclui "criação de nova conta administrativa", "modificação de GPO" ou "execução de PowerShell codificado em Base64". Apenas um login não satisfaz a regra.
- (D) Incorreta: A Regra 1 foi disparada. 15 logins falhados em 3 sistemas diferentes claramente se enquadram em "múltiplas tentativas de login falhadas (>10) em diferentes sistemas".
- (E) Incorreta: Pelo menos as Regras 1 e 2 foram disparadas, conforme análise acima.
Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.