Curso de IBM QRadar SIEM: Do Básico ao Avançado

Módulo 1: Fundamentos do SIEM, Arquitetura e Visão Geral do Ecossistema

Estabelece uma compreensão abrangente dos fundamentos do SIEM (Security Information and Event Management), da arquitetura da plataforma IBM QRadar, de sua integração ao ecossistema e do cenário mais amplo de análise de segurança, incluindo XDR, SOAR e plataformas de inteligência de ameaças.

1.1 Fundamentos de Análise de Segurança e SIEM

• O cenário do SIEM: evolução do gerenciamento de logs para análise de segurança
• SIEM vs. SOAR vs. XDR: compreendendo a convergência de ferramentas de segurança
• Componentes principais do SIEM: coleta de logs, normalização, correlação e alerta
• O fluxo de trabalho do analista SOC: detecção, triagem, investigação e resposta
• Visão geral do framework MITRE ATT&CK e seu papel no mapeamento do SIEM

1.2 Arquitetura da Plataforma IBM QRadar

• Arquitetura do QRadar on-premises: Processador de Eventos, Gerenciador de Logs, Console e Processador de Fluxos
• QRadar na Nuvem: arquitetura multi-inquilino, modelos de ingestão e escalabilidade
• Implantação do QRadar em Nuvem Híbrida: combinando capacidades on-prem e na nuvem
• Opções de implantação: Appliances Virtuais, Appliances de Hardware e SaaS
• Alta Disponibilidade (HA) e configurações Ativo-Passivo vs. Ativo-Ativo

1.3 Componentes do QRadar e Navegação no Console

• Console IBM QRadar: visão geral da interface, áreas de trabalho, painéis e navegação
• Apps complementares, Framework de App QRadar e IBM App Exchange
• Explorador de Contexto (Context Explorer), Analisador de Risco e integração de inteligência de ameaças
• Modelo de dados: Hosts, Dispositivos, Protocolos e Categorias no QRadar

1.4 O Ecossistema QRadar

• IBM QRadar SOAR: integração de orquestração de segurança e resposta automatizada
• IBM QRadar EDR: integração de detecção e resposta em endpoint
• Integração de Inteligência de Ameaças (feeds VTI, feeds personalizados)
• Integração com ferramentas SIEM: Splunk, Elastic SIEM, IBM QRadar (gerenciamento de fonte de log)

1.5 Integração com a Suíte de Segurança IBM

• Integração do IBM QRadar SOAR para automação e orquestração de playbooks
• Integração do IBM QRadar EDR para telemetria de endpoint
• Integração do IBM QRadar VTI (Inteligência de Vulnerabilidade e Ameaças)
• Apps e complementos do IBM QRadar App Exchange
• Integração da Plataforma de Integração de Rede do IBM QRadar (NFI)

Competências Alinhadas ao Mercado: Fundamentos do SIEM, Security Information and Event Management, Arquitetura da Plataforma IBM QRadar, Implantação do QRadar On-Prem, Arquitetura do QRadar Cloud, Segurança em Nuvem Híbrida, Operações SOC e SIEM, Análise de Segurança, Integração XDR, Integração Plataforma SOAR, Plataforma de Inteligência de Ameaças (TIP), Mapeamento do Framework MITRE ATT&CK, Convergência de Ferramentas de Segurança, Arquitetura de Segurança Empresarial, Gerenciamento de Logs e Análise, Escalabilidade e Planejamento de Capacidade do SIEM, Configuração de Alta Disponibilidade (HA), Navegação e Configuração do Console QRadar

Módulo 2: Gerenciamento de Fontes de Log, Ingestão de Dados e Normalização

Profundiza na configuração de fontes de log, estratégias de coleta de dados, normalização de logs e protocolos essenciais para estabelecer visibilidade de segurança corporativa abrangente em ambientes on-prem, cloud e híbridos.

2.1 Configuração de Fontes de Log e Protocolos

• Métodos de coleta de logs: Syslog (RSYSLOG), Conexões de Rede (CEF), Common Event Format (CEF) e QRadar Common Event Format (CEF)
• Protocolo CEF: cabeçalho, nomes de extensão, extensões personalizadas e mapeamento CEF para CEF
• Coleta de logs baseada em rede: NetFlow v5/v9, IPFIX (sFlow)
• Coleta baseada em agente (Agente IBM QRadar) para visibilidade de endpoint
• Configuração de fonte de log do Active Directory, DNS, DHCP, HTTP, SMTP e banco de dados
• Melhores práticas de implantação de fontes de log: fontes de alta taxa de transferência, compactação e criptografia

2.2 Ingestão de Dados e Planejamento de Capacidade

• Compreensão do volume diário de arquivos de log (GLP) e da capacidade de ingestão de dados de eventos diários
• Políticas de retenção de dados e gerenciamento de retenção orientado por conformidade
• Priorização de fontes de log e filtragem de eventos para controlar custos
• Planejamento de capacidade para implantações SIEM em escala empresarial
• Cálculos de dimensionamento e otimização de desempenho para ambientes em grande escala

2.3 Normalização e Classificação de Logs

• O Mecanismo de Normalização QRadar: mapeia formatos nativos de log para protocolos QRadar
• Gerenciador de Propriedades da Fonte de Log e mapeamento de protocolo
• Criação de fonte de log personalizada para logs proprietários
• Mapeamento de evento, fluxo e fonte de log
• Regras de normalização e solução de problemas de análise (parsing)

Competências Alinhadas ao Mercado: Gerenciamento de Fontes de Log, Configuração Syslog, Protocolo CEF, Conexões de Rede (CEF), Implantação do Agente QRadar, Coleta de Logs do Active Directory, Coleta de Logs DNS e DHCP, Coleta de Logs HTTP/S e SMTP, Integração de Coleta de Logs de Banco de Dados (CEF), Coleta NetFlow e IPFIX, Implantação SIEM Sem Agentes, Estratégia Corporativa de Coleta de Logs, Normalização de Logs, Mapeamento de Protocolo, Configuração de Fonte de Log Personalizada, Análise e Classificação de Eventos, Estimativa de Volume Diário de Logs (DLV), Planejamento de Capacidade SIEM, Tuning de Desempenho para SIEM em Grande Escala, Retenção de Dados Orientada por Conformidade

Módulo 3: Detecção, Correlação e Desenvolvimento de Regras

O núcleo das operações do SIEM: criar, testar e gerenciar regras de detecção, desde regras de evento simples até regras complexas de correlação composta que identificam ataques, anomalias e violações de política.

O núcleo das operações do SIEM: criar, testar e gerenciar regras de detecção, desde regras de evento simples até regras complexas de correlação composta que identificam ataques, anomalias e violações de política.

3.1 Regras de Evento e Regras de Agregação

• Regras de Evento: filtragem, extração de campos e criação de atributos personalizados a partir de eventos brutos
• Regras de Agregação: contagem e agrupamento de eventos por IP, protocolo, usuário, etc.
• Ações de regra de agregação: notificações, limites de contador e propriedades personalizadas
• Ativação de regras, ordenação de regras e lógica de execução de regras

3.2 Regras de Correlação Composta

• Criando regras de correlação composta: unindo dados de várias fontes
• Tipos de regra: Evento, Agregação e Correlação Composta
• Componentes da regra composta: gatilhos, agregações, correlações e ações
• Lógica de correlação: correlação temporal, correlação por limite e correlação contextual
• Propriedades de regras de previsão e correlação: níveis de confiança, severidade e escalonamento
• Escrevendo regras de correlação eficazes: evitando fadiga de alerta e garantindo qualidade do sinal

3.3 Regras de Detecção para Técnicas MITRE ATT&CK

• Regras mapeadas para técnicas MITRE ATT&CK: Acesso Inicial, Execução, Persistência, Elevação de Privilégio, Desvio de Defesa, Acesso a Credenciais, Descoberta, Movimentação Lateral, Coleta, Comando e Controle (C2), Exfiltração
• Deteções personalizadas para categorias específicas de ataque:
• Regras para: Força Bruta, Escaneamento de Porta, Comunicação de Malware, Ameaça Interna, Movimentação Lateral, Elevação de Privilégio, Exfiltração de Dados, Comando e Controle (C2)
• Regras para: Falhas de Autenticação por Força Bruta, Escaneamento de Porta, Injeção SQL, Túnel DNS, Elevação de Privilégio, Movimentação Lateral via Pass-the-Hash

3.4 Caça a Ameaças com Regras QRadar

• Metodologia de caça proativa a ameaças usando QRadar
• Criando regras para detecção de ameaças desconhecidas/zero-day
• Análise comportamental e regras de detecção de desvio da linha de base

Competências Alinhadas ao Mercado: Desenvolvimento de Regras de Evento, Criação de Regras de Agregação, Desenvolvimento de Regras de Correlação Composta, Design de Regras de Correlação Personalizadas, Mapeamento MITRE ATT&CK, Engenharia de Detecção de Ameaças, Mapeamento de Técnicas de Ataque (Acesso Inicial, Execução, Persistência, Elevação de Privilégio, Desvio de Defesa, Acesso a Credenciais, Descoberta, Movimentação Lateral, Coleta, Comando e Controle, Exfiltração), Detecção de Comunicação de Malware, Detecção de Injeção SQL, Detecção de Túnel DNS, Regra de Elevação de Privilégio, Detecção de Força Bruta, Detecção de Movimentação Lateral, Detecção de Ameaça Interna, Detecção de Exfiltração de Dados, Detecção de Comando e Controle (C2), Gerenciamento de Fadiga de Alerta, Ajuste e Otimização de Regras, Engenharia de Regras de Detecção SOC, Caça Proativa a Ameaças

Módulo 4: Mecanismo de Ofensas QRadar e Investigação de Incidentes

Cobre em profundidade o mecanismo de ofensas do QRadar: criação de ofensas, fluxos de trabalho de investigação, análise contextual, gerenciamento de falsos positivos, triagem e manipulação de incidentes.

4.1 O Mecanismo de Ofensas

• Criação, agregação e gerenciamento do ciclo de vida das ofensas
• Propriedades da ofensa: severidade, confiança, status e atribuição
• Lógica de agregação de ofensas: agrupando eventos relacionados em incidentes significativos
• Escalação de ofensas, atribuição e gerenciamento de fluxos de trabalho

4.2 Investigação de Incidentes e Análise Contextual

• Explorador de Contexto para análise profunda de eventos e reconstrução de linha do tempo
• Análise da linha do tempo de eventos: reconstrução cronológica de incidentes de segurança
• Análise de endereço IP e enriquecimento por reputação (Inteligência de Ameaças)
• Contexto de usuário e ativo: atividade do usuário, inventário de hosts e análise de risco do ativo
• Correlação de eventos na visualização de detalhes da ofensa e do evento
• Correlação de eventos, agrupamento de eventos e coleta de evidências

4.3 Integração de Inteligência de Ameaças

• Integração de feeds de Inteligência de Vulnerabilidade e Ameaças (VTI)
• Enriquecimento automatizado de inteligência de ameaças com IBM QRadar VTI
• Faz upload de feeds personalizados de ameaças e perfis de agentes de ameaça
• Contexto de inteligência de ameaças em ofensas e análise de risco

4.4 Gerenciamento de Falsos Positivos e Ajuste de Regras

• Identificação e classificação de falsos positivos no Mecanismo de Ofensas
• Regras de supressão de falsos positivos e fluxos de trabalho de supressão
• Ajuste de regras: reduzindo o ruído mantendo a sensibilidade da detecção
• Documentação de incidentes de falsos positivos para melhoria contínua

Competências Alinhadas ao Mercado: Gerenciamento do Mecanismo de Ofensas QRadar, Investigação e Análise de Incidentes, Investigação de Ameaças, Uso do Explorador de Contexto, Análise da Linha do Tempo de Eventos, Análise de Reputação IP, Análise de Risco de Ativos, Enriquecimento de Inteligência de Ameaças, Integração de Feed VTI, Gerenciamento de Falsos Positivos, Ajuste de Alertas e Redução de Ruído, Fluxo de Trabalho de Resposta a Incidentes SOC, Ciclo de Vida de Incidentes de Segurança, Análise de Indicadores de Comprometimento, Atribuição de Ameaça Cibernética

Módulo 5: Gerenciamento de Vulnerabilidades QRadar (QVM) e Gestor de Riscos (QRM)

Profundiza no IBM QVM: integração de varredura de vulnerabilidades, priorização de vulnerabilidades baseada em risco, configurações de gerenciamento de risco e avaliação da postura de segurança orientada por riscos.

5.1 IBM QRadar Vulnerability Manager (QVM)

• Arquitetura do QVM: integração com escaneadores Nessus, Qualys e Rapid7
• Fluxos de trabalho de varredura de vulnerabilidades e agendamento de varreduras
• Análise dos resultados da avaliação de vulnerabilidade e integração com QRadar
• Correlação de pontuação CVSS e classificação da severidade das vulnerabilidades
• Análise de tendências de vulnerabilidade e priorização de remediação

5.2 IBM QRadar Risk Manager (QRM)

• Arquitetura do QRM: mecanismo de cálculo de risco e metodologia de pontuação de risco
• Configuração de regras de risco: criticidade do ativo, probabilidade de exploração da vulnerabilidade, perfis de risco do ativo
• Cálculo da pontuação de risco: combinando dados de vulnerabilidade, inteligência de ameaças, dados de ofensa e valor do ativo
• Classificação de ativos baseada em risco e configuração de painéis de risco
• Priorização de ativos orientada por risco e priorização de remediação orientada por risco

Competências Alinhadas ao Mercado: Avaliação e Gerenciamento de Vulnerabilidades, IBM QRadar Vulnerability Manager (QVM), Correlação de Pontuação CVE, Integração de Varredura de Vulnerabilidades, Integração Qualys/Nessus, Priorização de Vulnerabilidades Baseada em Risco, IBM QRadar Risk Manager (QRM), Cálculo da Pontuação de Risco, Avaliação de Criticidade do Ativo, Remediação Orientada por Risco, Configuração de Painéis de Risco, Análise de Tendências de Vulnerabilidade, Gerenciamento Corporativo de Vulnerabilidades, Avaliação e Gerenciamento de Risco Empresarial

Módulo 6: QRadar SOAR, Automação e Resposta a Incidentes

Cobre o IBM QRadar SOAR (Orquestração, Automação e Resposta de Segurança), orquestração de playbooks, automação de runbooks e automação de resposta a incidentes essenciais para as operações modernas do SOC.

6.1 Visão Geral do IBM QRadar SOAR

• Orquestração de segurança e resposta automatizada: definição e valor
• Arquitetura e componentes do QRadar SOAR: playbooks, incidentes, ações de automação e ações de dados
• Integração do QRadar SOAR: conectando SIEM, EDR, inteligência de ameaças e sistemas de bilhetagem (ServiceNow, Jira)
• SOAR vs. automação tradicional: orquestração de fluxo de trabalho orientada por playbooks

6.2 Design e Execução de Playbooks

• Criação de playbook: construindo fluxos de trabalho de investigação e resposta automatizados
• Gatilhos de playbook: criação de ofensas, gatilhos de regra e ativação manual
• Ações de playbook: enriquecer endereços IP, bloquear IPs, criar bilhetes, consultar feeds de ameaças
• Condições de playbook e lógica de ramificação

6.3 Automação da Resposta a Incidentes

• Resposta automatizada a incidentes: do alerta ao contenção em minutos
• Caça automatizada a ameaças: investigação de ameaças orientada por playbook
• Contenção automatizada de incidentes: bloqueio de IP, isolamento de endpoint e suspensão de conta
• Fluxos de trabalho de resposta automatizada a incidentes para ransomware, phishing, ataques de força bruta e ameaças internas

6.4 Integração com Sistemas Externos

• Integrações do QRadar SOAR com ServiceNow, Jira, Slack, email e sistemas baseados em webhook
• Integração de API personalizada com plataformas de Inteligência de Ameaças
• Integração EDR para ações automatizadas de endpoint
• Automação de análise de payload (arquivo, URL, domínio)

Competências Alinhadas ao Mercado: Orquestração de Segurança, Automação e Resposta por IA (SOAR), IBM QRadar SOAR, Automação de Playbook, Design de Runbook, Orquestração de Fluxo de Trabalho de Resposta a Incidentes Automatizada, Automação de Segurança Orientada por API, Integração de Inteligência de Ameaças, Automação de Contenção de Incidentes, Análise Automatizada de Ameaças, Integração ServiceNow para Segurança, Automação de Sistema de Bilhetagem, Automação de Resposta de Endpoint, Bloqueio Automático de IPs, Automação de Resposta ao Phishing, Automação de Resposta ao Ransomware

Módulo 7: Forense QRadar, Forense de Rede e Análise de Dados

Cobre a Forense de Incidentes QRadar (QRIF) e capacidades de investigação forense, forense de rede (NFI) para análise de captura de pacotes e técnicas de análise forense usadas na investigação de incidentes.

7.1 IBM QRadar Forensics (QRIF)

• QRIF: coleta e armazenamento de dados forenses para investigações
• Fontes de dados forenses: capturas de pacotes, logs de eventos e forense de endpoint
• Análise forense: reconstrução de linha do tempo, análise de arquivos e análise forense de rede
• Preservação de evidências forenses e cadeia de custódia
• Ferramentas e técnicas de análise forense dentro do QRIF

7.2 Forense e Inspeção de Rede (NFI)

• Forense de rede: análise de captura de pacotes e inspeção de tráfego de rede
• Análise de dados de fluxo: NetFlow, sFlow e IPFIX na forense de rede do QRadar
• Análise de protocolo: HTTP, DNS, SMTP, SSH, FTP e inspeção de protocolo personalizado
• Deteção de ameaças por meio de forense de rede: beaconing de C2, exfiltração de dados e detecção de movimentação lateral
• Identificação de padrões de tráfego suspeitos

7.3 Análise Comportamental de Usuários e Entidades (UEBA)

• UEBA: compreensão da linha de base do comportamento do usuário e detecção de anomalias
• Fontes de dados UEBA: Active Directory, logs de proxy, logs de endpoint, logs DLP, logs de autenticação, logs de nuvem
• Pontuação UEBA: pontuações de risco do usuário e entidades
• Deteção de ameaças orientada por UEBA: contas comprometidas, ameaças internas e exfiltração de dados

Competências Alinhadas ao Mercado: Forense de Incidentes QRadar (QRIF), Coleta de Dados Forenses, Investigação e Análise Forense, Forense de Rede, Análise de Captura de Pacotes, Análise de Dados de Fluxo, Detecção de Ameaças por meio de Forense de Rede, Análise Comportamental de Usuários e Entidades (UEBA), Detecção de Anomalias do Usuário, Detecção de Ameaça Interna, Detecção de Conta Comprometida, Exfiltração de Dados via Comportamento do Usuário, Detecção de Beaconing C2, Movimentação Lateral por meio de Forense de Rede, Forense Digital e Resposta a Incidentes (DFIR), Preservação de Evidências e Cadeia de Custódia, Análise de Protocolo, Forense de Log de Segurança, Caça a Ameaças por meio de Análise de Rede

Módulo 8: SIEM em Nuvem, SIEM-as-Code, Conformidade e Operações SIEM

Avalia as operações do IBM QRadar, escalonamento, relatórios de conformidade, integração de SIEM em nuvem, práticas de detecção-as-code e governança SOC essenciais para a implantação de SIEM em escala empresarial.

8.1 Operações e Administração do QRadar

• Administração do QRadar: papéis de usuário, permissões e políticas de segurança
• Auditoria das configurações do QRadar e logs de acesso
• Relatórios agendados e design de relatórios personalizados para gestão e conformidade
• Tarefas agendadas: backup/restauração, limpeza de banco de dados e manutenção
• Configuração do servidor Syslog para encaminhamento de logs do SIEM
• Atualizações de software e gerenciamento de patches para appliances do QRadar

8.2 Relatórios de Conformidade e Mapeamento Regulatório

• Requisitos SIEM PCI DSS e relatórios de conformidade QRadar
• Mapeamento de conformidade HIPAA, GDPR, SOX, NIST CSF e ISO 27001 com relatórios QRadar
• Relatórios de auditoria regulatória: modelos de relatório personalizados para auditores PCI DSS e HIPAA
• Monitoramento de conformidade em tempo real e painéis de conformidade contínua

8.3 SIEM-as-Code e Infraestrutura como Código

• Gerenciamento de regras SIEM controlado por versão: implantação de regras baseada em Git
• Terraform e Ansible para provisionamento e configuração de appliances QRadar
• Pipeline CI/CD para regras e playbooks do SIEM
• Automação orientada por API do QRadar para implantação e gerenciamento de regras

8.4 SIEM em Nuvem e Segurança em Nuvem Híbrida

• Integração de fontes de log na nuvem: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor
• Estratégias SIEM nativas da nuvem: SIEM para ambientes SaaS (AWS, Azure, GCP, Office 365, AWS)
• Integrações SIEM do Microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs e Google Cloud Logging
• Monitoramento de identidade e acesso na nuvem: IAM, Active Directory, Entra ID
• Proteção de carga de trabalho na nuvem e integração com SIEM

8.5 Detecção de Ameaças à Identidade

• A identidade como a nova fronteira de ameaça: detecção de comprometimento de conta
• Deteção de ameaças do Active Directory: Kerberoasting, AS-REP roasting, ataques de tickets Golden/Sid
• Deteção de bypass de autenticação multifator (MFA)
• Monitoramento de Gestão de Identidade Privilegiada (PIM)

8.6 Monitoramento Zero Trust

• Monitoramento da arquitetura Zero Trust: identidade, dispositivo e controles de rede
• Monitoramento de microsegmentação e validação de aplicação de políticas
• Relatórios de conformidade Zero Trust por meio de integração SIEM

8.7 Operações SOC e Governança SIEM

• Métricas e KPIs do SOC: MTTR (Tempo Médio para Responder), MTTD (Tempo Médio para Detectar) para monitoramento SIEM
• Avaliação de maturidade do SOC e melhoria do SOC orientada por SIEM
• Governança SIEM: gerenciamento de regras, rastreamento de falsos positivos e melhoria contínua
• Melhores práticas operacionais do SIEM: monitoramento, alertas e procedimentos de escalonamento

Competências Alinhadas ao Mercado: Administração do QRadar, Operações e Gerenciamento do SIEM, Gerenciamento de Conformidade SIEM, Relatórios de Conformidade PCI D SS SIEM, Conformidade SIEM HIPAA e GDPR, Conformidade SIEM SOX e ISO 27001, Mapeamento SIEM NIST CSF, Monitoramento Contínuo de Conformidade, Relatórios Personalizados de Conformidade, SIEM-as-Code e Infraestrutura como Código, Terraform para SIEM, Ansible para Implantação SIEM, CI/CD para Regras SIEM, Automação API do QRadar, Integração SIEM em Nuvem, AWS CloudTrail SIEM, Integração Microsoft Sentinel, Google Cloud Logging SIEM GCP, Azure Monitor SIEM, Integração Office 365 SIEM, SIEM Nativo da Nuvem, Monitoramento Zero Trust, Detecção de Ameaças IAM, Detecção de Ameaças à Identidade, Detecção de Ameaças ao Active Directory, Detecção de Ataque Kerberos, Monitoramento de Identidade Privilegiada, Segurança de Autenticação Multifator (MFA), Gerenciamento de KPIs e Métricas SOC, Avaliação de Maturidade SOC, Melhores Práticas Operacionais SIEM, Governança de Resposta a Incidentes, Gerenciamento do Ciclo de Vida de Regras SIEM, Governança Empresarial SIEM

Módulo 9: Projeto Integrador e Cenários de Ameaças do Mundo Real

Um integrador prático abrangente simulando cenários de segurança empresarial, incluindo detecção de ameaças, investigação e resposta a incidentes usando o IBM QRadar.

9.1 Projeto Integrador: Cenário de Segurança Empresarial

• Configuração do ambiente corporativo simulado com fontes de log realistas e cenários de ataque
• Implantação de fontes de log e configuração de políticas de coleta de logs
• Criação de regras de detecção mapeadas para MITRE ATT&CK
• Investigação de dados reais de ofensas no QRadar e realização de análise forense
• Design e implantação de playbooks SOAR para resposta automatizada
• Geração de relatórios de conformidade para PCI DSS, HIPAA e GDPR
• Realização de planejamento de capacidade e escalonamento da implantação SIEM

9.2 Cenários de Ameaças do Mundo Real

• Ataques simulados: implantação de ransomware, ameaça interna, movimentação lateral, ataques de força bruta, ataques à cadeia de suprimentos e phishing
• Detectando ransomware: movimentação lateral, estágio de dados e detecção de movimentação lateral
• Ameaça interna: tentativas de exfiltração de dados e detecção de anomalias
• Deteção de ataque à cadeia de suprimentos: detecção de acesso de fornecedor comprometido
• Resposta ao phishing: bloqueio automatizado de URL e fluxos de trabalho de investigação de email
• Caça a ameaças zero-day: detecção de ameaças desconhecidas usando técnicas de caça sem regras
• Deteção de Ameaça Persistente Avançada (APT) usando UEBA e análise forense

Competências Alinhadas ao Mercado: Entrega do Projeto de Segurança Integrador, Simulação Empresarial SIEM, Design de Cenário de Ameaça do Mundo Real, Implantação de Regra de Detecção MITRE ATT&CK, Investigação de Incidente SOC, Design de Playbook QRadar SOAR, Simulação de Resposta a Ransomware, Detecção de Ameaça Interna, Automação de Resposta ao Phishing, Detecção de Ataque à Cadeia de Suprimentos, Caça a Ameaças Zero-Day, Detecção de Ameaça Persistente Avançada (APT), Planejamento de Capacidade e Escalonamento SIEM, Relatórios Multi-Conformidade (PCI DSS, HIPAA, GDPR), Resposta Empresarial a Ameaças, Investigação Forense de Ameaças, Enriquecimento de Inteligência de Ameaças, Contenção Automatizada de Incidentes, Simulação de Operações SOC, Prática Completa de Engenharia SIEM