Curso de IBM QRadar SIEM: Do Básico ao Avançado

Módulo 1: Fundamentos, Arquitetura e Visão Geral do Ecossistema do SIEM/Fundamentals

Estabelece uma compreensão abrangente dos fundamentos do SIEM (Segurança de Informações e Gestão de Eventos), da arquitetura da plataforma IBM QRadar, de sua integração ao ecossistema e do cenário mais amplo de análise de segurança, incluindo XDR, SOAR e plataformas de inteligência de ameaças.

1.1 Análise de Segurança e Fundamentos do SIEM

• O cenário do SIEM: evolução do gerenciamento de logs para análise de segurança
• SIEM vs. SOAR vs. XDR: compreendendo a convergência das ferramentas de segurança
• Componentes principais do SIEM: coleta de logs, normalização, correlação e alertas
• O fluxo de trabalho do analista do SOC: detecção, triagem, investigação e resposta
• Visão geral do framework MITRE ATT&CK e seu papel no mapeamento do SIEM

1.2 Arquitetura da Plataforma IBM QRadar

• Arquitetura do QRadr on-premises: Processador de Eventos, Gerenciador de Logs, Console e Processador de Fluxos
• QRadar na Nuvem: arquitetura multi-inquilino, modelos de ingestão e escalabilidade
• Implantação híbrida do QRadar na nuvem: combinando capacidades on-prem e na nuvem
• Opções de implantação: Appliances Virtuais, Appliances de Hardware e SaaS
• Alta Disponibilidade (HA) e configurações Ativo-Passivo versus Ativo-Ativo

1.3 Componentes do QRadar e Navegação no Console

• Console IBM QRadar: visão geral da interface, espaços de trabalho, painéis e navegação
• Apps Complementares, Framework de App QRadar e IBM App Exchange
• Explorador de Contexto, Analisador de Risco e integração com inteligência de ameaças
• Modelo de dados: Hospedeiros, Dispositivos, Protocolos e Categorias no QRadar

1.4 O Ecossistema QRadar

• IBM QRadar SOAR: integração de orquestração de segurança e resposta automatizada
• IBM QRadar EDR: integração de detecção e resposta em endpoints
• Integração com Inteligência de Ameaças (feed VTI, feeds de ameaças personalizados)
• Integração com ferramentas SIEM: Splunk, Elastic SIEM, IBM QRadar (gerenciamento de fontes de log)

1.5 Integração com o Suite de Segurança IBM

• Integração do IBM QRadar SOAR para automação e orquestração de playbooks
• Integração do IBM QRadar EDR para telemetria de endpoints
• Integração do IBM QRadar VTI (Inteligncia de Vulnerabilidades e Ameaças)
• Apps e complementos do IBM QRadar App Exchange
• Integração da Plataforma de Integração de Rede IBM QRadr (NFI)

Competências Alinhadas ao Mercado: Fundamentos do SIEM, Segurança de Informações e Gestão de Eventos, Arquitetura da Plataforma IBM QRadar, Implantação QRad on-Prem, Arquitetura QRad Cloud, Segurança Híbrida na Nuvem, Operações do SOC e SIEM, Análise de Segurança, Integração XDR, Integração de Plataforma SOAR, Plataforma de Inteligência de Ameaças (TIP), Mapeamento do Framework MITRE ATT&CK, Convergência de Ferramentas de Segurança, Arquitetura de Segurança Empresarial, Gerenciamento e Análise de Logs, Escalabilidade e Planejamento de Capacidade do SIEM, Configuração de Alta Disponibilidade (HA), Navegação e Configuração do Console QRadr

Módulo 2: Gerenciamento de Fontes de Log, Ingestão de Dados e Normalização

Exploração profunda da configuração de fontes de log, estratégias de coleta de dados, normalização de logs e protocolos essenciais para estabelecer visibilidade de segurança em toda a empresa em ambientes on-prem, nuvem e híbridos.

2.1 Configuração de Fontes de Log e Protocolos

• Métodos de coleta de logs: Syslog (RSYSLOG), Conexões de Rede (CEF), Common Event Format (CEF) e QRad Common Event Format (CEF)
• Protocolo CEF: cabeçalho, nomes de extensões, extensões personalizadas e mapeamento CEF-para-CEF
• Coleta de logs baseada em rede: NetFlow v5/v9, IPFIX (sFlow)
• Coleta baseada em agente (IBM QRad Agent) para visibilidade do endpoint
• Configuração de fontes de log do Active Directory, DNS, DHCP, HTTP, SMTP e bancos de dados
• Melhores práticas de implantação de fontes de log: fontes de alta taxa de transferência, compressão e criptografia

2.2 Ingestão de Dados e Planejamento de Capacidade

• Compreensão do volume diário de arquivos de log (GLP) e da capacidade de ingestão diária de dados de eventos
• Políticas de retenção de dados e gestão de retenção orientada por conformidade
• Priorização de fontes de log e filtragem de eventos para controle de custos
• Planejamento de capacidade para implantações SIEM em escala empresarial
• Cálculos de dimensionamento e otimização de desempenho para ambientes em larga escala

2.3 Normalização e Classificação de Logs

• Motor de Normalização do QRadr: mapeia formatos nativos de logs para protocolos QRadr
• Gerenciador de Propriedades da Fonte de Log e mapeamento de protocolo
• Criação de fontes de log personalizadas para logs proprietários
• Mapeamento de eventos, fluxos e fontes de log
• Regras de normalização e solução de problemas de análise (parsing)

Competências Alinhadas ao Mercado: Gerenciamento de Fontes de Log, Configuração de Syslog, Protocolo CEF, Conexões de Rede (CEF), Implantação do Agente QRadr, Coleta de Logs do Active Directory, Coleta de Logs DNS e DHCP, Coleta de Logs HTTP/S e SMTP, Integração com Coleta de Logs de Banco de Dados (CEF), Coleta de NetFlow e IPFIX, Implantação de SIEM sem Agente, Estratégia Empresarial de Coleta de Logs, Normalização de Logs, Mapeamento de Protocolo, Configuração de Fontes de Log Personalizadas, Análise e Classificação de Eventos, Estimativa de Volume Diário de Logs (DLV), Planejamento de Capacidade do SIEM, Ajuste de Desempenho para SIEM em Grande Escala, Retenção de Dados Orientada por Conformidade

Módulo 3: Detecção, Correlação e Desenvolvimento de Regras

O núcleo das operações do SIEM: criar, testar e gerenciar regras de detecção, desde regras simples de eventos até complexas regras de correlação compostas que identificam ataques, anomalias e violações de políticas.

O núcleo das operações do SIEM: criar, testar e gerenciar regras de detecção, desde regras simples de eventos até complexas regras de correlação compostas que identificam ataques, anomalias e violações de políticas.

3.1 Regras de Eventos e Regras de Agregação

• Regras de Eventos: filtragem, extração de campos e criação de atributos personalizados a partir de eventos brutos
• Regras de Agregação: contagem e agrupamento de eventos por IP, protocolo, usuário, etc.
• Ações de regras de agregação: notificações, limites de contagem e propriedades personalizadas
• Ativação de regras, ordenação de regras e lógica de execução de regras

3.2 Regras Complexas de Correlação

• Criação de regras complexas de correlação: unindo dados de múltiplas fontes
• Tipos de regra: Eventos, Agregação e Correlação Composta
• Componentes da regra composta: gatilhos, agregações, correlações e ações
• Lógica de correlação: correlação temporal, correlação baseada em limite e correlação contextual
• Propriedades de regras de previsão e correlação: níveis de confiança, severidade e escalonamento
• Escrita de regras de correlação eficazes: evitando fadiga de alertas e garantindo qualidade do sinal

3.3 Regras de Detecção para Técnicas MITRE ATT&CK

• Regras mapeadas para técnicas MITRE ATT&CK: Acesso Inicial, Execução, Persistência, Elevação de Privilégio, Evisão de Defesa, Acesso a Credenciais, Descoberta, Movimento Lateral, Coleta, Comando e Controle (C2), Exfiltração
• Detecções personalizadas para categorias específicas de ataques:
• Regras para: Força Bruta, Varredura de Portas, Comunicação de Malware, Ameaça Interna, Movimento Lateral, Elevação de Privilégio, Exfiltração de Dados, Comando e Controle (C2)
• Regras para: Falhas de Autenticação por Força Bruta, Varredura de Portas, Injeção SQL, Túnel DNS, Elevação de Privilégio, Movimento Lateral via Pass-the-Hash

3.4 Caça a Ameaças com Regras QRadr

• Metodologia de caça proativa a ameaças usando QRadr
• Criação de regras para detecção de ameaças desconhecidas/zero-day
• Regras de análise comportamental e detecção de desvio da linha de base

Competências Alinhadas ao Mercado: Desenvolvimento de Regras de Eventos, Criação de Regras de Agregação, Desenvolvimento de Regras Complexas de Correlação, Design de Regras Personalizadas de Correlação, Mapeamento MITRE ATT&CK, Engenharia de Detecção de Ameaças, Mapeamento de Técnicas de Ataque (Acesso Inicial, Execução, Persistência, Elevação de Privilégio, Evisão de Defesa, Acesso a Credenciais, Descoberta, Movimento Lateral, Coleta, Comando e Controle, Exfiltração), Detecção de Comunicação de Malware, Detecção de Injeção SQL, Detecção de Túnel DNS, Regra de Elevação de Privilégio, Detecção de Força Bruta, Detecção de Movimento Lateral, Detecção de Ameaça Interna, Detecção de Exfiltração de Dados, Detecção de Comando e Controle (C2), Gestão de Fadiga de Alertas, Ajuste e Otimização de Regras, Engenharia de Regras de Detecção do SOC, Caça Proativa a Ameaças

Módulo 4: Motor de Ofensas QRadr e Investigação de Incidentes

Aborda em profundidade o motor de ofensas QRadr: criação de ofensas, fluxos de trabalho de investigação, análise contextual, gestão de falsos positivos, triagem e manipulação de incidentes.

4.1 O Motor de Ofensas

• Criação de ofensas, agregação e gerenciamento do ciclo de vida da ofensa
• Propriedades da ofensa: severidade, confiança, status e atribuição
• Lógica de agregação de ofensas: agrupar eventos relacionados em incidentes significativos
• Escalação, atribuição e gerenciamento de fluxo de trabalho de ofensas

4.2 Investigação de Incidentes e Análise Contextual

• Explorador de Contexto para análise profunda de eventos e reconstrução de linha do tempo
• Análise da linha do tempo de eventos: reconstrução cronológica de incidentes de segurança
• Análise de endereços IP e enriquecimento por reputação (Inteligência de Ameaças)
• Contexto de usuários e ativos: atividade do usuário, inventário de hosts e análise de risco de ativos
• Eventos correlacionados nas visões de detalhes da ofensa e do evento
• Correlação de eventos, agrupamento de eventos e coleta de evidências

4.3 Integração com Inteligência de Ameaças

• Integração de feeds de Inteligência de Vulnerabilidades e Ameaças (VTI)
• Enriquecimento automatizado de inteligência de ameaças com IBM QRadr VTI
• Carregamento de feeds personalizados de ameaças e perfis de atores de ameaças
• Contexto de inteligência de ameaças em ofensas e análise de risco

4.4 Gestão de Falsos Positivos e Ajuste de Regras

• Identificação e classificação de falsos positivos no Motor de Ofensas
• Regras de supressão de falsos positivos e fluxos de trabalho de supressão
• Ajuste de regras: reduzindo o ruído enquanto mantém a sensibilidade de detecção
• Documentação de incidentes de falsos positivos para melhoria contínua

Competências Alinhadas ao Mercado: Gestão do Motor de Ofensas QRadr, Investigação e Análise de Incidentes, Investigação de Ameaças, Uso do Explorador de Contexto, Análise da Linha do Tempo de Eventos, Análise de Reputação IP, Análise de Risco de Ativos, Enriquecimento de Inteligência de Ameaças, Integração de Feed VTI, Gestão de Falsos Positivos, Ajuste de Alertas e Redução de Ruído, Fluxo de Trabalho de Resposta a Incidentes do SOC, Ciclo de Vida de Incidentes de Segurança, Análise de Indicadores de Violação, Atribuição de Ameaças Cibernéticas

Módulo 5: Gerenciamento de Vulnerabilidades (QVM) e Gestor de Riscos (QRM) QRadr

Exploração profunda do IBM QVM: integração de varredura de vulnerabilidades, priorização de vulnerabilidades baseada em risco, configurações de gestão de riscos e avaliação da postura de segurança orientada por riscos.

5.1 Gerenciador de Vulnerabilidades IBM QRadr (QVM)

• Arquitetura do QVM: integração com scanners Nessus, Qualys e Rapid7
• Fluxos de trabalho de varredura de vulnerabilidades e agendamento de varreduras
• Análise de resultados de avaliação de vulnerabilidade e integração com QRadr
• Correlação de pontuação CVSS e classificação de severidade de vulnerabilidades
• Análise de tendências de vulnerabilidade e priorização de correção

5.2 Gestor de Riscos IBM QRadr (QRM)

• Arquitetura do QRM: motor de cálculo de risco e metodologia de pontuação de risco
• Configuração de regras de risco: criticidade do ativo, probabilidade de exploração de vulnerabilidades, perfis de risco do ativo
• Cálculo da pontuação de risco: combinando dados de vulnerabilidade, inteligência de ameaças, dados de ofensa e valor do ativo
• Classificação de ativos baseada em risco e configuração de painéis de risco
• Priorização de ativos orientada por risco e priorização de correção orientada por risco

Competências Alinhadas ao Mercado: Avaliação e Gestão de Vulnerabilidades, IBM QRadr Vulnerability Manager (QVM), Correlação de Pontuação CVE, Integração de Varredura de Vulnerabilidades, Integração Qualys/Nessus, Priorização de Vulnerabilidade Baseada em Risco, IBM QRadr Risk Manager (QRM), Cálculo de Pontuação de Risco, Avaliação de Criticidade do Ativo, Correção Orientada por Risco, Configuração de Painel de Risco, Análise de Tendências de Vulnerabilidade, Gestão Empresarial de Vulnerabilidades, Avaliação e Gestão de Riscos Empresariais

Módulo 6: SOAR QRadr, Automação e Resposta a Incidentes

Aborda o IBM QRadr SOAR (Orquestração de Segurança, Automação e Resposta), orquestração de playbooks, automação de runbooks e automação de resposta a incidentes essenciais para operações modernas do SOC.

6.1 Visão Geral do IBM QRadr SOAR

• Orquestração de segurança e resposta automatizada: definição e valor
• Arquitetura e componentes do QRadr SOAR: playbooks, incidentes, ações de automação e ações de dados
• Integração QRadr SOAR: conectando SIEM, EDR, inteligência de ameaças e sistemas de bilhetagem (ServiceNow, Jira)
• SOAR versus automação tradicional: orquestração de fluxo de trabalho orientada por playbooks

6.2 Design e Execução de Playbooks

• Criação de playbooks: construindo fluxos de trabalho automatizados de investigação e resposta
• Gatilhos de playbook: criação de ofensas, gatilhos de regras e ativação manual
• Ações de playbook: enriquecer endereços IP, bloquear IPs, criar bilhetes, consultar feeds de ameaças
• Condições de playbook e lógica de ramificação

6.3 Automação de Resposta a Incidentes

• Resposta automatizada a incidentes: do alerta ao contenimento em minutos
• Caça automatizada a ameaças: investigação de ameaças orientada por playbook
• Contenção automatizada de incidentes: bloqueio de IP, isolamento de endpoint e suspensão de contas
• Fluxos de trabalho de resposta automatizada a incidentes para ransomware, phishing, ataques de força bruta e ameaças internas

6.4 Integração com Sistemas Externos

• Integrações QRadr SOAR com ServiceNow, Jira, Slack, e-mail e sistemas baseados em webhook
• Integração de API personalizada com plataformas de Inteligência de Ameaças
• Integração EDR para ações automatizadas no endpoint
• Automação de análise de payload (arquivo, URL, domínio)

Competências Alinhadas ao Mercado: Orquestração de Segurança, Automação com IA e Resposta (SOAR), IBM QRadr SOAR, Automação de Playbook, Design de Runbook, Orquestração de Fluxo de Trabalho de Resposta Automatizada a Incidentes, Automação de Segurança Orientada por API, Integração de Inteligência de Ameaças, Automação de Contenção de Incidentes, Análise Automatizada de Ameaças, Integração ServiceNow para Segurança, Automação de Sistemas de Bilhetagem, Automação de Resposta em Endpoint, Bloqueio Automático de IP na Lista Negra, Automação de Resposta ao Phishing, Automação de Resposta ao Ransomware

Módulo 7: Forense QRadr, Forense de Rede e Análise de Dados

Aborda a Forense de Incidentes QRadr (QRIF) e as capacidades de investigação forense, forense de rede (NFI) para análise de captura de pacotes e técnicas de análise forense usadas na investigação de incidentes.

7.1 Forense IBM QRadr (QRIF)

• QRIF: coleta e armazenamento de dados forenses para investigações
• Fontes de dados forenses: capturas de pacotes, logs de eventos e forense de endpoints
• Análise forense: reconstrução de linha do tempo, análise de arquivos e análise forense de rede
• Preservação de evidências forenses e cadeia de custódia
• Ferramentas e técnicas de análise forense dentro do QRIF

7.2 Forense e Inspeção de Rede (NFI)

• Forense de rede: análise de captura de pacotes e inspeção de tráfego de rede
• Análise de dados de fluxo: NetFlow, sFlow e IPFIX na forense de rede QRadr
• Análise de protocolos: HTTP, DNS, SMTP, SSH, FTP e inspeção de protocolos personalizados
• Detecção de ameaças através da forense de rede: beaconing C2, exfiltração de dados e detecção de movimento lateral
• Identificação de padrões de tráfego suspeitos

7.3 Análise Comportamental de Usuários e Entidades (UEBA)

• UEBA: compreensão da linha de base do comportamento do usuário e detecção de anomalias
• Fontes de dados UEBA: Active Directory, logs de proxy, logs de endpoint, logs DLP, logs de autenticação, logs da nuvem
• Pontuação UEBA: pontuações de risco do usuário e pontuações de risco da entidade
• Detecção de ameaças orientada por UEBA: contas comprometidas, ameaças internas e exfiltração de dados

Competências Alinhadas ao Mercado: Forense de Incidentes QRadr (QRIF), Coleta de Dados Forenses, Investigação e Análise Forense, Forense de Rede, Análise de Captura de Pacotes, Análise de Dados de Fluxo, Detecção de Ameaças através da Forense de Rede, Análise Comportamental de Usuários e Entidades (UEBA), Detecção de Anomalias do Usuário, Detecção de Ameaça Interna, Detecção de Contas Comprometidas, Exfiltração de Dados via Comportamento do Usuário, Detecção de Beaconing C2, Movimento Lateral via Forense de Rede, Resposta a Incidentes e Forense Digital (DFIR), Preservação de Evidências e Cadeia de Custódia, Análise de Protocolos, Forense de Logs de Segurança, Caça a Ameaças via Análise de Rede

Módulo 8: SIEM na Nuvem, SIEM-as-Code, Conformidade e Operações do SIEM

Availia as operações IBM QRadr, escalabilidade, relatórios de conformidade, integração com SIEM na nuvem, práticas de detecção-as-code e governança do SOC essenciais para implantação de SIEM em escala empresarial.

8.1 Operações e Administração do QRadr

• Administração do QRadr: funções de usuário, permissões e políticas de segurança
• Auditoria das configurações do QRadr e logs de acesso
• Relatórios agendados e design de relatórios personalizados para gerenciamento e conformidade
• Tarefas agendadas: backup/restauração, limpeza de banco de dados e manutenção
• Configuração do servidor Syslog para encaminhamento de logs do SIEM
• Atualizações de software e gerenciamento de patches para appliances QRadr

8.2 Relatórios de Conformidade e Mapeamento Regulatório

• Requisitos PCI DSS para SIEM e relatórios de conformidade QRadr
• Mapeamento de conformidade com HIPAA, GDPR, SOX, NIST CSF e ISO 27001 com relatórios QRadr
• Relatórios de auditoria regulatória: modelos de relatórios personalizados para auditores PCI DSS e HIPAA
• Monitoramento de conformidade em tempo real e painéis contínuos de conformidade

8.3 SIEM-as-Code e Infraestrutura como Código

• Gestão de regras SIEM com controle de versão: implantação de regras baseada em Git
• Terraform e Ansible para provisionamento e configuração de appliances QRadr
• Pipeline CI/CD para regras e playbooks do SIEM
• Automação orientada pela API QRadr para implantação e gestão de regras

8.4 SIEM na Nuvem e Segurança Híbrida na Nuvem

• Integração de fontes de log na nuvem: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor
• Estratégias de SIEM nativo da nuvem: SIEM para ambientes SaaS (AWS, Azure, GCP, Office 365, AWS)
• Integrações SIEM microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs, Google Cloud Logging
• Monitoramento de identidade e acesso na nuvem: IAM, Active Directory, Entra ID
• Proteção de cargas de trabalho na nuvem e integração com SIEM

8.5 Detecção de Ameaças à Identidade

• A identidade como a nova fronteira de ameaça: detecção de violação de contas
• Detecção de ameaças no Active Directory: Kerberoasting, AS-REP roasting, ataques de bilhetes Golden/Sid
• Detecção de burla da autenticação multifator (MFA)
• Monitoramento de Gerenciamento de Identidade Privilegiada (PIM)

8.6 Monitoramento Zero Trust

• Monitoramento da arquitetura Zero Trust: controles de identidade, dispositivo e rede
• Monitoramento de microsssegmentação e validação de conformidade de políticas
• Relatórios de conformidade Zero Trust via integração SIEM

8.7 Operações do SOC e Governança do SIEM

• Métricas e KPIs do SOC: MTTR (Tempo Médio para Responder), MTTD (Tempo Médio para Detectar) para monitoramento SIEM
• Avaliação de maturidade do SOC e melhoria do SOC orientada por SIEM
• Governança do SIEM: gestão de regras, rastreamento de falsos positivos e melhoria contínua
• Práticas recomendadas operacionais do SIEM: monitoramento, alerta e procedimentos de escalonamento

Competências Alinhadas ao Mercado: Administração QRadr, Operações e Gestão do SIEM, Gestão de Conformidade do SIEM, Relatórios de Conformidade PCI D SS para SIEM, Conformidade HIPAA e GDPR com SIEM, Conformidade SOX e ISO 27001 com SIEM, Mapeamento NIST CSF para SIEM, Monitoramento Contínuo de Conformidade, Relatórios Personalizados de Conformidade, SIEM-as-Code e Infraestrutura como Código, Terraform para SIEM, Ansible para Implantação de SIEM, CI/CD para Regras SIEM, Automação QRadr API, Integração com SIEM na Nuvem, SIEM AWS CloudTrail, Integração Microsoft Sentinel, SIEM GCP Cloud Logging, SIEM Azure Monitor, Integração Office 365 SIEM, SIEM Nativo da Nuvem, Monitoramento Zero Trust, Detecção de Ameaças IAM, Detecção de Ameaças à Identidade, Detecção de Ameaças ao Active Directory, Detecção de Ataques Kerberos, Monitoramento de Identidade Privilegiada, Segurança de Autenticação Multifator (MFA), Gestão de KPI e Métricas do SOC, Avaliação de Maturidade do SOC, Melhores Práticas Operacionais do SIEM, Governança de Resposta a Incidentes, Gestão do Ciclo de Vida das Regras SIEM, Governança Empresarial do SIEM

Módulo 9: Projeto Final e Cenários de Ameaças do Mundo Real

Um projeto final prático abrangente simulando cenários de segurança empresarial, incluindo detecção de ameaças, investigação e resposta a incidentes usando IBM QRadr.

9.1 Projeto Final: Cenário de Segurança Empresarial

• Configuração do ambiente empresarial simulado com fontes de log realistas e cenários de ataque
• Implantação de fontes de log e configuração de políticas de coleta de logs
• Criação de regras de detecção mapeadas para MITRE ATT&CK
• Investigação de dados reais de ofensas no QRadr e realização de análise forense
• Design e implantação de playbooks SOAR para resposta automatizada
• Geração de relatórios de conformidade para PCI DSS, HIPAA e GDPR
• Realização de planejamento de capacidade e escalonamento da implantação do SIEM

9.2 Cenários de Ameaças do Mundo Real

• Ataques simulados: implantação de ransomware, ameaça interna, movimento lateral, ataques de força bruta, ataques à cadeia de suprimentos e phishing
• Detecção de ransomware: movimento lateral, armazenamento de dados e detecção de movimento lateral
• Ameaça interna: tentativas de exfiltração de dados e detecção de anomalias
• Detecção de ataque à cadeia de suprimentos: detecção de acesso de fornecedor comprometido
• Resposta ao phishing: bloqueio automatizado de URL e fluxos de trabalho de investigação de e-mail
• Caça a ameaças zero-day: detecção de ameaças desconhecidas usando técnicas de caça sem regras
• Detecção de Ameaça Persistente Avançada (APT) usando UEBA e análise forense

Competências Alinhadas ao Mercado: Entrega do Projeto de Segurança Final, Simulação Empresarial SIEM, Design de Cenários de Ameaças Reais, Implantação de Regra de Detecção MITRE ATT&CK, Investigação de Incidentes SOC, Design de Playbook QRadr SOAR, Simulação de Resposta ao Ransomware, Detecção de Ameaça Interna, Automação de Resposta ao Phishing, Detecção de Ataque à Cadeia de Suprimentos, Caça a Ameaças Zero-Day, Detecção de Ameaça Persistente Avançada (APT), Planejamento de Capacidade e Escalonamento do SIEM, Relatórios Multi-Conformidade (PCI DSS, HIPAA, GDPR), Resposta a Ameaças Empresariais, Investigação Forense de Ameaças, Enriquecimento de Inteligência de Ameaças, Contenção Automatizada de Incidentes, Simulação de Operações do SOC, Prática Completa de Engenharia SIEM