Passar para o conteúdo principal

Indicadores de Comprometimento (IoCs)

Atualizado há mais de 2 meses

O que é um IoC?

Um indicador de comprometimento (IoC) é um termo forense que se refere a provas no qual um dispositivo obteve uma violação de segurança. Estes dados são coletados após um incidente suspeito, evento de segurança, ou chamadas inesperadas da rede.

Exemplos comuns de IoCs incluem endereços IP, nomes de domínio, hashes de arquivos, URLs, e outros.

O que é um evento?

No contexto deste produto, um evento é um agrupamento de indicadores de comprometimento (IoCs) que estão relacionados entre si de acordo com algum critério. O critério específico usado para esses agrupamentos pode variar, sendo definido pelo criador do evento. Por exemplo, o Axur Research Team (ART) pode criar um evento agrupando todos os IoCs relacionados a uma campanha de malware.

O que posso fazer com os IoCs?

  • Verificá-los regularmente é uma prática crítica para melhorar a segurança cibernética e prevenir possíveis ataques. Utilizando IoCs, é possível desenvolver ferramentas mais inteligentes que podem identificar e isolar arquivos ou atividades suspeitas que possam representar uma ameaça.

  • Eles podem servir como peças importantes de informação para os membros das equipes de segurança da informação e de TI para detectar atividades maliciosas na rede em um estágio inicial, permitindo-lhes parar ataques potenciais antes que possam comprometer toda a rede.

  • Eles também podem ajudar a prevenir futuros ataques, adicionando-os aos controles de segurança, tais como firewalls e sistemas de detecção de intrusão. Os IoCs podem ser integrados com muitas ferramentas e plataformas como MISP, SIEMs, SOAR, XDR, entre outras.

  • Os IoCs podem e devem ser usados não apenas em segurança cibernética, mas também em processos anti-fraude. Para isso, IoCs não técnicos, como um CPF (Número brasileiro de identificação), por exemplo, podem ser muito úteis.

Como a Axur pode ajudar com os IoCs?

Pode entrar em contato com a equipe de ART, por meio de solicitação de investigação, para buscar auxílio nas integrações ou investigações.

Tags dos IoCs

As tags são utilizadas para categorizar os IoC, adicionadas por seus criadores, e não podem ser editadas.

Quais são os tipos de IoC?

Os tipos de IoC são categorias como endereços IP, nomes de domínio, hashes de ficheiros, e URLs.

Quais são as fontes usadas para criar o feed de IoCs?

O feed de IoCs da Axur é alimentado automaticamente através dos boletins criados no ambiente de Cyber Threat Intel (CTI). Nossa plataforma integra inteligência de múltiplas fontes abertas e proprietárias, cuidadosamente selecionadas pelo Axur Research Team (ART).


Além dos boletins internos, utilizamos coletores automatizados que extraem IoCs de diversas fontes especializadas em threat intelligence, incluindo repositórios públicos de malware, campanhas de ransomware e URLs maliciosas.

Como configurar o MISP?

Importe Indicadores de Comprometimento (IoCs) da plataforma de Inteligência de Ameaças da Axur para a sua instância do MISP.

O MISP não possui suporte nativo estável para consumir dados diretamente de servidores TAXII 2.x.

Para integrar os IoCs fornecidos pela Axur por meio da API STIX/TAXII, recomendamos o uso de um script personalizado que realize a coleta e importação periódica dos dados.

Pré-requisitos

Instalação:

# Install required packages
pip install pymisp taxii2-client

# Permissions
chmod +x axur_ioc_misp_importer.py

Uso

Importação Básica (Todos os IoCs)

python3 axur_ioc_misp_importer.py \
  --misp-url https://your-misp.local \
  --misp-key YOUR_MISP_API_KEY \
  --axur-token YOUR_AXUR_TOKEN

Importar os últimos 7 dias apenas

python3 axur_ioc_misp_importer.py \
  --misp-url https://your-misp.local \
  --misp-key YOUR_MISP_API_KEY \
  --axur-token YOUR_AXUR_TOKEN \
  --days-back 7

Importar com limite

python3 axur_ioc_misp_importer.py \
  --misp-url https://your-misp.local \
  --misp-key YOUR_MISP_API_KEY \
  --axur-token YOUR_AXUR_TOKEN \
  --limit 1000

Limite Personalizado de Confiança

python3 axur_ioc_misp_importer.py \
  --misp-url https://your-misp.local \
  --misp-key YOUR_MISP_API_KEY \
  --axur-token YOUR_AXUR_TOKEN \
  --confidence 70

Imports Automatizados (Cron)

Adicione ao crontab para importações diárias:

# Edit crontab
crontab -e

# Add: Import daily at 2 AM, last 24 hours only
0 2 * * * /usr/bin/python3 /path/to/axur_ioc_misp_importer.py --misp-url https://misp.local --misp-key KEY --axur-token TOKEN --days-back 1

Tipos de IOC Suportados

  • IP addresses (IPv4/IPv6)

  • Domain names

  • URLs

  • File hashes (MD5, SHA1, SHA256)

  • Email addresses

Configuração

Edite o script para personalizar:

  • DEFAULT_TAGS: Tags aplicadas a todos os eventos importados

  • DEFAULT_CONFIDENCE_THRESHOLD: Limite de confiança para marcação IDS

  • IOC_TYPE_MAPPING: Tipos e categorias de atributos do MISP

Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊

Ícone de anexo
axur_ioc_misp_importer.py
Artigos relacionados
Axur Feed + n8n: transforme as detecções da Axur em ações automatizadas
URLs oficiais comprometidas
Axur Feed + MISP: Importe IOCs para a Plataforma de Threat Intelligence MISP
Respondeu à sua pergunta?