{"id":5134,"date":"2023-04-04T16:39:52","date_gmt":"2023-04-04T19:39:52","guid":{"rendered":"https:\/\/base4sec.com\/nao-categorizado\/analisis-de-data-flow\/"},"modified":"2025-02-26T07:38:38","modified_gmt":"2025-02-26T10:38:38","slug":"analisis-de-data-flow","status":"publish","type":"post","link":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/","title":{"rendered":"An\u00e1lise de dados de fluxo"},"content":{"rendered":"<p class=\"cuerpo-nota\">Chegamos ao \u00faltimo artigo da s\u00e9rie de postagens sobre dados de fluxo. A ideia deste \u00faltimo post \u00e9 apresentar a an\u00e1lise de alguns dados de forma gr\u00e1fica a partir de capturas similares \u00e0s realizadas no\u00a0<a href=\"https:\/\/www.base4sec.com\/research\/Netflow-Export\/\">segundo post desta s\u00e9rie<\/a>. Com essa observa\u00e7\u00e3o, ser\u00e1 poss\u00edvel extrair alguns casos de uso para monitoramento, an\u00e1lise e resposta a poss\u00edveis amea\u00e7as de seguran\u00e7a.<\/p>\n<p>Pensando em um ambiente de monitoramento, os dados de fluxo podem aportar muito valor ao trazer o resumo estat\u00edstico das conex\u00f5es ocorridas em um ambiente, tudo isso a um custo relativamente baixo, j\u00e1 que a maioria das organiza\u00e7\u00f5es possui equipamentos capazes de exportar esse tipo de dado. A observa\u00e7\u00e3o desse tipo de informa\u00e7\u00e3o, que mostra praticamente em tempo real o que est\u00e1 passando pela rede, pode contribuir e complementar os dados coletados via logs e outras formas de monitoramento, preenchendo algumas lacunas, como por exemplo:<\/p>\n<p>\u2022\u00a0 encontrar dispositivos desconhecidos\/n\u00e3o-autorizados dentro do ambiente;<br \/>\n\u2022\u00a0 monitorar os protocolos\/servi\u00e7os mais usados;<br \/>\n\u2022\u00a0 identificar mal uso\/viola\u00e7\u00f5es de pol\u00edtica;<br \/>\n\u2022\u00a0 tra\u00e7ar baselines do padr\u00e3o de uso dos usu\u00e1rios da rede;<br \/>\n\u2022\u00a0 tra\u00e7ar baselines de volume de tr\u00e1fego di\u00e1rio\/semanal\/mensal;<br \/>\n\u2022\u00a0 identificar anomalias de tr\u00e1fego, como dispositivos que est\u00e3o trafegando volumes de dados suspeitos, entre outras coisas.<\/p>\n<p>Fora todos os aportes do ponto de vista de seguran\u00e7a, podemos utilizar os dados fornecidos para troubleshooting no sentido de identificar problemas de roteamento, tamb\u00e9m para planejamento da capacidade de rede, j\u00e1 que \u00e9 poss\u00edvel observar as tend\u00eancias de uso e padr\u00f5es de tr\u00e1fego, e por fim, gerenciar a largura de banda consumida pelo ambiente.<\/p>\n<p>CComparando com abordagens onde se d\u00e1 prefer\u00eancia \u00e0 an\u00e1lise de logs, \u00e9 importante destacar novamente que a an\u00e1lise do tr\u00e1fego \u00e9 um complemento, onde procuramos observar o que acontece em tempo real e sem a necessidade de configurar cada dispositivo individualmente para obter informa\u00e7\u00f5es. Nesse sentido, a an\u00e1lise do tr\u00e1fego \u00e9 um pouco mais direta e\u00a0<b>ou para atividades que simplesmente n\u00e3o deixam rastros em logs, como o caso de um dispositivo malicioso infiltrado, access points e roteadores falsos etc. Comparando ainda com uma captura de tr\u00e1fego convencional, utilizando o formato pcap, que \u00e9 mais completo e nos ajuda a reconstruir uma conex\u00e3o da maneira que ela ocorreu, inclusive com os dados\/arquivos que por ali passaram, os dados de fluxo trazem maior simplicidade e economia em termos de armazenamento em disco. Mais informa\u00e7\u00f5es podem ser encontradas no\u00a0<a href=\"https:\/\/www.base4sec.com\/research\/utilizar-datos-flujo-monitoreo\/\">primeiro post desta s\u00e9rie<\/a>.<\/b><\/p>\n<p><span class=\"subtitulo-nota\">Import\u00e2ncia da an\u00e1lise do tr\u00e1fego<\/span><\/p>\n<p>\u00c9 poss\u00edvel dizer que a principal motiva\u00e7\u00e3o para monitorar tr\u00e1fego, logs e qualquer outra fonte de dados \u00e9 aumentar a visibilidade sobre o ambiente. Em poucas palavras:\u00a0saber o que est\u00e1 acontecendo\u00a0. Normalmente, o respons\u00e1vel por entregar esse tipo de informa\u00e7\u00e3o \u00e9 o que conhecemos como Security Operations Center, ou simplesmente SOC, que \u00e9 o ponto central para detec\u00e7\u00e3o, an\u00e1lise e resposta a incidentes, e \u00e9 o local onde toda a informa\u00e7\u00e3o relevante sobre os ativos da organiza\u00e7\u00e3o \u00e9 concentrada, analisada e tratada.<\/p>\n<p>O MITRE, em seu recente ebook \u201c11 Strategies of a World-Class Cybersecurity Operations Center Highlights\u201d, de 2022, que sugere estrat\u00e9gias para trazer mais efici\u00eancia a um SOC, diz, na estrat\u00e9gia de n\u00famero 1, que \u201c\u00c9 necess\u00e1rio saber o que estamos protegendo, e porqu\u00ea\u201d. No subitem \u201cTechnical and data environment\u201d, encontramos um bom motivo para analisar o tr\u00e1fego, j\u00e1 que, sabendo o que a organiza\u00e7\u00e3o possui em termos de tecnologia, \u00e9 poss\u00edvel\u00a0descobrir o que n\u00e3o pertence ao ambiente atrav\u00e9s dessa an\u00e1lise. No subitem \u201cUsers, user behaviors, and service interactions\u201d est\u00e1 a refer\u00eancia \u00e0s baselines de comportamento das rela\u00e7\u00f5es usu\u00e1rio-servi\u00e7o, usu\u00e1rio-usu\u00e1rio e servi\u00e7o-servi\u00e7o. No subitem \u201cThreat\u201d, se encontra a necessidade de classificar e entender bem os dados em tr\u00e2nsito e suas rela\u00e7\u00f5es com poss\u00edveis amea\u00e7as.<\/p>\n<p>&nbsp;<\/p>\n<p><center><b><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_35a.png\" alt=\"imagen ilustrativa\" \/><\/b><\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p><center>O que voc\u00ea est\u00e1 tentando proteger\/monitorar<\/center><\/p>\n<p class=\"cuerpo-nota\">\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">Na estrat\u00e9gia de n\u00famero 7, \u201cSelect and Collect the Right Data\u201d, o documento destaca a import\u00e2ncia de coletar os dados com base no valor que eles t\u00eam para a organiza\u00e7\u00e3o. Aqui fica clara a boa rela\u00e7\u00e3o que deve haver entre captura de tr\u00e1fego vs captura de logs, j\u00e1 que para fins de confirma\u00e7\u00e3o de intrus\u00e3o, os dados mais relevantes e granulares normalmente s\u00e3o encontrados nos logs dos endpoints. Por\u00e9m, \u00e9 destacado tamb\u00e9m que o monitoramento deve coletar dados de todos os ambientes relevantes, o que inclui equipamentos que geram dados de fluxo. Importante observar que mais dados n\u00e3o necessariamente trazem mais valor.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_35b.png\" alt=\"imagen ilustrativa\" \/><\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p><center>Balanceamento de quantidade vs valor dos dados<\/center><\/p>\n<p class=\"cuerpo-nota\">\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">Por fim, os dados de fluxo, acompanhados de outras fontes de dados, podem ajudar a facilitar a organiza\u00e7\u00e3o a atingir \u201cconsci\u00eancia situacional\u201d sobre o ambiente monitorado. \u00c9 necess\u00e1rio combinar as v\u00e1rias estrat\u00e9gias de an\u00e1lise e coleta para chegar em um resultado satisfat\u00f3rio que entregue visibilidade \u00e0 maior parte do ambiente.<\/p>\n<p><span class=\"subtitulo-nota\">Casos de uso com dados de fluxo<\/span><\/p>\n<p class=\"cuerpo-nota\">No segundo artigo da s\u00e9rie de posts sobre dados de fluxo, foi realizada uma captura de dados em um ambiente de laborat\u00f3rio, por\u00e9m esses dados n\u00e3o fizeram parte de nenhum tipo de an\u00e1lise naquela postagem.<\/p>\n<p>Nesta se\u00e7\u00e3o, ser\u00e3o mostrados alguns casos de uso que podem ser satisfeitos utilizando os dados de fluxo, ilustrando essa abordagem a partir de uma captura desses data flows realizada nos mesmos moldes da postagem anterior e enviadas para um software de an\u00e1lise, neste caso, a pilha Elasticsearch, que tem capacidade para receber, traduzir e gerar visualiza\u00e7\u00f5es para os dados nela inseridos.<\/p>\n<p>Para contextualizar, abaixo est\u00e1 o esquema do ambiente do laborat\u00f3rio onde os dados foram capturados:<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_35c.png\" alt=\"imagen ilustrativa\" \/><\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p class=\"cuerpo-nota\">Os dados dessa vez foram capturados por um per\u00edodo de pouco mais de quatro horas, bastante curto em rela\u00e7\u00e3o ao anterior, que foi de mais ou menos tr\u00eas dias. A seguir, est\u00e3o alguns gr\u00e1ficos que podem ser utilizados como\u00a0<b>casos de uso de monitoramento<\/b>:<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_35d.png\" alt=\"imagen ilustrativa\" \/><\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p><center>Estat\u00edsticas de tr\u00e1fego<\/center><\/p>\n<p class=\"cuerpo-nota\">\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">No gr\u00e1fico acima, \u00e9 poss\u00edvel observar o volume de dados que trafegam no per\u00edodo observado. Pode parecer uma informa\u00e7\u00e3o simples, mas \u00e9 uma possibilidade de monitoramento para come\u00e7ar a tra\u00e7ar uma baseline do volume de utiliza\u00e7\u00e3o da rede. Este gr\u00e1fico pode ser a base para outros mais granulares, como de bytes por protocolo, endere\u00e7os IP que mais utilizam a rede, e assim por diante.<\/p>\n<p>Mais um gr\u00e1fico de utiliza\u00e7\u00e3o da rede, para uma visualiza\u00e7\u00e3o ao longo do tempo (<b>baseline<\/b>):<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_35f.png\" alt=\"imagen ilustrativa\" \/><\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p><center>Network Usage<\/center><\/p>\n<p class=\"cuerpo-nota\">\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">No gr\u00e1fico abaixo, \u00e9 poss\u00edvel observar quais foram os protocolos mais utilizados (em bytes) num intervalo de tr\u00eas horas:<\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_35g.png\" alt=\"imagen ilustrativa\" \/><\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p><center>Bytes por protocolo<\/center><\/p>\n<p class=\"cuerpo-nota\">\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">Nota-se uma alta exponencial no volume de tr\u00e1fego do protocolo icmp a partir de um certo per\u00edodo no gr\u00e1fico. Isso se deu por conta de um icmp flooding realizado como teste, para mostrar a efic\u00e1cia desse tipo de monitoramento para detec\u00e7\u00e3o de anomalias na rede.<\/p>\n<p>Complementando as informa\u00e7\u00f5es de protocolos, \u00e9 poss\u00edvel visualizar na figura abaixo, informa\u00e7\u00f5es de quais portas \/ c\u00f3digos est\u00e3o atrelados a quais protocolos, e ter uma no\u00e7\u00e3o da quantidade de dados que est\u00e3o trafegando nestas portas\/protocolos para detectar poss\u00edveis problemas, al\u00e9m de ajudar na cria\u00e7\u00e3o de mais uma baseline comportamental para este t\u00f3pico.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_35h.png\" alt=\"imagen ilustrativa\" \/><\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p><center>Bytes por porta\/protocolo<\/center><\/p>\n<p class=\"cuerpo-nota\">\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">Na tabela abaixo, \u00e9 poss\u00edvel identificar quais foram os endere\u00e7os respons\u00e1veis pelas maiores transmiss\u00f5es de dados no per\u00edodo. \u00c9 not\u00e1vel a quantidade de dados trafegados usando o protocolo icmp, algo que chamaria a aten\u00e7\u00e3o em um dashboard.<\/p>\n<p>Essa informa\u00e7\u00e3o \u00e9 relevante porque:<\/p>\n<p>\u2022\u00a0 pode ajudar a tra\u00e7ar o perfil de utiliza\u00e7\u00e3o da rede dos usu\u00e1rios;<br \/>\n\u2022\u00a0 mostra quais tipos de protocolos foram mais utilizados por cada endere\u00e7o;<br \/>\n\u2022\u00a0 tamb\u00e9m pode ajudar a detectar equipamentos n\u00e3o-autorizados utilizando a rede, informa\u00e7\u00e3o que nem sempre estar\u00e1 dispon\u00edvel atrav\u00e9s de logs.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_35i.png\" alt=\"imagen ilustrativa\" \/><\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p><center>Estat\u00edsticas de Tr\u00e1fego por ip de origem\/bytes\/pacotes e data flows<\/center><\/p>\n<p class=\"cuerpo-nota\">\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">\u00c9 importante notar que a quantidade de bytes, pacotes e data flows\u00a0nem sempre ser\u00e1 proporcional. Esse tipo de informa\u00e7\u00e3o tamb\u00e9m \u00e9 importante para identificar anomalias de conex\u00e3o ou at\u00e9 mesmo tr\u00e1fego malicioso. Por exemplo: uma atividade maliciosa de exfiltra\u00e7\u00e3o de dados poderia gerar uma quantidade alta de pacotes e data flows, enquanto mant\u00e9m o volume em bytes baixo. Essa informa\u00e7\u00e3o pode e deve ser cruzada com logs de sistemas para identificar e tratar um poss\u00edvel incidente. A t\u00edtulo de curiosidade, o primeiro IP mostrado na tabela pertence a uma plataforma de streaming: durante todo o per\u00edodo de realiza\u00e7\u00e3o do teste, um computador da rede esteve conectado \u00e0 plataforma, com uma transmiss\u00e3o em tempo real aberta, por isso a quantidade excessiva de dados trafegados, ou seja, provando que \u00e9 poss\u00edvel tra\u00e7ar um perfil de utiliza\u00e7\u00e3o voltado para a atividade do usu\u00e1rio.<\/p>\n<p>A tabela abaixo mostra a rela\u00e7\u00e3o de contagem de conex\u00f5es entre endere\u00e7os, sendo ip\/porta de origem e ip\/porta de destino. Essa visualiza\u00e7\u00e3o pode ser importante para identificar anomalias de\u00a0<b>movimenta\u00e7\u00e3o lateral, atividade de malware, comando e controle, e outros problemas<\/b>,al\u00e9m de trazer a compreens\u00e3o das rela\u00e7\u00f5es\u00a0<b>usu\u00e1rio-usu\u00e1rio, usu\u00e1rio-servi\u00e7o e servi\u00e7o-servi\u00e7o<\/b>\u00a0citadas anteriormente. A tabela traz excelente oportunidade para atividades de ca\u00e7a de amea\u00e7as (threat hunting) onde o analista precisa de um pouco mais de proatividade para realizar suas buscas. Tamb\u00e9m pode ser confrontada com uma lista de indicadores de comprometimento (IoCs) obtidos atrav\u00e9s de atividades de intelig\u00eancia de amea\u00e7as (CTI) e assim por diante.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_35j.png\" alt=\"imagen ilustrativa\" \/><\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p><center>Estat\u00edsticas de conex\u00f5es ip\/porta de origem\/destino<\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p class=\"cuerpo-nota\">Abaixo uma visualiza\u00e7\u00e3o completa de um dashboard que pode ser implementado para auxiliar uma equipe de monitoramento\/tratamento\/resposta\/threat hunting a realizar suas buscas e investiga\u00e7\u00f5es.<\/p>\n<p>Al\u00e9m do dashboard, buscas manuais podem ser feitas para encontrar termos espec\u00edficos. Vale lembrar que os dados de fluxo oferecem muito campos a mais do que os demonstrados nesse post. Para esta publica\u00e7\u00e3o os foram obtidos de um servidor Linux a partir de ferramentas opensource como o fprobe, e isto por si s\u00f3 entrega informa\u00e7\u00f5es muito escassas quando comparado a dados obtidos a partir de equipamentos especializados e com maior capacidade para este tipo de dados, a exemplo de roteadores e switches, de onde \u00e9 poss\u00edvel obter informa\u00e7\u00f5es como:<\/p>\n<p>\u2022\u00a0N\u00famero do Autonomous System (ASN) de origem e destino;<br \/>\n\u2022\u00a0Coordenadas de Geolocaliza\u00e7\u00e3o;<br \/>\n\u2022\u00a0Endere\u00e7os MAC (next hop);<br \/>\n\u2022\u00a0Monitoramento das conex\u00f5es por pa\u00edses;<br \/>\n\u2022\u00a0e muitos outros.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_35k.png\" alt=\"imagen ilustrativa\" \/><\/center><\/p>\n<p class=\"cuerpo-nota\"><b>\u00a0<\/b><\/p>\n<p><center>Screenshot do dashboard 2<\/center><\/p>\n<p class=\"cuerpo-nota\"><b><br \/>\n<span class=\"subtitulo-nota\">Conclus\u00f5es<\/span><\/b><\/p>\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">\u00c9 poss\u00edvel concluir que os dados de fluxo se revelaram como mais uma fonte de dados essencial para monitoramento, an\u00e1lise e resposta a poss\u00edveis incidentes de seguran\u00e7a em uma organiza\u00e7\u00e3o, al\u00e9m de poder auxiliar na gera\u00e7\u00e3o de indicadores de comprometimento e em atividades de threat hunting. Ele pode ser uma alternativa \u00e0 captura de tr\u00e1fego em alguns pontos da rede para ajudar a identificar amea\u00e7as de seguran\u00e7a, analisar o tr\u00e1fego de rede em longo prazo, gerenciar a largura de banda da rede, planejar a capacidade da rede e monitorar a conformidade com pol\u00edticas de seguran\u00e7a e regulamenta\u00e7\u00f5es.<\/p>\n<p>Para aproveitar ao m\u00e1ximo as caracter\u00edsticas dos dados de fluxo, \u00e9 importante identificar como ele se adequa ao neg\u00f3cio e quais os casos de uso eles podem satisfazer, bem como identificar os melhores equipamentos exportadores, al\u00e9m de coletar e armazenar dados em um local centralizado, analisar regularmente e manter as pol\u00edticas de seguran\u00e7a atualizadas, sempre integrando essa an\u00e1lise com as outras fontes de dados da organiza\u00e7\u00e3o.<\/p>\n<p>Em resumo, atrav\u00e9s dos simples casos de uso de monitoramento mostrados nos gr\u00e1ficos, foi poss\u00edvel perceber que a implementa\u00e7\u00e3o da captura de dados de fluxo, combinada com an\u00e1lise recorrente, pode ajudar as organiza\u00e7\u00f5es a reduzir os riscos de seguran\u00e7a e aprimorar a efic\u00e1cia das atividades de monitoramento, detec\u00e7\u00e3o e resposta a poss\u00edveis amea\u00e7as.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<div class=\"col-lg-4 nota-left d-flex justify-content-between flex-column\">\n<div class=\"referencia-nota\">\n<div class=\"referencias-nota-title\">\n<h5>REFER\u00caNCIAS<\/h5>\n<\/div>\n<div>\n<p>\u2981 KNERLER, Kathryn; PARKER, Ingrid; ZIMMERMAN,<br \/>\nCarson. 11 Strategies of a World<br \/>\n-Class Cybersecurity Operations Center<br \/>\nPublication date: March 31. from 2022.Mitre<br \/>\nAvailable at:<br \/>\n<a href=\"https:\/\/www.mitre.org\/news-insights\/publication\/11-strategies-world-class-cybersecurity-operations-center\">https:\/\/www.mitre.org\/news..<\/a><br \/>\nAccessed on: 23 Mar. 2023.<\/p>\n<p>\u2981 SEASONED CYBERSECURITY<br \/>\nPROFESSIONALS (SCSP).<br \/>\nSIEM Use Cases. Publication date:<br \/>\n14 Feb. from 2020.<br \/>\nGithub SCSP. Available at:\u00a0<a href=\"https:\/\/github.com\/scspcommunity\/Cyber-Sec-Resources\/tree\/master\/Misc%20Content%20By%20SCSP\">https:\/\/github.com\/scspcom..<\/a><br \/>\nAccessed on: 23 Mar. 2023.<\/p>\n<p>\u2981 ALVES, Felipe.<br \/>\nWhy use data flow<br \/>\nffor monitoring?<br \/>\nPublication date: 3 Feb<br \/>\nfrom 2023.<br \/>\nBase 4 Security Research.<br \/>\nAvailable at:\u00a0<a href=\"https:\/\/www.base4sec.com\/research\/pt\/dados-fluxo-para-monitoramento\/\">https:\/\/www.base4sec.com\/research..<\/a><br \/>\nAccessed on 23 Mar. 2023.<\/p>\n<p>\u2981 ALVES, Felipe.<br \/>\nStream data on servers.<br \/>\nPublication date: 18 Mar.<br \/>\nfrom 2023<br \/>\nBase 4 Security Research.<br \/>\nAvailable at:\u00a0<a href=\"https:\/\/www.base4sec.com\/research\/pt\/Netflow-Export\/\">https:\/\/www.base4sec.com\/research<\/a><br \/>\nAccessed on 23 Mar. 2023<\/p>\n<p>\u2981 MITRE, 11 Strategies<br \/>\nof a world-class cybersecurity<br \/>\noperations center.<br \/>\nPublication date:<br \/>\nApril 2022.<br \/>\nvailable at:\u00a0<a href=\"https:\/\/www.mitre.org\/sites\/default\/files\/2022-04\/11-strategies-of-a-world-class-cybersecurity-operations-center.pdf\">https:\/\/www.mitre.org\/sites\/..<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Chegamos ao \u00faltimo artigo da s\u00e9rie de postagens sobre dados de fluxo. A ideia deste \u00faltimo post \u00e9 apresentar a an\u00e1lise de alguns dados de forma gr\u00e1fica a partir de capturas similares \u00e0s realizadas no\u00a0segundo post desta s\u00e9rie. Com essa observa\u00e7\u00e3o, ser\u00e1 poss\u00edvel extrair alguns casos de uso para monitoramento, an\u00e1lise e resposta a poss\u00edveis [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":5130,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_wpcom_ai_launchpad_first_post":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[260],"tags":[],"class_list":["post-5134","post","type-post","status-publish","format-standard","has-post-thumbnail","category-technical-pt-br"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.9 (Yoast SEO v27.9) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>An\u00e1lise de dados de fluxo - BASE4 Security<\/title>\n<meta name=\"description\" content=\"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"An\u00e1lise de dados de fluxo\" \/>\n<meta property=\"og:description\" content=\"An\u00e1lisis t\u00e9cnico y estrategia de ciberseguridad por el equipo de BASE4 Security. Insights sobre CyberSOC, Red Team, GRC y Zero Trust para LATAM y Espa\u00f1a.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/\" \/>\n<meta property=\"og:site_name\" content=\"BASE4 Security\" \/>\n<meta property=\"article:published_time\" content=\"2023-04-04T19:39:52+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-02-26T10:38:38+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_35.png\" \/>\n\t<meta property=\"og:image:width\" content=\"600\" \/>\n\t<meta property=\"og:image:height\" content=\"600\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Base4 Security Research\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Base4 Security Research\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. tempo de leitura\" \/>\n\t<meta name=\"twitter:data2\" content=\"11 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/\"},\"author\":{\"name\":\"Base4 Security Research\",\"@id\":\"\\\/#\\\/schema\\\/person\\\/5905e7398728c03dbec3772861bd4f99\"},\"headline\":\"An\u00e1lise de dados de fluxo\",\"datePublished\":\"2023-04-04T19:39:52+00:00\",\"dateModified\":\"2025-02-26T10:38:38+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/\"},\"wordCount\":2207,\"commentCount\":0,\"publisher\":{\"@id\":\"\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_35.png\",\"articleSection\":[\"Technical\"],\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/\",\"url\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/\",\"name\":\"An\u00e1lise de dados de fluxo - BASE4 Security\",\"isPartOf\":{\"@id\":\"\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_35.png\",\"datePublished\":\"2023-04-04T19:39:52+00:00\",\"dateModified\":\"2025-02-26T10:38:38+00:00\",\"description\":\"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/#primaryimage\",\"url\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_35.png\",\"contentUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_35.png\",\"width\":600,\"height\":600,\"caption\":\"POR: Felipe Alves Cyber Security Researcher & Trainer\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/analisis-de-data-flow\\\/2023\\\/04\\\/04\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Inicio\",\"item\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"An\u00e1lise de dados de fluxo\"}]},{\"@type\":\"WebSite\",\"@id\":\"\\\/#website\",\"url\":\"\\\/\",\"name\":\"BASE4 Security\",\"description\":\"Your cyber ally\",\"publisher\":{\"@id\":\"\\\/#organization\"},\"alternateName\":\"B4\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Organization\",\"@id\":\"\\\/#organization\",\"name\":\"BASE4 Security\",\"url\":\"\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/10\\\/Logo_policromo_negativo.png\",\"contentUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/10\\\/Logo_policromo_negativo.png\",\"width\":372,\"height\":227,\"caption\":\"BASE4 Security\"},\"image\":{\"@id\":\"\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/base4-security\"],\"description\":\"BASE4 Security es una consultora de ciberseguridad B2B con prop\u00f3sito, fundada en Argentina y con operaciones en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Ofrece servicios de CyberSOC, Red Team, GRC, Identity Security, Cloud Security y Application Security para empresas en SOLA y NOLA.\",\"email\":\"info@base4sec.com\",\"telephone\":\"02262653623\",\"legalName\":\"BASE4 Security\",\"foundingDate\":\"2008-01-16\",\"numberOfEmployees\":{\"@type\":\"QuantitativeValue\",\"minValue\":\"51\",\"maxValue\":\"200\"}},{\"@type\":\"Person\",\"@id\":\"\\\/#\\\/schema\\\/person\\\/5905e7398728c03dbec3772861bd4f99\",\"name\":\"Base4 Security Research\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g\",\"caption\":\"Base4 Security Research\"},\"url\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/author\\\/cliteplo\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"An\u00e1lise de dados de fluxo - BASE4 Security","description":"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/","og_locale":"pt_BR","og_type":"article","og_title":"An\u00e1lise de dados de fluxo","og_description":"An\u00e1lisis t\u00e9cnico y estrategia de ciberseguridad por el equipo de BASE4 Security. Insights sobre CyberSOC, Red Team, GRC y Zero Trust para LATAM y Espa\u00f1a.","og_url":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/","og_site_name":"BASE4 Security","article_published_time":"2023-04-04T19:39:52+00:00","article_modified_time":"2025-02-26T10:38:38+00:00","og_image":[{"width":600,"height":600,"url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_35.png","type":"image\/png"}],"author":"Base4 Security Research","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Base4 Security Research","Est. tempo de leitura":"11 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/#article","isPartOf":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/"},"author":{"name":"Base4 Security Research","@id":"\/#\/schema\/person\/5905e7398728c03dbec3772861bd4f99"},"headline":"An\u00e1lise de dados de fluxo","datePublished":"2023-04-04T19:39:52+00:00","dateModified":"2025-02-26T10:38:38+00:00","mainEntityOfPage":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/"},"wordCount":2207,"commentCount":0,"publisher":{"@id":"\/#organization"},"image":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/#primaryimage"},"thumbnailUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_35.png","articleSection":["Technical"],"inLanguage":"pt-BR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/","url":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/","name":"An\u00e1lise de dados de fluxo - BASE4 Security","isPartOf":{"@id":"\/#website"},"primaryImageOfPage":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/#primaryimage"},"image":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/#primaryimage"},"thumbnailUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_35.png","datePublished":"2023-04-04T19:39:52+00:00","dateModified":"2025-02-26T10:38:38+00:00","description":"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.","breadcrumb":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/"]}]},{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/#primaryimage","url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_35.png","contentUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_35.png","width":600,"height":600,"caption":"POR: Felipe Alves Cyber Security Researcher & Trainer"},{"@type":"BreadcrumbList","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/analisis-de-data-flow\/2023\/04\/04\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Inicio","item":"https:\/\/base4sec.com\/pt-br\/"},{"@type":"ListItem","position":2,"name":"An\u00e1lise de dados de fluxo"}]},{"@type":"WebSite","@id":"\/#website","url":"\/","name":"BASE4 Security","description":"Your cyber ally","publisher":{"@id":"\/#organization"},"alternateName":"B4","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pt-BR"},{"@type":"Organization","@id":"\/#organization","name":"BASE4 Security","url":"\/","logo":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"\/#\/schema\/logo\/image\/","url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/10\/Logo_policromo_negativo.png","contentUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/10\/Logo_policromo_negativo.png","width":372,"height":227,"caption":"BASE4 Security"},"image":{"@id":"\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/base4-security"],"description":"BASE4 Security es una consultora de ciberseguridad B2B con prop\u00f3sito, fundada en Argentina y con operaciones en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Ofrece servicios de CyberSOC, Red Team, GRC, Identity Security, Cloud Security y Application Security para empresas en SOLA y NOLA.","email":"info@base4sec.com","telephone":"02262653623","legalName":"BASE4 Security","foundingDate":"2008-01-16","numberOfEmployees":{"@type":"QuantitativeValue","minValue":"51","maxValue":"200"}},{"@type":"Person","@id":"\/#\/schema\/person\/5905e7398728c03dbec3772861bd4f99","name":"Base4 Security Research","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/secure.gravatar.com\/avatar\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g","caption":"Base4 Security Research"},"url":"https:\/\/base4sec.com\/pt-br\/author\/cliteplo\/"}]}},"jetpack_featured_media_url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_35.png","_links":{"self":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/comments?post=5134"}],"version-history":[{"count":2,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5134\/revisions"}],"predecessor-version":[{"id":6164,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5134\/revisions\/6164"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media\/5130"}],"wp:attachment":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media?parent=5134"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/categories?post=5134"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/tags?post=5134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}