http://repositorio.unb.br/handle/10482/54195| File | Size | Format | |
|---|---|---|---|
| PauloRobertoDaPazFerrazSantos_TESE.pdf | 3,69 MB | Adobe PDF | View/Open |
| Title: | Metodologia para produção de inteligência de ameaça acionável em nível tático |
| Authors: | Santos, Paulo Roberto da Paz Ferraz |
| Orientador(es):: | Drummond, André Costa |
| Assunto:: | Inteligência tática Ameaças cibernéticas Inteligência de Ameaça Cibernética (CTI) Threat hunting (Computação) Táticas, Técnicas e Procedimentos (TTPs) Metodologia Runbook Modelo de dano |
| Issue Date: | 5-Mar-2026 |
| Data de defesa:: | 18-Dec-2025 |
| Citation: | SANTOS, Paulo Roberto da Paz Ferraz. Metodologia para produção de inteligência de ameaça acionável em nível tático. 2025. 242 f., il. Tese (Doutorado em Informática) — Universidade de Brasília, Brasília, 2025. |
| Abstract: | A Inteligência de Ameaça Cibernética (CTI) em nível tático descreve o comportamento adversário por meio de Táticas, Técnicas e Procedimentos (TTPs). Seu emprego em atividades de Threat Hunting oferece vantagens significativas em relação à detecção tradicional baseada em Indicadores de Comprometimento (IoCs); contudo, o elevado nível de abstração das TTPs dificulta sua tradução em regras de detecção, limitando a automação e a escalabilidade dessa abordagem. Para enfrentar esse desafio, esta pesquisa propõe uma metodologia estruturada para a produção de inteligência tática acionável, orientada à criação de regras de detecção de comportamentos adversários. Como contribuição preliminar, apresenta-se um estudo abrangente sobre taxonomias de ataques, no qual são identificados requisitos, atributos estruturais e critérios de avaliação que auxiliam a construção e a seleção de taxonomias mais eficazes. A principal contribuição consiste em uma metodologia que define um processo iterativo, apoiado na taxonomia MITRE ATT&CK e na expertise de analistas, para mapear TTPs, desenvolver e validar regras de detecção de forma sistemática, reduzindo a complexidade e favorecendo seu aprimoramento contínuo. Ademais, propõe-se um modelo de dados voltado à organização e padronização das informações geradas em formato de Runbook, o qual serve como fonte de inteligência tática para Threat Hunting e assegura interoperabilidade e reutilização do conhecimento. A proposta foi avaliada por meio de uma Prova de Conceito (PoC) baseada em estudos de caso, que demonstrou sua eficácia na geração de inteligência tática acionável e na criação de regras de detecção precisas, viabilizando a operacionalização da detecção baseada em TTPs. Por fim, são discutidos os benefícios, limitações e desafios observados, bem como apresentadas as perspectivas para pesquisas futuras. |
| Abstract: | Cyber Threat Intelligence (CTI) at the tactical level describes adversarial behavior through Tactics, Techniques, and Procedures (TTPs). Its application in Threat Hunting activities offers significant advantages over traditional detection methods based on Indicators of Compromise (IoCs); however, the high level of abstraction of TTPs hinders their translation into detection rules, limiting the automation and scalability of this approach. To address this challenge, this research proposes a structured methodology for producing actionable tactical intelligence, aimed at creating detection rules for adversarial behaviors. As a preliminary contribution, it presents a comprehensive study on attack taxonomies, identifying requirements, structural attributes, and evaluation criteria that support the construction and selection of more effective taxonomies. The main contribution consists of a methodology that defines an iterative process, supported by the MITRE ATT&CK taxonomy and analyst expertise, to systematically map TTPs, develop, and validate detection rules, reducing complexity and fostering continuous improvement. In addition, a data model is proposed to organize and standardize the information generated in Runbook format, which serves as a source of tactical intelligence for Threat Hunting and ensures interoperability and knowledge reuse. The proposal was evaluated through a Proof of Concept (PoC) based on case studies, which demonstrated its effectiveness in generating actionable tactical intelligence and creating accurate detection rules, enabling the operationalization of TTP-based detection. Finally, the observed benefits, limitations, and challenges are discussed, as well as perspectives for future research. |
| metadata.dc.description.unidade: | Instituto de Ciências Exatas (IE) Departamento de Ciência da Computação (IE CIC) |
| Description: | Tese (Doutorado) — Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, Programa de Pós-Graduação em Informática, 2025. |
| metadata.dc.description.ppg: | Programa de Pós-Graduação em Informática |
| Licença:: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.unb.br, www.ibict.br, www.ndltd.org sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra supracitada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data. |
| Appears in Collections: | Teses, dissertações e produtos pós-doutorado |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.