| Campo DC | Valor | Idioma |
|---|
| dc.contributor.advisor | Drummond, André Costa | pt_BR |
| dc.contributor.author | Santos, Paulo Roberto da Paz Ferraz | pt_BR |
| dc.date.accessioned | 2026-03-05T17:13:51Z | - |
| dc.date.available | 2026-03-05T17:13:51Z | - |
| dc.date.issued | 2026-03-05 | - |
| dc.date.submitted | 2025-12-18 | - |
| dc.identifier.citation | SANTOS, Paulo Roberto da Paz Ferraz. Metodologia para produção de inteligência de ameaça acionável em nível tático. 2025. 242 f., il. Tese (Doutorado em Informática) — Universidade de Brasília, Brasília, 2025. | pt_BR |
| dc.identifier.uri | http://repositorio.unb.br/handle/10482/54195 | - |
| dc.description | Tese (Doutorado) — Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, Programa de Pós-Graduação em Informática, 2025. | pt_BR |
| dc.description.abstract | A Inteligência de Ameaça Cibernética (CTI) em nível tático descreve o comportamento
adversário por meio de Táticas, Técnicas e Procedimentos (TTPs). Seu emprego em
atividades de Threat Hunting oferece vantagens significativas em relação à detecção tradicional baseada em Indicadores de Comprometimento (IoCs); contudo, o elevado nível de
abstração das TTPs dificulta sua tradução em regras de detecção, limitando a automação
e a escalabilidade dessa abordagem. Para enfrentar esse desafio, esta pesquisa propõe
uma metodologia estruturada para a produção de inteligência tática acionável, orientada
à criação de regras de detecção de comportamentos adversários. Como contribuição preliminar, apresenta-se um estudo abrangente sobre taxonomias de ataques, no qual são
identificados requisitos, atributos estruturais e critérios de avaliação que auxiliam a construção e a seleção de taxonomias mais eficazes. A principal contribuição consiste em uma
metodologia que define um processo iterativo, apoiado na taxonomia MITRE ATT&CK
e na expertise de analistas, para mapear TTPs, desenvolver e validar regras de detecção
de forma sistemática, reduzindo a complexidade e favorecendo seu aprimoramento contínuo. Ademais, propõe-se um modelo de dados voltado à organização e padronização
das informações geradas em formato de Runbook, o qual serve como fonte de inteligência
tática para Threat Hunting e assegura interoperabilidade e reutilização do conhecimento.
A proposta foi avaliada por meio de uma Prova de Conceito (PoC) baseada em estudos de
caso, que demonstrou sua eficácia na geração de inteligência tática acionável e na criação
de regras de detecção precisas, viabilizando a operacionalização da detecção baseada em
TTPs. Por fim, são discutidos os benefícios, limitações e desafios observados, bem como
apresentadas as perspectivas para pesquisas futuras. | pt_BR |
| dc.language.iso | por | pt_BR |
| dc.rights | Acesso Aberto | pt_BR |
| dc.title | Metodologia para produção de inteligência de ameaça acionável em nível tático | pt_BR |
| dc.type | Tese | pt_BR |
| dc.subject.keyword | Inteligência tática | pt_BR |
| dc.subject.keyword | Ameaças cibernéticas | pt_BR |
| dc.subject.keyword | Inteligência de Ameaça Cibernética (CTI) | pt_BR |
| dc.subject.keyword | Threat hunting (Computação) | pt_BR |
| dc.subject.keyword | Táticas, Técnicas e Procedimentos (TTPs) | pt_BR |
| dc.subject.keyword | Metodologia | pt_BR |
| dc.subject.keyword | Runbook | pt_BR |
| dc.subject.keyword | Modelo de dano | pt_BR |
| dc.rights.license | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.unb.br, www.ibict.br, www.ndltd.org sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra supracitada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data. | pt_BR |
| dc.description.abstract1 | Cyber Threat Intelligence (CTI) at the tactical level describes adversarial behavior
through Tactics, Techniques, and Procedures (TTPs). Its application in Threat Hunting activities offers significant advantages over traditional detection methods based on
Indicators of Compromise (IoCs); however, the high level of abstraction of TTPs hinders
their translation into detection rules, limiting the automation and scalability of this approach. To address this challenge, this research proposes a structured methodology for
producing actionable tactical intelligence, aimed at creating detection rules for adversarial
behaviors. As a preliminary contribution, it presents a comprehensive study on attack
taxonomies, identifying requirements, structural attributes, and evaluation criteria that
support the construction and selection of more effective taxonomies. The main contribution consists of a methodology that defines an iterative process, supported by the MITRE
ATT&CK taxonomy and analyst expertise, to systematically map TTPs, develop, and
validate detection rules, reducing complexity and fostering continuous improvement. In
addition, a data model is proposed to organize and standardize the information generated
in Runbook format, which serves as a source of tactical intelligence for Threat Hunting
and ensures interoperability and knowledge reuse. The proposal was evaluated through
a Proof of Concept (PoC) based on case studies, which demonstrated its effectiveness in
generating actionable tactical intelligence and creating accurate detection rules, enabling
the operationalization of TTP-based detection. Finally, the observed benefits, limitations,
and challenges are discussed, as well as perspectives for future research. | pt_BR |
| dc.description.unidade | Instituto de Ciências Exatas (IE) | pt_BR |
| dc.description.unidade | Departamento de Ciência da Computação (IE CIC) | pt_BR |
| dc.description.ppg | Programa de Pós-Graduação em Informática | pt_BR |
| Aparece nas coleções: | Teses, dissertações e produtos pós-doutorado
|
