Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 22/08/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023082200032
32
Nº 160, terça-feira, 22 de agosto de 2023
ISSN 1677-7042
Seção 1
² Conforme art. 23 da Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021.
10.1 CONTENÇÃO:
O objetivo da contenção é limitar os danos causados pelo atual incidente de
segurança e evitar outros. Devem ser aplicadas medidas para mitigar o incidente, evitando-
se a destruição de provas que possam servir de subsídios para possível processo cível,
penal ou administrativo.
À ação de contenção poderá envolver as seguintes atividades:
a) contenção a curto prazo, que consiste em:
1) limitar os danos antes que o incidente piore;
2) isolar segmentos de rede; e
3) executar um failover routing (desvio de tráfego de rede para os recursos que
estejam saudáveis e disponíveis);
b) realização de imagem forense do ambiente afetado;
c) contenção a longo prazo, que consiste em correções temporárias que
permitam a volta ao funcionamento dos sistemas afetados.
10.2 ERRADICAÇÃO:
A erradicação consiste em remover ou inutilizar artefatos utilizados pelos
atacantes e em restaurar o ambiente afetado.
A ação de erradicação poderá envolver as seguintes atividades:
a) restauração completa das imagens de unidades de armazenamento,
implicando na exclusão de todos os dados atuais;
b) recuperação dos dados a partir dos backups existentes;
c) identificação das causas principais que originaram o ataque;
d) realização dos procedimentos necessários para limpar a unidade de
armazenamento, removendo ou isolando os artefatos utilizados pelos atacantes; e
e) correção das vulnerabilidades encontradas.
10.3 RECUPERAÇÃO:
O objetivo da recuperação é restabelecer o pleno funcionamento do ambiente
afetado após garantir que as ameaças foram neutralizadas ou removidas.
A ação de recuperação poderá envolver as seguintes atividades:
a) definição de cronograma para
a restauração das operações pelos
responsáveis pelos ativos de informação afetados, com base em subsídios apresentados
pela Equipe de Prevenção, Tratamento e Resposta a Incidentes em Redes (ETIR);
b) realização de varredura completa do ambiente recuperado, de forma a
garantir que este esteja apto para uso seguro;
c) realização de testes de funcionamento do ambiente recuperado, validando os
resultados com as linhas de base definidas, à medida em que estarão novamente
disponibilizados para uso; e
d) monitoramento do ambiente recuperado, a ser executado num período após
o incidente cibernético, de forma a verificar comportamentos atípicos ou anormalidade nas
operações.
Após o término do processo de recuperação, a Equipe de Prevenção,
Tratamento e Resposta a Incidentes em Redes (ETIR) afetada deverá atualizar, se for o
caso, as informações que foram remetidas à Equipe de Coordenação Setorial da Defesa
(ECS/Def) e/ou Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de
Governo (CTIR GOV) por ocasião da detecção, remetendo novo formulário para notificação
do incidente, conforme Apêndice 1 e as seguintes informações:
a) atores atacantes e atacados;
b) atores envolvidos no tratamento e resposta do incidente;
c) evidências coletadas;
d) indicadores de comprometimento (loCs), bem como táticas, técnicas e
procedimentos (TTPs);
e) ativos de infraestrutura, serviços e total de usuários afetados;
f) volume de dados exfiltrados; cronologia dos fatos;
g) medidas de contenção, erradicação e recuperação adotadas; e
h) medidas preventivas propostas para ocorrências similares.
Por fim, a Figura 4 ilustra os papéis dos atores que participam do processo de resposta.
1_MD_22_008
Figura 4 - Responsabilidade dos atores no processo de resposta
11. PÓS-INCIDENTE
O objetivo desta fase é realizar a análise dos processos de prevenção,
detecção, tratamento e resposta do incidente da documentação dos incidentes, do
processo de comunicação e das regras de proteção do ambiente para evitar incidentes
semelhantes e aperfeiçoar os processos existentes.
11.1 MELHORIA CONTÍNUA DOS PROCESSOS
No intuito de evoluir em maturidade e nas ações perante incidentes
cibernéticos, o participante da Rede Federal de Gestão de Incidentes Cibernéticos
(ReGIC) deverá realizar a análise dos processos de prevenção, detecção, tratamento e
resposta do incidente.
1_MD_22_009
Figura 5 - Ciclo de melhoria na gestão de incidentes cibernéticos
A Figura 5 representa o ciclo de melhoria contínua, representado no anel
interno, que ocorre simultaneamente com os processos de gestão de incidentes
cibernéticos, representado no anel externo.
Os principais objetivos da análise pós-incidente incluem:
a) confirmar que a causa raiz foi eliminada ou mitigada;
b) estabelecer medidas preventivas para incidentes similares;
c) identificar os erros ou ausências de infraestrutura a serem resolvidos;
d) identificar as oportunidades de melhoria na política organizacional,
normativos ou nos processos;
e) revisar e atualizar as funções, as responsabilidades, o processo de
comunicação e a autoridade das Equipes de Prevenção, Tratamento e Resposta a
Incidentes em Redes (ETIR) para garantir a resposta oportuna e adequada;
f) identificar necessidades de treinamento técnico ou operacional; e
g) melhorar as ferramentas, ações e capacidades necessárias para realizar a
prevenção, a detecção, o tratamento e a resposta.
As equipes centrais das Forças Singulares e demais Equipes de Prevenção,
Tratamento e Resposta a Incidentes em Redes (ETIR) do setor Defesa, integrantes da
Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC), devem atualizar as
atividades preparatórias e os processos de prevenção, detecção, tratamento e resposta
a partir das análises do pós-incidente, devendo:
a) identificar loCs ou TTPs
da ameaça, encaminhando esses dados
obrigatoriamente à Equipe de Coordenação Setorial da Defesa (ECS/Def) e ao Centro de
Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR GOV), a
fim de realizar ações colaborativas no âmbito da Rede Federal de Gestão de Incidentes
Cibernéticos (ReGIC);
b) adicionar outros critérios para detecção e triagem da ameaça.
c) identificar e propor soluções para situações omissas verificadas no incidente; e
d) levantar subsídios para automatizar os processos de resposta.
APÊNDICE 1
FORMULÁRIO PARA NOTIFICAÇÃO DE INCIDENTES CIBERNÉTICOS
REMETENTE: abuse@dominio.mil.br
DESTINATÁRIO: 
ecs@defesa.gov.br 
e/ou
ctir@ctir.gov.br 
e/ou
abuse@domínio.mil.br, etc
ASSUNTO: 
Deve-se 
fazer 
constar 
no 
assunto 
da 
notificação:
["ÓRGÃO/ENTIDADE" #"CÓDIGO INTERNO"], "[TLP:MARCAÇÃO]", "TIPO DE INCIDENTE",
"IP | DOMÍNIO AFETADO" e "CLASSIFICAÇÃO DO IMPACTO".
CORPO DO E-MAIL: Deve-se repetir o TLP, destacar a classificação do
impacto causado pelo incidente cibernético (crítico, alto, médio, moderado ou baixo) e
após,
descrever sucintamente
o
incidente
ocorrido, informando,
quando
cabível,
informações, tais como: situação atual do incidente; IP ou lista de IPs envolvidos;
organizações/entidades envolvidas; pessoas ou serviços de rede envolvidos; registros de
sistemas (logs) com o respectivo timezone; cronologia dos acontecimentos; ações
adotadas; outros detalhes
técnicos e incidentes correlacionados.
Finaliza com
" [ T L P : M A R C AÇ ÃO ] "
ANEXO(S): Deverão ser anexadas as informações que facilitem a análise e a
resposta ao incidente, tais como: logs de servidores e/ou serviços, cabeçalho de e-mails
(headers), código(s) malicioso(s), captura de tela(s) (print screen), entre outros.
-x-
Observação 1: Recomenda-se que no caso de phishing, além do texto da
mensagem, sejam enviados os cabeçalhos completos (headers) para que se proceda a
devida análise;
Observação 2: Recomenda-se utilizar formato texto. Formatos como .pdf,
.doc, .html .xls, .zip, .png, .jpg, .gif, entre outros, dificultam a leitura direta e o
processamento automatizado dos dados;
Observação 3: Recomenda-se utilizar criptografia na mensagem se houver
necessidade de encaminhar informações sigilosas/evidências (ex: arquivo com dados
pessoais como números de contas, de cartões de créditos e senhas, obtidos por site
de fraude);
Observação 4: Recomenda-se incluir os logs completos que evidenciem a atividade
maliciosa (ex: logs de redes, de sistemas, de servidor Web, mensagem de e-mail etc.);
Observação 5: Recomenda-se incluir a informação de data, horário e time
zone dos logs ou da ocorrência da atividade sendo notificada;
Observação 6: Recomenda-se que o horário de servidores e equipamentos
de redes estejam sincronizados com uma fonte confiável de tempo (ex: via protocolo
NTP) para que não haja disparidades na correlação de eventos, logs e outros
dados;
Observação 7: Recomenda-se sanitizar dados sigilosos ou que não sejam
essenciais à identificação do incidente tais como dados pessoais (PII), IPs/redes e
nomes de máquinas do destino/alvo; e
Observação 8: Recomenda-se evitar
mensagem de caráter jurídico,
acusatório ou retaliativo visto que afasta a possibilidade de ação colaborativa e diminui
a chance de resposta.
APÊNDICE 2
CLASSIFICAÇÃO DE INCIDENTES CIBERNÉTICOS QUANTO AO TIPO
Dentre os diversos tipos de incidentes cibernéticos possíveis de serem
notificados, destacam-se como referência os descritos na Taxonomia de Classificação de
Incidentes da Agência da União Europeia para a Cibersegurança (ENISA). A tabela
seguinte lista, de forma não exaustiva, os tipos de incidentes/vulnerabilidades
adaptados a partir da taxonomia comum sugerida:
1_MD_22_010
1_MD_22_011

Fechar