Em suspeita de breach, evite sobrescrever logs e disco. Faça snapshots ou imagens se o provedor permitir. Preserve timestamps e cadeia de custódia. Tenha um runbook e contatos para suporte jurídico e do provedor.
Preservar evidências
- Não sobrescreva: Evite reiniciar, limpar ou rodar ferramentas que escrevem muito no disco. Logs e conteúdo do disco podem ser necessários para investigação e jurídico.
- Snapshots: Se o provedor oferecer, faça snapshot ou imagem do(s) sistema(s) afetado(s) antes de fazer mudanças. Guarde em conta ou região separada se possível.
- Logs: Copie logs (auth, app, firewall, IDS) para um armazenamento seguro, append-only ou write-once. Preserve timestamps e origem.
Cadeia de custódia e documentação
- Quem, quando, o quê: Documente quem acessou o quê e quando. Use acesso somente leitura quando possível.
- Jurídico e provedor: Tenha contato com assessoria jurídica e com o provedor. O provedor pode precisar preservar evidências do lado dele (ex.: logs de rede, de acesso). Pergunte cedo o que eles podem reter e por quanto tempo.
- Runbook: Tenha um runbook curto de resposta a incidentes: preservar evidências, isolar se necessário, notificar, escalar.
Após o incidente
- Análise: Prefira analisar em cópias (snapshots, cópias de logs) em vez de sistemas ao vivo. Restaure sistemas afetados a partir de backups conhecidos ou reconstrua após garantir as evidências.
- Lições aprendidas: Documente o que aconteceu, o que foi preservado e o que pode ser melhorado.
Resumo
Em suspeita de breach: não sobrescreva; faça snapshots se possível; preserve logs e timestamps; documente cadeia de custódia. Tenha runbook e contatos. Analise em cópias quando possível.
