PRO-ISIR-PB-03
Playbook — Credencial Privilegiada Comprometida

← Lista Mestre

Objetivo

Conter abuso de privilégio elevado, impedir persistência administrativa e restaurar o baseline seguro de acesso.

ETVX

  • E — Entry: Incidente declarado ou tipologia fortemente suspeita, severidade preliminar definida e caso aberto no system of record.
  • T — Task / Transform: Executar a resposta específica do cenário, sempre adotando o checklist da primeira hora, o padrão de evidências, a matriz de comunicação, o padrão de severidade, o recovery sign-off, a matriz RACI e o painel de métricas conforme aplicável.
  • V — Verify: Verificar se o cenário foi corretamente caracterizado, se o escopo foi estimado, se a resposta foi documentada e se as evidências e comunicações seguiram os padrões obrigatórios.
  • X — Exit: Cenário estabilizado, evidências registradas, comunicação tratada, recovery aprovado e remediações abertas.

Passos mandatórios do procedimento

  1. Adotar o checklist da primeira hora.
  2. Restringir ou revogar a credencial comprometida e preservar sessões, tokens e trilhas de autenticação.
  3. Revisar grupos, roles, trusts, break-glass accounts, delegated admins e contas derivadas.
  4. Procurar criação de admins ocultos, persistência administrativa e exfiltração associada.
  5. Validar restore do baseline com apoio do recovery sign-off quando houver impacto sistêmico.

Evidências mínimas

Logs de autenticação, MFA, PAM, auditoria administrativa, alterações em grupos e políticas, atividades em AD, IdP, VPN, bastions e cloud control plane.

Erradicação

Remover persistência administrativa, revisar conditional access, reforçar MFA e PAM, invalidar artefatos e corrigir trust relationships indevidas.

Recovery e encerramento

Encerrar apenas com baseline administrativo restabelecido, alterações maliciosas revertidas, sessões residuais eliminadas e escopo do impacto conhecido.

Documentos complementares obrigatórios