STD-ISIR-ANX-B
Campos Obrigatórios de Evidência

Definir os campos mínimos obrigatórios para identificação, coleta, aquisição, preservação, armazenamento, acesso e uso de evidências digitais.

Deve ser adotado pelo procedimento corporativo e por todos os procedimentos específicos sempre que houver evidência, log, artefato técnico, captura, export, snapshot ou cadeia de custódia.

• Identificação: ID da evidência, ID do incidente, tipo, descrição, sensibilidade e fonte.
• Origem e contexto: hostname, tenant, aplicação, ambiente, timezone, data/hora de geração e coleta.
• Coleta: coletor, método, ferramenta, versão, tipo de aquisição e justificativa.
• Integridade: algoritmo e valor de hash, original ou cópia, cópia de trabalho.
• Custódia: local de armazenamento, custodiante, retenção, acessos e transferências.
• Uso: finalidade, hipótese investigativa, correlação e distinção entre fato e inferência.

• PRO-ISIR-001 — Procedimento Corporativo de Gestão de Eventos e Incidentes de Segurança da Informação
• PRO-ISIR-PB-01 — Procedimento Específico — Ransomware
• PRO-ISIR-PB-02 — Procedimento Específico — Exfiltração / Data Breach
• PRO-ISIR-PB-03 — Procedimento Específico — Credencial privilegiada comprometida
• PRO-ISIR-PB-04 — Procedimento Específico — Cloud / IAM / Token / Chave
• PRO-ISIR-PB-05 — Procedimento Específico — Aplicação / API / WAF bypass
• PRO-ISIR-PB-06 — Procedimento Específico — Insider / fraude / sabotagem
• PRO-ISIR-PB-07 — Procedimento Específico — Terceiro / fornecedor / integração