Os ciberataques direcionados a ambientes em nuvem estão cada vez mais sofisticados e difíceis de detectar. Muitas vezes, os invasores utilizam técnicas em múltiplos estágios — como abuso de autenticação, escalonamento de privilégios, execução de comandos e interação com APIs nativas da nuvem — para obter e expandir acessos. Cada etapa desse processo costuma imitar atividades legítimas de administradores ou desenvolvedores, o que torna ainda mais difícil identificar intenções maliciosas.

Comportamentos típicos de atacantes — como login de um novo endereço IP, acesso a serviços de nuvem nunca antes utilizados ou execução de processos via linha de comando — podem parecer ações rotineiras. Além disso, geralmente não existe um único evento ou regra que aponte, de forma isolada, que houve comprometimento.

Por isso, a detecção de intrusões na nuvem exige a análise de múltiplos sinais em conjunto. Um único indício pode não significar nada, mas, quando várias anomalias envolvem os mesmos usuários, recursos ou workloads em um curto espaço de tempo, as chances de estar ocorrendo uma intrusão direcionada aumentam consideravelmente. Essa correlação comportamental é o que diferencia ataques reais de atividades normais.

Composite Alerts: Detecção Inteligente e Correlacionada

Para enfrentar esse desafio, o FortiCNAPP introduziu os Composite Alerts, que correlacionam indicadores aparentemente fracos em um panorama coeso. Essa tecnologia não busca apenas um evento específico, mas reúne e correlaciona múltiplos indícios relacionados a uma mesma entidade em uma janela de tempo definida.

Cada Composite Alert compila detecções como:

• Logins suspeitos
• Primeiro uso de APIs administrativas
• Comportamentos anômalos de containers

Tudo isso vinculado a usuários, recursos ou instâncias específicas. Esse método oferece vantagens claras:

✅ Maior precisão na detecção: ao combinar diversos sinais, reduz falsos positivos de alertas isolados.
✅ Identificação antecipada: detecta cadeias de comportamento malicioso em desenvolvimento.
✅ Eficiência para analistas: apresenta um panorama completo, eliminando a necessidade de montar o quebra-cabeça manualmente.

Assim, as equipes de segurança deixam de atuar de forma reativa, passando a investigar ameaças reais com prioridade e contexto claros, otimizando tempo e melhorando a resposta a incidentes.

Observation Timeline: Contexto Claro para Decisões Rápidas

Para reduzir o tempo médio de triagem (MTTT), cada Composite Alert no FortiCNAPP vem acompanhado de uma Observation Timeline. Essa linha do tempo funciona como evidência e explicação, permitindo ao analista entender rapidamente:

• Por que o alerta foi gerado
• Quais entidades foram envolvidas
• Qual a sequência dos eventos suspeitos

Cada timeline inclui:

• Observações: eventos ou comportamentos suspeitos detectados.
• Entidades: usuários, máquinas, containers, IPs e outros recursos ligados aos eventos.

Para cada observação, são apresentados:

✔ Tipo de comportamento detectado (login incomum, abuso de API, movimentação lateral)
✔ Data/hora do primeiro e último registro dentro da janela de alerta
✔ Metadados como IPs e geolocalização, APIs acessadas, user agents suspeitos, comandos executados, containers criados ou modificados

Esse formato estruturado elimina a necessidade de reunir informações dispersas em logs, facilita a avaliação do risco em contexto e torna o processo de resposta mais rápido, preciso e confiável.

Fonte

FortiCNAPP: Segurança Nativa para Ambientes em Nuvem

Quer saber mais sobre como proteger aplicações e workloads multicloud com segurança nativa?

Participe do nosso próximo webinar:

📅 Quinta-feira, 24/07/2025
⏰ 10:00hs (horário de Brasília)
🎙 Palestrante: Henrique Moisés – Arquiteto de Segurança e Soluções de Cloud na Fortinet

🔒 Garanta sua vaga e fortaleça a segurança do seu ambiente em nuvem.
👉 Inscreva-se agora