BSides SP 2025 - Automatizando coletas de CTI e potencializando com IA

com I. Seja bem-vindo. [Aplausos] Boa tarde a todos. Primeiramente, muito obrigado por todos terem comparecido aqui. Eu vou focar só mais um pouco aqui. Não vou tanto focar para vocês aqui porque tem um amigo meu aqui que ele deficiente auditivo, só para ele entender um pouco mais a palestra. Então se vocês se não se incomodarem tanto de eu não estar olhando para pouco para vocês, não se sintam ofendido, tá? É mais por conta dele mesmo, tá? Então, qual que é o propósito aqui, né, gente? Eu vou falar um pouco sobre automatização, que é uma coisa que eu amo de verdade. Ci, que é cyber trading, que é uma coisa que eu também amo muito. E aí vem uma terceira coisa que eu

comecei a amar recentemente, que é Iá. Eu acho que todos vocês estão cansados de falar iá, iá, iá, iá. É uma coisa chata de e cansativa, mas é uma parada rypada que é tão legal e ela facilita tanto o nosso dia a dia que é quase impossível você não começar a gostar disso, né? E é quase impossível você não começar a falar sobre isso. Então, me desculpa se eu vou falar coisas repetitivas que vocês já sabem. O meu propósito aqui é ser básico, como eu automatizo, o que eu utilizo e o que eu tô fazendo para poder conseguir potencializar as minhas coletas de CTI, né? Então aqui eu vou tentar ser simplista, tanto na parte de código até

nos exemplos, para que todo mundo consiga me acompanhar, até mesmo aquelas pessoas que não entende nada do que eu tô falando aqui. Então acho que deu uma travada aqui.

Para quem não me conhece, eu me chamo Andrei. Eh, atualmente eu sou pesquisador. Eh, já fui especialista em TR, né? Então eu meio que não sou mais um especialista, sou um desenvolvedor. Então a minha vida vem um sempre desenvolvedor. Comecei com se C Sharp. Aí depois eu migrei para Python e aí eu tava até brincando com os meninos lá que eu já não sei mais declarar as coisas. Então eu simplesmente é interpretativo, não preciso compilar nada, então muito mais fácil para mim. E também sou professor de resposta acidente e trading intelligence. Bom, tudo começou ali meados de 2024, no finalzinho 2024, 2025, eu entrei no liquidinho e só vi isso aqui. MCP, MCP, MCP, todo mundo falando de MCP. E aí eu

vi o artigo sobre MCP, eu guardei ali no link para me dar uma lida depois, porque eu tenho hábito de procrastinar tudo na minha vida. Inclusive, eu tenho um vídeo no YouTube há mais de dois anos para mim ver chamado porque os procrastinadores procrastinam e eu não vi ele até hoje. Então, mas esse aqui eu não procrastinei porque eu vi que tava muito hypado, eu fico entender o porquê, né? Então, que que é MCP? MCP nada que é model protocol, que ali em meado de 2024 2025 a chat GPT, né, Openai, ela criou o contexto de agentes. Não não seente ela criou, né, mas ela lançou o conceito de agentes, que era o quê? Você tinha

simplesmente um chat onde você pesquisava e ele te dava contexto sobre aquela sua pesquisa baseada naquilo que ele já sabia. Mas com contexto de agente, você ele começou a utilizar a pesquisa web, por exemplo, para poder fazer pesquisas no Google. no Wikipédia, seja whatever, e trazer isso como contexto e saber te responder sua pergunta, porque muitas vezes a gente de dificuldade, por mais que seava um bom contexto para Iá, ela te respondia de qualquer jeito, ou até mesmo não era aquilo que exatamente que você precisava. Então, com o conceito de agente, ficou mais fácil ele trazer mais contexto para você, para que ele te dáse a melhor resposta. Eu tive uma uma conversa com um amigo que ele trabalhou

muito tempo com data science e hoje ele especialista em a essas coisas. Eu não é não é uma coisa que eu sou. E ele sempre falou para mim, mano, IA é uma parada burra, ela não é inteligência, porque ela é probabilística. Ela vai experiente responder aquilo que de acordo com a probabilidade que ela te tem. Se você dá um excelente contexto para ela, ela vai te responder da maneira que você espera. Se você não dá contexto para ela, ela vai te responder basicamente aquilo que ela imagina que é baseado em probabilidade. E essa é uma verdade. E aí quem criou foi a a Tropic ali, eh, lançou o conceito de MCP, né? E o MCP é isso aqui. Então pensa que você

tem um desktop, que é o o seu client e o MCP é como se fosse o hub. Tem laser nisso aqui? Tem, né? Aí tem. Então o MCP é como se fosse o hub. Então você tem um cara aqui que é esse hub aqui que ele tem conexão com várias outras coisas e aí é o poder do MCP, que é você utilizar a sua IA. Então aqui tá como, por exemplo, o Cloud. Aqui tá open aqui tá o cursor, né, que são facilitadores. Você tem aqui basicamente o seu hub que é o MCP, que ele vai receber tudo que você precisa. Então vamos supor, ah, eu quero consultar os meus e-mails lá no Gmail. Vou lá no chat lá, pergunto, cadê

quais são os e-mails que eu tenho via MCP? Eu conecto lá no meu Gmail, coleto os meus e-mails, ele me dá contexto para me responder minhas perguntas. Então, MCP resumidamente é isso aqui, né? não é um bicho de sete cabeças. E é o que que a gente vai usar aqui na nossa conversa? Python, cursor e chat GPT. Basicamente é isso que a gente vai utilizar tudo que a gente vai conversar aqui. Então, antes de eu explicar isso aqui para vocês, vamos começar a falar sobre CTI. Para quem não conhece, CTI é um contexto de você lidar com inteligência contra ameaças, né? Tá? Então, o princípio básico é que a gente vai trabalhar aqui, que é coleta de indicadores de

compromisso e contextualização sobre grupos de apt. E aqui o nosso propósito é a gente coletar informações sobre uma notícia ou um relatório. Então, imagina o seguinte cenário, você tem lá um uma notícia e você não quer ler essa notícia, você tem a preguiça de ler. E aí eu vou utilizar o chat GPT para me dar mais contexto sobre esse cara, para entender o quais são os vetores, o que que ele tá fazendo, baseado uma notícia. Então, basicamente, eu criei um script que eu chamo MCP aqui, pego todo o content da página usando requests e ele me dá um response aqui com todo o conteúdo da página. Beleza? Eu tenho um contexto. Então, até o momento não tinha

contexto nenhum. Eu só tinha a simples pergunta: "Me fale sobre qual aquele cara". Mas ele fala: "Que cara?" E aí é onde eu entro com contexto. Aqui é simplesmente a maneira que você vai conectar. Então você simplesmente aponta o diretório para você executar a subneira do Python. Qual que é o diretório que tá o seu arquivo? E o main.p é o meu script de mcp. Então aqui eu vou dar o primeiro exemplo para vocês que é a execução do primeiro comando. Então o que eu tô fazendo aqui? Eu vou lá obtenha a URL. Eu tava dando C conttrol V aqui porque tá demora.

Essa da trend aqui, o que ele vai fazer? Ele vai rodar aquele script MCP. Ele perdiu permissão para me executar. Ele vai me trazer agora contexto. Por quê? Ele tá me esse contexto, ele me traz um contexto bem simples, porque eu tava usando modo gratuito. Para não usar muito tokens, eu reduzia o que ele precisava, mas eu poderia ser muito, poderia dar um prompt muito melhor para ele. Mas basicamente o que ele fez? Ele foi lá, pegou aquela URL, extraiu todo o content dele e desse content ele foi lá e me deu um contexto, porque eu tinha um contexto para ele e ele me respondeu baseado naquele contexto, o único objetivo que ela tinha ali.

Aí, pô, como que a gente pode melhorar isso aí, né? E o que exatamente tá acontecendo sobre aí? É, eu tenho um chat GPT, eu quero procurar melhorar a tua melhorar a automação trazendo uma correspondência melhor. Eu tenho um script Python, eu tenho um output, que o output basicamente é todo o conteúdo daquela página, eu tenho uma resposta. E essa resposta aqui, ela só vai ser boa se eu trazer um bom contexto para ela. E quem me entrar esse contexto, esse cara aqui. Então, nesse cara aqui, eu tava falando de um apt que talvez ele saiba do que se trata e ele teria a capacidade de utilizar o agente do chat de aptar busquar pesquisar mais sobre ele em

outros sites. Sim, é possível ser feito isso, mas eu trouxe esse exemplo básico justamente para vocês abrirem a cabeça de vocês no sentido que existe outras probabilidades. Imagina um cenário onde você tem uma ferramenta interna que ela tem um conteúdo interno da sua empresa. Por que não conectar com o MCP para você fazer uma pesquisa rápida? Para que lida com resposta de acidente? Por exemplo, tem bastante amigo meu que trabalha com resposta de dente. Se eu tenho um playbooks runbooks, por que eu não conectar onde tá todo esse playbook Rebook, trazer contexto para me auxiliar e fazer a resposta do acidente. Então é esse é o propósito que eu quero ter com vocês aqui. É justamente essa conversa,

né? E aí justamente, pô, beleza, mas você não falou o que você ia falar sobre cai? É, eu vou tentar. Então, pensando no seguinte cenário, geralmente como que funciona as equipes de resposta incidente tradicionais? Você tem uma plataforma de resposta incidente, você tem um ser humano que vai responder, vai pegar esse alerta e vai responder sobre ele. Ele vai fazer processo de resposta acidente. Vão coletar indicadores de compromisso e esse humano para validar se aquilo é malicioso, se ele precisa maneira agir, ele vai lá e consulta no vírus total e ele tem um resultado para ele tomar um tipo de decisão, não é? Esse é o tradicional. Mas aí a gente consegue pensar em maneiras de utilizar o tradicional para

poder fazer automações e utilizar IA para nos auxiliar aqui, que é o quê? Você tem um processo, então a gente cria um um contexto realizando perguntas que sejam capazes de ser resolvidas. Ou seja, eu tenho uma pergunta, mas, por exemplo, vou perguntar: "Ô, me fala aí para mim como que eu respondo a esse incidente do servidor XPTO." O cara vai falar: "Mas que servidor? De quem que você tá falando? Por que você tá falando isso para mim? porque ele não tem contexto, ele precisa de contexto para te dar essas perguntas. E aí entra o processo de automação. Então eu desenvolvo todas as automações complementares que eu preciso para gerar contexto e eu tenho o resultado

esperado, que é o nosso propósito aqui. Beleza? Tem um primeiro cenário, eu fui lá, peguei todas a peguei todo o conteúdo daquela página, RLXPTO. Agora eu quero coletar os indicadores de compromissos que eu tenho daquela URL XPTO. Então, eu tenho uma notícia, eu tenho um relatório de um pesquisador, então eu vou simplesmente fazer a pergunta para ele, me traga contexto sobre aquela URL. Aí eu gero outra pergunta para ele. Agora me diz os indicadores de compromisso desse cara, né? Então é justamente o que eu faço aqui. Eu tenho um get from content aqui. Ele vai simplesmente obter todos os indicadores de compromisso. Aqui eu não trouxe o código porque não é o nosso propósito aqui, mas aqui dentro aqui

simplesmente é uma classe onde eu tenho uma função chamada eis. que ela vai executar várias redcks aqui com proposta de colotar indicadores de compromisso. Beleza? Mas ó, aí então percebe que a gente tá naquele chat lá ainda. Aí eu vou falar para ele agora extraia os Iocos. Beleza? percebe que ele vai sempre pedir permissão para mim porque ele ele baseado no contexto do MCP, ele vai sempre procurar para mim qual o o servidor mais próximo daquilo que corresponde aquilo que eu quero. Como eu falei para ele, eu se eu já tenho um cara geto from content, então ele já sabe qual que ele tem que executar. Então percebe que ele vai me retornar um Jason com todos os IOCs e ele vai me dar

ali todos os indicadores de compromissos que eu tenho. E aí é basicamente isso que ele lista, tá? Tá, é muito simplista, uma coisa básica, uma coisa que pode ser feita sem usar Iá. Sim, é verdade. Mas aqui nosso propósito não é a gente ir muito a fundo nisso aqui, justamente por questão de tempo e questão de talvez nem todo mundo tenha esse conhecimento pra gente se aprofundar nisso aqui. Então, de forma simplista, é esse que ele vai fazer para você. Beleza? A gente pode melhorar, sim, a gente pode melhorar. a gente pode trazer mais contexto para ele e fazer com que você tenha um melhor fator de decisão, né? Então, beleza. Aí agora eu vou melhorar

um pouco para vocês. Ele me trouxe o content da página. Ele me extraiu todos os indicadores de compromisso que eu preciso. Agora eu vou buscar em todos esses caras aí, Virus Total, Abus IPDB, Erley Scaniou, em outras coisas, para classificar aquele cara baseado no output dessas ferramentas e me dizer para mim quais são maliciosos e quais eu devo levar em consideração. Então, pensa no cenário, pô. Indicador de compromisso básico, é muito fácil você obter. Saber se ele é malicioso também é fácil. Você vai lá no vírus do outro lado, tá dizendo, ó, malicioso, 50 de 100. Beleza. Mas você sabe porque ele é considerado malicioso? Você tem noção o por ele foi classificado dessa maneira? Se ele é um

arm, se ele é um steeler, se ele é um trojan, whatever. É que quer entrar a coisa, é a sua compreensão baseada naquilo que você considera como malicioso, simplesmente por números, tá? vermelho é malicioso. Nem sempre é uma verdade, mas aqui baseado nesse contexto, ele vai usar todo aquele output que a API, por exemplo, do vírus TTO é capaz de retornar. Todo output que capus IPDB, ele é capaz de retornar e te dar mais contexto e te explicar porque esses caras são considerado malicioso. Então, bora lá.

Então, aí beleza, né? Eu coletei os indicadores de compromisso. Agora falar para ele: "Classifique para mim os ios". Ele vai fazer busca em todas aquelas APS lá, vírus total, scan, IO e APUS e BDB, baseado em cada um. Então, por exemplo, a pusdb vai virus total, IP, apus IPDB e virus total, has só virus total. Ele me trouxe lá, que é nesse artigo da trend, ele já me trouxe os resultados e ele começou a classificar para mim, ó. Ó, esses IPs teve três classificação maliciosa, esse teve duas, esse aqui e aí assim por diante, né? De novo, tô sendo simplista aqui e o meu prompt foi muito simplista justamente por questão de tokens mesmo, mas você poderia trazer

um prompit melhor no sentido, por exemplo, utilize esse resultado, me traga quais são os indicadores de compromissos que são maliciosos, porque eles são classificados como malicioso e como tomada de decisão, quais os deveria bloquear, assim por diante. Então tudo é baseado num prompit que você diz para ele para dar a melhor resposta, né? Então beleza. E aí, beleza, você já disse para mim quais são os indicadores de compromisso que são considerados maliciosos. O que que eu faço com esses caras? Cara, aqui para mim eu é um limite aqui, né? Então, você tem um contexto de automatização onde você pode eh gerar esses indicadores de compromisso para ele bloquear em outros lugares, por exemplo, EDR, né? O o como CR Strike que eu

deixei como exemplo ali, entre outros, né? Não é uma limitação de EDR. Você pode mandar bloquear o DP para um Fel, você pode mandar esses caras para um C para poder fazer correlação com outras coisas. Isso vocês podem continuar fazendo com MCP sem problema. Basta você ter um agente onde você seja capaz de construir essa automação, você fazer o comando via chat e ele vai executação para você. Então daqui em diante é o seu limite, mas vou brincar com esse cara aqui, tá? Que é o Misp. E é justamente é o que eu faço agora, né? Então, o que que a gente vai fazer com o MISP aqui, né? Eu vou explico para para todo mundo

o que que é o MISP já. Então, a gente vai fazer o crowler, onde a gente vai obter o conteúdo do site. A gente vai filtrar e extrair os indicadores de compromisso e a gente vai enviar os indicadores de compromissos que a gente considera importante pro MISP, né? Esse é o processo que a gente vai criar aqui. Mas beleza, que que é MISP? É de comer? Não, MISP basicamente é um é uma ferramenta, né, que ela foi criada pelo CERT da França, se eu não me engano, tá? Salve garo. Eh, o propósito dela é justamente você compartilhar entre organizações diferentes indicadores de compromisso e pesquisas que você esteja fazendo. No Brasil isso já se tornou uma

obrigatoriedade em muitas empresas, justamente para quem trabalha com TELC, banco, Bassen, por exemplo, Cert, por exemplo, é uma obrigatoriedade as empresas terem um MISP, onde elas fazem um compartilhamento de indicador de compromisso entre elas. Algumas consultorias também vendem como serviço, mas aqui é a capacidade de você bloquear no sentido de prevenir proteção e proteger organização, detectar no sentido de que você vai ter um grande banco de dados de indicadores de compromisso e informações sobre aquele indicador de compromisso e aí onde você gera inteligência pra empresa na sua capacidade de prevenção e detecção, né? Basicamente é isso aí o MISP, né? E aí entra o nosso cara, eu tenho os indicadores de, vamos lá, recapitulando. Coletei o URL, peguei o content dela,

coletei todos os indicadores de compromisso daquela URL, coletei todos os indicadores de compromissos que são classificados como maliciosos. Beleza? OK. Agora entra outro propósito. Vou mandar pro MISP. Então, explicando resumidamente o que eu tô fazendo aqui, eu tenho uma função, um tool do MCP que ele é o objetivo dele é criar um evento no MISP. Ele vai pegar o meu histórico do chat. Por quê? Porque no meu histórico do chat é onde tá a informação que os indicadores são maliciosos. Eu só sei que ele é malicioso porque o GPT ele me disse aqui que ele é malicioso baseado no contexto que eu trouxe para ele. E aí aqui é só mais uma informação para ter

cash e etc. E aí a gente vai lá. pro nosso amigo Misp. Agora

já explico já.

E aí eu vou lá obtener todo o fluxo aqui de novo para pra gente ver. Ele vai me dar um resumo. Ele percebe que a coleta tá me dando um resumo melhor, que aí foi um pouco do propósito. Faço para ele para ele extrair os indicadores de compromisso. Ele vai extrair os indicadores de compromisso para você.

Aí vai classificar os Iocos. uma pausa aqui para responder a pergunta do amigo aqui. Acho que eu sem querer eu elimino o falso positivo. Na verdade é uma tomada de decisão que você tem que fazer. Quando eu faço a consulta nos outros lugares como Virta, POSBDB, etc. Ele vai me trazer a classificação daquele indicador de compromisso baseado no que a ferramenta ela traduz. Então, por exemplo, PDB, ele vai te dizer para você se é um IP usado para DDS, se é um IP usado para Scan, se é um um SP de botnet, assim por diante. V st ele vai classificar baseado em reputação ou correlação com outras coisas. Tudo isso a PLM retorna o o chat GPT, a IA, ela

vai entender esse contexto e ela vai te traduzir aquilo que ela é classificada com Lisoso baseado no output. A sua interpretação, é claro, é baseada no resultado do chatt. É você validar se ele realmente tá fazendo o papel que ela precisa. Se ela te dá dando bons resultados, ok, quer dizer que o seu prompit tá legal, mas tudo vai ser baseado no seu prompit. E aí é onde você cria a sua régua. Por exemplo, eu só quero um indicador de compromisso que seja um maior, que tem reputação maior que 50. Ou indicador de compromissos que para mim são relevantes, aqueles que sejam, por exemplo, de DDOS. Tudo tá baseado no seu prompt. Então o promp

aqui ele é simplista. Ele tudo que ele classificar com malicioso, ele vai me dar como malicioso. Mas se você desenhar bem o seu prompt, que é onde tá o segredo, ele vai te dar um bom resultado. Exatamente. Compartilhando. Perfeito. É exatamente isso. Basicamente você pode fazer isso. Ou senão você menos pode fazer o filtro manual dizendo, ó, bloqueio ou envie pro MP esse, esse e esse. Ele vai enviar. Base, básica você criar o seu MCP. Deixa eu colocar um pouquinho mais para frente que aí. Beleza. Aí, aí ele vai classificar os indicador de compromisso de novo.

Ele sempre pergunta aqui porque é uma configuração. Ele vai sempre perguntar se é esse mesmo o cara que você quer executar. Se você tiver muitos servidores MCP. Nesse caso eu tinha bastante. Então ele vai sempre perguntar: "Pô, essa pergunta ela corresponde a esse cara aqui, é esse cara que você quer executar? Ele é, ele vai, você pede a confirmação para ele para você ter certeza que você tá executando um cara correto. Ele me retornou os indicadores de compromisso lá. Beleza. Eu acho que eu coloquei uma diferente nesse caso aí porque ele tá trazendo muito mais do que o primeiro. Mas bora lá. Bora lá. Envia os ios para o Misp, que é o nosso momento. O que ele vai

fazer? Ele vai usar todo aquele output ali. Tudo que ele classificou com malicioso é o que ele vai mandar pro M. Por quê? Baseado no noteput que eu dei para ele de contexto, ele classificou aqueles caras com malicioso e não o todo. Então, por exemplo, se tiver um 27001 lá, ele não vai classificar com malicioso, porque quem classificou para mim foi a IA, não fui eu que classifiquei, baseado no meu contexto. Aí ele criou o evento no MP pra gente. Ele tá dizendo ali qual que é o output dele. Ah, ele falou que foi os indicadores de compromissos que foram enviados. foram todos esses caras aqui. E aí se você aqui eu dou um refresh no

MISP, tá lá todas as indicadoras de compromisso que ele classificou como malicioso, eu já enviei lá pro MISP. Aí a o que é legal que como o output da minha consulta ela foi no Pul BTB, por exemplo, eu já me trouxe qualquer SP, qualquer ORG, se tem DNA sobre aquele de P, eu já classiquei tudo como tag. Isso é feito no script mesmo. Beleza? Eh, o que eu posso fazer mais? E, cara, eu o que falei aqui é uma infinidade. Eu trouxe muito desenho para vocês sobre coisas que vocês podem utilizar com isso aqui, né? Então, beleza. A gente, a gente tem um contexto, a gente não, né? Ah, a o open o openi, não é o trage

intelligence, ele tem um conceito que é justamente pirâmide da dor, que é você tem o trivial, que é hashendesse de IP, nome de domínios, network host e aí você começa a avançar no no seu na sua inteligência contra ameaças quando você começa a coletar tools e TTPs. Quando você tem essa capacidade técnica de coletar, quer dizer que o seu o seu CI ele já tá muito mais avançado. você tem uma capacidade técnica de coleta muito melhor que muitas outras organizações, porque você saiu do básico, do trivial, que é o simplesmente o bloqueio, e agora você parte para literalmente inteligência, no sentido de que quais ferramentas que eles estão usando, qual táticas e técnicas do MRE ele tá utilizando, é

onde a gente entra aqui agora, né? Então, o que eu fiz aqui? Eh, no MISP tem uma parada chamada Galaxy, que é uma maneira de você taguear eventos no MISP para você entender e interpretar melhor do que se trata aquele evento. Porque do que adianta eu tenho um evento lá no MISP, ele me dizer é aquela URL, mas eu tenho um adjudicador, mas do que se trata aquele indicador de compromisso? é onde entra as Galaxy, aonde eu classifico aquele evento no sentido qual que é o Troid Actor, qual que é a tática técnica do MRE, qual a ferramenta que representa o Mour, assim por diante. Então, simplesmente eu tô pegando as URLs lá do próprio Galaxy, que é uma

libção em Iara, eu crio a regra Iara e faço mat. Por que eu uso Viara? Aqui para mim é muito mais fácil fazer viara porque eu pego o contiro da página, valido os nomes que tem dentro ali da da das URLs do Galaxy. Se der match, eu sei que tem aquele nome lá. Então, por exemplo, se por acaso tiver o nome lá Lázaros, ele vai dar met na minha. Basicamente é isso aqui. E aí, beleza? aonde a gente entra aqui. Então, achei vai enviar os indicadores pro pro Misp. Só que aqui é um novo envio, não é o mesmo, porque agora eu tô dizendo contexto ao meu evento do MISP. Então ele não só tô enviando mais o

indicador de compromisso, agora a partir desse momento, eu começo enviar contextualização, que é aqui que entra inteligência. Quando você não quando você só tem indicador de compromisso, você não tá fazendo inteligência, você tá fazendo triviálogo. É o que você realmente precisaria fazer. Mas quando você começa a adicionar contexto, aí você parte desse momento agora você tá criando inteligência. Então ele tá ali gerando tal, ele vai falar que os indicadores de compromissos que foram enviados, como ele tá sendo enviado e tudo mais.

E aí agora eu vou dar outro refresh. Percebe que dar um pause aqui. Eh, pera aí. Percebe que agora eu adicionei TTP, agora eu sei quais as TTPs que representam esse relatório. Eh, nesse caso aqui, por exemplo, eu só esti TTP. Eu acho que esse era um relatório que só tinha TTP. Eu não sei se ele tinha menção a a trad, né? Eu não me lembro agora. Já faz um tempinho que eu fiz esse caso aqui, mas percebe que ele trouxe mais contexto para mim, então ele não me trouxe mais o indicador de compromisso. Isso a nível de MISP, você agrega muita inteligência porque você começa a fazer filtros no sentido, ah, por exemplo, eu quero entender quais

relatórios ou quais trajectors utilizam TTP XPTO, você vem aqui no MIS, pesquisa pela TTP, aí você começa a ter uma observação melhor sobre aquele cara, né, sobre aquele aquele trador em específico. Beleza? Eh, isso é um exemplo do MISP. Agora vou trazer outro exemplo para vocês que vocês podem utilizar o o MCP para vocês potencializar o ambiente de CTI de vocês, né? Eu nunca sei pronunciar essa aqui. Enfim, desculpa aí o palavrão. Orquel, não sei. Eu acho que é assim que se pronuncia. Enfim, Arquel basicamente é um repositório com muitos e muitos relatórios de empresas eh sobre campanhas ou tradors. Então, por exemplo, aí você vai ter eh relatórios de pesquisadores eh autônomos, vai ter

de pesquisadores individuais, vai ter sobre empresas e assim por diante. Então, é um repositório bastante completo, tem muito eh relatórios que é aonde você gera inteligência. Aqui o cara que é de trading intel, ele não lê relatório, tá fazendo trading em errado, desculpa. Eh, o cara precisa ler relatório. E aqui que tá a inteligência. Como que você vai entender sobre a o seu adversário se você não entende o que ele tá fazendo? Se você minimamente vê as coisas acontecendo sobre aquele seu adversário e você não tá entendendo a contextualização dele. E nesse repositório aqui tem muitos relatórios individualizados ali no únic num único lugar só. E é ali que a gente vai utilizar. Então, eu criei uma um MCP que o único

propósito dele é aqui é listar os últimos relatórios que foram publicados lá no ele vai me listar os cincos últimos. Eh, o que ele vai fazer? Então, aqui eu deixei de usar cursor e eu comecei a usar o cloud, que era para dar um outro exemplo para vocês que você pode utilizar. Tanto o cursor e o cloud são eh editores para você conectar servidores MCP, onde você consegue fazer interação com o chat, ele se comunica com o seu servidor MCP para ele poder executar a automação por trás. Então no cloud me traga os últimos cinco relatórios. Acho que eu nem falei cinco. Aí o que ele vai fazer? Ele vai lá no vai me trazer os últimos cinco

relatórios e vai me dar um contexto sobre o que tá acontecendo aqui. É só uma permissão para ele dar a execução.

E aí ele me trouxe lá. Isso aqui é o tipo de DPI. E aí ele fala os o relatório, relatório XPTO fala sobre o grupo insit. Aí ele fala dos impostos importantes que foram utilizados, as atividades, o segundo relatório apto. Então ele vai me dar o resumo dos cinco últimos relatórios. Então sem ler os últimos cinco relatórios que foram lançados em Torquel, eu já consigo ter um pouco de noção e eu consigo separar aquilo que realmente eu quero ler e aquilo que é irrelevante para mim. Isso facilita muito a vida do analista, porque o cara que tá na linha de frente ali tentando fazer a interpretação sobre um ator de ameaça especificamente, de forma resumida, ele vai saber os últimos

cinco relatórios para ele tá antenado do que tá acontecendo. Beleza? Básico. Se eu subir cinco relatórios pro chat GPT lá via chat, sem automação nenhuma, ele vai fazer isso para mim. Sim, é verdade. Ele vai fazer mesmo. Mas a gente começa a melhorar um pouco mais, né? Acho que voltei. Aí agora o que eu fiz? Ele vai me trazer detalhes do último relatório ou do relatório que eu quiser. E aí é onde eu gero de novo o contexto. Então, lembra que a gente primeiro o papel a gente trouxe uma notícia, gerou contexto, você consegue seguir o mesmo fluxo para um relatório especificamente. Então o que eu falei pro cara ali agora, né, pô?

me traga informações detalhadas do relatório cinco e aí é onde ele começa a trabalhar. Aqui o contexto o meu prompt que eu dei para esse cara aqui, eu pedi para ele executar um relatório mais detalhado com tudo que eu preciso saber. Então percebe que ele vai me dar aqui eu acelerei, mas depois eu passo mais devagar. sabe que ele, ó o tanto de informação que ele me trouxe de um relatório. É um relatório de 10 páginas esse aqui especificamente, mas ó o tanto que ele é mega de informação baseado em contexto. Eu dei um contexto para ele, eu disse para ele do que se tratava, eu consigo fazer o exporte disso para um PDF, para markd,

por exemplo, e ele me deu um contexto gigante de tudo que eu precisava saber sobre aquele relatório. Então eu simplesmente abstrei, abastraí um monte de blá blá blá que geralmente tem relatórios que não me agregam nada e resumi ele. E aí, se você for ver aqui, aqui tá ele falando para mim aqui, ó, evolução de ameaças usando um porshell, né, que ele me deu um resumo mais detalhado além daquele relatório, a abordagem de detecção, as ferramentas que foram utilizadas de forma prática. Então, percebe que ele além dele fazer um relatório para mim baseado num relatório com mais contextualização e uma linguagem mais próxima, ele também me trouxe aqui simplesmente o que eu preciso focar e a vantagem. Eu tô

falando tudo aqui em linguagem em português, eu não preciso fazer a interpretação, por exemplo, relatórios que são muito bons, geralmente é relatório russo e mandarim. Então, por exemplo, eu não entendo nada de russo, muito menos mandarim. Eu tenho muita dificuldade. E se você manda isso para um translator, por exemplo, da vida, a tradução ela fica uma merda. E eu comecei a fazer isso aqui com com o Claudê para pegar esses relatórios e mandarem em russo. Então eu tive uma interpretação sobre esses relatórios muito melhor do que eu tinha antes, porque a minha percepção e entendimento e compreensão, ela acabou, ela deixou de ser difícil e começou a ser muito fácil justamente por essa questão de

contextualização. Então, beleza, tá? Vou trazer mais exemplos para vocês, né? É, tenho 10 minutos, acho que dá tempo. Eu trazer mais exemplo para vocês, tá? É possível fazer o Cint? É, é possível fazer o CINT. Faz parte CTI às vezes, mas não é o nosso foco aqui. Sherlock I. Sherlock I, para quem não conhece, é uma ferramenta brasileira construída pelo Alisson, né? É uma ferramenta que foi construída pelo brasileiro, que tem uma proposta muito legal de você fazer coletas de e eu falei para ele, pô, vou usar o Sharlaki como exemplo para ver a potencialização que você consegue utilizar com o MCP. Vamos lá. Então, basicamente, quando você faz a consulta dentro do Sherlock Ai, é basicamente

esse resultado que você vai ter. A letrinha tá pequena mesmo, porque não era o propósito mostrar a ferramenta do modo geral, mas ele vai dizer para você imagens do cara, nicknames, senhas, se já for vazado, endereço de IPs, um uma breve descrição lá em cima lá feita por IA sobre a detecção, mas vamos usar MCP nesse caso aqui também. Então, qual que é o nosso propósito? Unificar a origem do dados. Ou seja, eu tenho uma única fonte de dados com várias informações e trazer contexto sobre aquele cara para mim. Bora lá. Então, o que eu fiz aqui? Tem um cara chamado se email, onde ele vai fazer a pesquisa de um endereço de e-mail na API dos charis. Beleza? E aí a

gente vai executar nosso cara aqui. Então, não tenho licença poética para usar esse e-mail, mas é o que eu tinha lá. Então, eu vou lá pesquisar. Esse é o resultado da PI lá do Sherlock. E aí ele começa a me trazer lá contextualização. Então vou passar aqui para vocês aqui. Então o que eu tenho aqui? Se vocês observarem no resultado, ele vai me trazer aqui um resumo geral. Então só esse cara teve 50 incidentes de vazamentos, plataformas afetadas, ou seja, quais as plataformas que houve vazamento desse cara? Qual que é o risco que ele tem? Aí eu venho um detalhamento de incidente, né? que essas informações, se você for olhar o output da API, não são detalhes

que ele me que ele me dá, são ele só me diz ferramenta, vazamento, ferramenta, vazamento. Mas se você perceber bem, a contextualização da IA, ela é tão interessante que de forma resumida eu não preciso passar por um JSON gigante. Eu consigo ter mais foco naquilo que eu preciso. Então aqui eu tenho as senhas vazadas, né, os vazamentos em massas, eh o nome provável que esse cara tem, ou seja, mais contexto. tem as plataformas de serviço que ele utiliza. Aí é uma coisa interessante que a gente tava até brincando, tava conversando e falou assim: "Porque você não tenta trazer possíveis hábitos e interesse desse cara?" Falei: "Porra, vamos tentar mesmo ver se dá certo." Aí eu no promp eu pergun, eu coloquei: "Me

traga hábitos e interesses desse cara". Por qu ao nível de investigação, talvez você consiga se aprofundar melhor no hábito e interesse daquele cara a nível de ocint. E aí ele me trouxe aqui, ó. Ele gosta de, geralmente ele escuta a música no Disney, no Spotify, gosta de esporte porque ele utiliza estrava, ele tá cursando idiomas porque usa de línguies, eh, do Ling, tem, eh, tem entendimento sobre programação de tecnologia porque ele utiliza a GitHub e o Team Tree House, gosta de fotografia, provavelmente jogos, provavelmente joga xadrez, assim por diante, né? E aí, eh, se você, a gente tem o detalhe aqui, ele vai trazer para você mais detalhes. Isso aqui são tudos informações da de output da API, tá?

Então ele vai me trazer mais detalhes aqui as redes sociais que ele utiliza e quais são os nicknames. E aqui, como a Iala não foi projetada para você ter, para ter uma mente maliciosa, né, ele traz rico recomendações, mas não é o que eu quero. Eu não quero recomendar nada nenhum, eu quero saber a tudo que ele tem de ruim ali, né? Mas assim, esses exemplos que eu trouxe aqui para vocês, eles são baseados em IAS que foram feitas justamente para você não ter essa finalidade maliciosa. Mas como meio de contextualização, vocês podem usar uma I de vocês, por exemplo, um olama da vida, um tipic de forma offline, tá? Aí, eh, acho que eu aí eu faço um get more info.

O que que esse get more info faz? Eu faço um loop, eu pesquiso mais informações sobre o seu usuário lá dentro do do SH para trazer mais contexto, porque eu tenho lá o e-mail dele, mais um monte de nicknames e mais e-mails dele. É o que eu vou fazer. Tom falou para ele aqui, pô, baseado nesses resultados a nível de investigação, o que poderia ser feito para fazer para obter mais informações sobre esse usuário ou pessoa. E aí ele vai falar para mim lá, porque eu já tenho um contexto, eu já dei todo o contexto para ele e ele vai me dizer a nível de técnica de ocinte o que mais eu posso fazer para conseguir

extrair mais informações sobre esse cara. Eu acho que eu pulei aí. Não, não, não pulei não. É isso mesmo. Bom, é isso. Eh, eu tenho 5 minutos ainda, então se alguém tiver pergunta, fica à vontade para perguntar. Não. Então, acho que é é isso, pessoal. Obrigado por todos terem vindo. Agradeço muito à disposição de vocês. [Aplausos]