# SDR — C3: SOC, deteção, resposta (ETIR, CTIR Gov, CISC Gov.br)

> **Eixo:** `Modelo de Servicos` (Modelo de Servicos | Arquitetura Contratual | Ambos)

| Campo | Valor |
|-------|-------|
| **Pai** | [sdr-0016-seguranca-c3-continuidades.md](./sdr-0016-seguranca-c3-continuidades.md) |
| **SSoT** | Sim — dono do recorte **SOC / SIEM / deteção / resposta** e interface com **ETIR** e órgãos de governo |
| **Estado** | âncora |

---

## 1. Finalidade

Definir regras construtíveis do contrato C3 para **monitoração 24/7**, **SIEM**, **triagem**, **resposta a incidente** e **gestão de logs**, alinhadas ao **PPSI** e às **NCs DSIC/GSIPR**. A **ETIR** é a equipe **institucional** da Administração; o fornecedor C3 **opera** SOC/CSIRT em contrato e **interfaceia** com ETIR, **CTIR Gov** e **CISC Gov.br** conforme o PPSI.

---

## 2. Instrumentos de governo (prioridade)

- **PPSI** — medidas 17.1–17.9 (gestão de incidentes), 8.1 (logs de auditoria); ver [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md).
- **IN GSI/PR nº 1/2020** — arts. 19–20 (Gestor de SI, Comitê de SI, contexto da ETIR).
- **NC nº 05/IN01/DSIC/GSIPR** — constituição e funcionamento da **ETIR**.
- **NC nº 08/IN01/DSIC/GSIPR** — processo de gestão de incidentes de SI.
- **NC nº 21/IN01/DSIC/GSIPR** — requisitos de registro, revisão e armazenamento de **logs de auditoria**; complemento a incidentes.

**Padrões de mercado (complemento):** NIST SP 800-61 r2 (CSIRC); ISO/IEC 27035; MITRE ATT&CK; MITRE D3FEND.

---

## 3. Regras canônicas (recorte)

- SOC **24/7** em estrutura própria do fornecedor C3; escalonamento interno L1/L2/L3 do SOC (distinto do N1–N3 do C2).
- SIEM com casos de uso documentados, *tuning* e métricas de qualidade de alerta.
- Comunicação de incidente: **ETIR** ↔ fornecedor C3; notificação mínima a **CTIR Gov** e **CISC Gov.br** conforme matriz do órgão (PPSI 17.2).
- RPI (relatório pós-incidente) com prazo e ações; evidência preservada (cadeia de custódia).
- *Handover* ao C2 para execução técnica (bloqueio, isolamento, restauração) quando fora do escopo direto do C3.
- **IR operacional** (contenção, restauração, preservação de evidência) **não** é **suspenso** por disputa de **nexo** ou **glosa** em curso no C1-GOV; a **medição** e **imputação contratual** seguem **após** o **fechamento técnico** do incidente, **salvo** regra **explícita** em contrário no ANS. Comportamento trilateral: [sdr-0011c](./sdr-0011c-c1-trilateralidade-cobranca-mutua.md) §4.

---

## 4. Itens PPSI endereçados (amostra — controle 17 e 8.1)

| Medida | Descrição curta | C1 | C2 | C3 |
|--------|------------------|----|----|-----|
| 17.1 | Responsável ETIR (institucional) | Ateste | — | Apoio técnico |
| 17.2 | Contatos CTIR Gov / CISC Gov.br | Cadastro no ITSM | — | Manutenção, teste |
| 17.4 | Processo de gestão de incidentes | Medição, IMR | Execução | SOC, *playbooks* |
| 17.5 | Funções e responsabilidades | RACI medido | Execução | CSIRT contratual |
| 17.6 | Mecanismos de comunicação | Canal primário/secundário | — | Orquestração com ETIR |
| 17.7 | Exercícios de tratamento | Evidência | Participação | Condução técnica |
| 17.8 | Análises pós-incidente | Ateste RPI | Dados operacionais | RPI, causa raiz |
| 17.9 | Evento vs incidente | Indicador | — | SOC, taxonomia |
| 8.1 | Gestão de logs de auditoria | Retenção, conformidade | Coleta | SIEM, NC 21 |

---

## 5. LACUNA-GSI-DSIC

Arquitetura detalhada de **EDR**, correlação avançada, *threat hunting* e *SOAR*: **LACUNA-GSI-DSIC** — citar NIST SP 800-61 r2, CIS Control 8.

---

## Ligações

- [sdr-0016](./sdr-0016-seguranca-c3-continuidades.md)
- [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md)
- [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md)
- [sdr-0006](./sdr-0006-operacao-c2-niveis-capacidade.md)

---

## Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos `SDRs/sdr-*.md` (exceto `SDRs/templates/` e normas em `SDRs/governance/`). Este bloco é **informativo**; use o script na raiz do repositório para diagnóstico estrutural.

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).