Fonte: SDRs/sdr-0016a-c3-soc-deteccao-resposta.md
SDR — C3: SOC, deteção, resposta (ETIR, CTIR Gov, CISC Gov.br)
Eixo:
Modelo de Servicos(Modelo de Servicos | Arquitetura Contratual | Ambos)
| Campo | Valor |
|---|---|
| Pai | sdr-0016-seguranca-c3-continuidades.md |
| SSoT | Sim — dono do recorte SOC / SIEM / deteção / resposta e interface com ETIR e órgãos de governo |
| Estado | âncora |
1. Finalidade
Definir regras construtíveis do contrato C3 para monitoração 24/7, SIEM, triagem, resposta a incidente e gestão de logs, alinhadas ao PPSI e às NCs DSIC/GSIPR. A ETIR é a equipe institucional da Administração; o fornecedor C3 opera SOC/CSIRT em contrato e interfaceia com ETIR, CTIR Gov e CISC Gov.br conforme o PPSI.
2. Instrumentos de governo (prioridade)
- PPSI — medidas 17.1–17.9 (gestão de incidentes), 8.1 (logs de auditoria); ver sdr-0014a.
- IN GSI/PR nº 1/2020 — arts. 19–20 (Gestor de SI, Comitê de SI, contexto da ETIR).
- NC nº 05/IN01/DSIC/GSIPR — constituição e funcionamento da ETIR.
- NC nº 08/IN01/DSIC/GSIPR — processo de gestão de incidentes de SI.
- NC nº 21/IN01/DSIC/GSIPR — requisitos de registro, revisão e armazenamento de logs de auditoria; complemento a incidentes.
Padrões de mercado (complemento): NIST SP 800-61 r2 (CSIRC); ISO/IEC 27035; MITRE ATT&CK; MITRE D3FEND.
3. Regras canônicas (recorte)
- SOC 24/7 em estrutura própria do fornecedor C3; escalonamento interno L1/L2/L3 do SOC (distinto do N1–N3 do C2).
- SIEM com casos de uso documentados, tuning e métricas de qualidade de alerta.
- Comunicação de incidente: ETIR ↔ fornecedor C3; notificação mínima a CTIR Gov e CISC Gov.br conforme matriz do órgão (PPSI 17.2).
- RPI (relatório pós-incidente) com prazo e ações; evidência preservada (cadeia de custódia).
- Handover ao C2 para execução técnica (bloqueio, isolamento, restauração) quando fora do escopo direto do C3.
- IR operacional (contenção, restauração, preservação de evidência) não é suspenso por disputa de nexo ou glosa em curso no C1-GOV; a medição e imputação contratual seguem após o fechamento técnico do incidente, salvo regra explícita em contrário no ANS. Comportamento trilateral: sdr-0011c §4.
4. Itens PPSI endereçados (amostra — controle 17 e 8.1)
| Medida | Descrição curta | C1 | C2 | C3 |
|---|---|---|---|---|
| 17.1 | Responsável ETIR (institucional) | Ateste | — | Apoio técnico |
| 17.2 | Contatos CTIR Gov / CISC Gov.br | Cadastro no ITSM | — | Manutenção, teste |
| 17.4 | Processo de gestão de incidentes | Medição, IMR | Execução | SOC, playbooks |
| 17.5 | Funções e responsabilidades | RACI medido | Execução | CSIRT contratual |
| 17.6 | Mecanismos de comunicação | Canal primário/secundário | — | Orquestração com ETIR |
| 17.7 | Exercícios de tratamento | Evidência | Participação | Condução técnica |
| 17.8 | Análises pós-incidente | Ateste RPI | Dados operacionais | RPI, causa raiz |
| 17.9 | Evento vs incidente | Indicador | — | SOC, taxonomia |
| 8.1 | Gestão de logs de auditoria | Retenção, conformidade | Coleta | SIEM, NC 21 |
5. LACUNA-GSI-DSIC
Arquitetura detalhada de EDR, correlação avançada, threat hunting e SOAR: LACUNA-GSI-DSIC — citar NIST SP 800-61 r2, CIS Control 8.
Ligações
Agentes de conformidade (Cursor)
Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos SDRs/sdr-*.md (exceto SDRs/templates/ e normas em SDRs/governance/). Este bloco é informativo; use o script na raiz do repositório para diagnóstico estrutural.
| Agente | Regra Cursor | Norma em SDRs/governance/rules/ |
|---|---|---|
| Verificador de conformidade SDR | sdr-conformity-checker.mdc |
sdr-conformity-checker.md |
| Detector de implementação sem vínculo SDR | implementation-without-sdr-detector.mdc |
implementation-without-sdr-detector.md |
| Anti-vibecoding sem SDR | no-vibecoding-without-sdr.mdc |
no-vibecoding-without-sdr.md |
Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).