Visualizando a Descoberta de Arquivos Sensíveis no Google SecOps com a Árvore de Decisão do Uncoder AI

[post-views]
Abril 24, 2025 · 5 min de leitura
Visualizando a Descoberta de Arquivos Sensíveis no Google SecOps com a Árvore de Decisão do Uncoder AI

Nos ambientes híbridos de hoje, ferramentas legítimas como o Notepad podem ser usadas silenciosamente para visualizar ou preparar dados sensíveis, como arquivos de senhas—especialmente por insiders ou atores de ameaças de baixa velocidade. Enquanto Google SecOps (UDM) suporta detecções altamente específicas, a lógica por trás delas é frequentemente em camadas e complexa.

É por isso que a Árvore de Decisão gerada por IA do Uncoder AI se tornou um ativo essencial—ajudando analistas não apenas a ler, mas compreender e agir sobre a lógica de detecção mais rápido.

Explore o Uncoder AI

Foco em Detecção: Acesso a Arquivos de Senhas via Notepad

Esta regra rastreia quando:

  • Um lançamento de processo é acionado por explorer.exe
  • O processo iniciado é notepad.exe
  • A linha de comando faz referência a nomes de arquivos contendo “password” com extensões como .txt, .csv, .doc, ou .xls
Entrada que usamos (clique para mostrar o texto)
metadata.event_type = “PROCESS_LAUNCH” and principal.process.file.full_path = /.*\\explorer\.exe$/ nocase and target.process.file.full_path = /.*\\notepad\.exe$/ nocase and (target.process.command_line = /.*password*\.txt$/ nocase or target.process.command_line = /.*password*\.csv$/ nocase or target.process.command_line = /.*password*\.doc$/ nocase or target.process.command_line = /.*password*\.xls$/ nocase)
Such patterns could signal:

  • Acesso interno a credenciais em texto plano
  • Examinação não autorizada de listas de senhas exportadas
  • Uso indevido de ferramentas básicas do sistema operacional para reconhecimento ou vazamento de dados

Como a Árvore de Decisão gerada por IA Ajudou

Uncoder AI transformou automaticamente a consulta UDM em uma árvore de lógica estruturada, revelando:

  • Verificação de Tipo de Evento – Apenas eventos PROCESS_LAUNCH são considerados
  • Filtro de Processo Pai – Deve ser explorer.exe (o usuário abre o arquivo manualmente)
  • Filtro de Processo Iniciado – Deve ser notepad.exe
  • Correspondência de Nome de Arquivo – A linha de comando deve incluir termos como password.txt, password.csv, etc.

Cada ramo da lógica é claramente explicado, com padrões regex visualizados como condições OR sob um único nó. Isso reduz a dificuldade em entender e documentar o que está sendo detectado—e por quê.

Resultado da IA (clique para mostrar o texto)
A parte da condição desta consulta do Google SecOps pode ser decomposta numa árvore de decisão da seguinte forma:

Nó raiz: metadata.event_type = “PROCESS_LAUNCH”

Este é o filtro inicial, garantindo que apenas eventos relacionados com o lançamento de processos sejam considerados.

Primeiro nó de ramificação: principal.process.file.full_path = /.*\explorer.exe$/ nocase

A partir dos processos lançados, esta condição filtra especificamente os casos em que o processo lançador (principal) é o explorer.exe.

A flag nocase torna a correspondência insensível a maiúsculas/minúsculas.

Segundo nó de ramificação: target.process.file.full_path = /.*\notepad.exe$/ nocase

Esta condição restringe ainda mais os eventos aos casos em que o processo de destino (aquele que está a ser lançado) é notepad.exe.

Tal como antes, nocase assegura que a correspondência não diferencia maiúsculas de minúsculas.

Terceiro nó de ramificação (condição composta):

(target.process.command_line = /.*password*.txt$/ nocase or target.process.command_line = /.*password*.csv$/ nocase or target.process.command_line = /.*password*.doc$/ nocase or target.process.command_line = /.*password*.xls$/ nocase)
   – Esta condição verifica se a linha de comandos do processo notepad.exe contém referências a ficheiros com nomes que incluam “password” seguidos pelas extensões .txt, .csv, .doc ou .xls (sem diferenciação de maiúsculas/minúsculas).
  – Condições OR:
     – target.process.command_line = /.*password*.txt$/ nocase
     – target.process.command_line = /.*password*.csv$/ nocase
     – target.process.command_line = /.*password*.doc$/ nocase
     – target.process.command_line = /.*password*.xls$/ nocase
  – Neste ponto, a árvore de decisão segue uma lógica OR: basta que uma destas condições seja verdadeira para satisfazer a condição global.

Lógica da árvore de decisão
Começa com todos os eventos de lançamento de processos.

Filtra apenas os lançados por explorer.exe.

Filtra ainda mais para manter apenas os que lançam o notepad.exe.

Por fim, verifica se a linha de comando do notepad.exe indica a abertura de um ficheiro cujo nome contenha “password” e uma das extensões especificadas (.txt, .csv, .doc, .xls).

Resultado final
A consulta identifica possíveis riscos de segurança nos quais ficheiros sensíveis (que contêm palavras-passe) estão a ser abertos pelo notepad.exe, lançado a partir do explorer.exe. Tal comportamento pode indicar acesso não autorizado ou manuseamento indevido de informações confidenciais.

Por Que Isso Importa

As equipes de segurança investigando uso indevido de credenciais ou possíveis ameaças internas frequentemente têm dificuldade em explicar how como uma regra de detecção realmente funciona. Com o Uncoder AI, as suposições desaparecem.

O resultado?

  • Início mais rápido dos analistas
  • Documentação de detecção mais limpa
  • Triagem e escalonamento de incidentes mais confiantes

Se você está caçando ameaças ou validando conformidade, entender quem abriu password.xls a partir de explorer.exe via Notepad pode fazer ou quebrar sua investigação.

Da Consulta à Clareza, Sem Esforço

Google SecOps oferece capacidades de detecção poderosas—e com a Árvore de Decisão gerada por IA do Uncoder AI, essas capacidades se tornam transparentes, ensináveis e implantáveis em qualquer SOC.

Explore o Uncoder AI

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas