DFIR (Forense digital e resposta a incidentes).

As equipas de DFIR atuam durante e após incidentes de segurança para compreender o sucedido, dimensionar o impacto, expulsar o adversário e produzir conclusões com valor probatório. Os fluxos seguem o NIST SP 800-61 para gestão de incidentes e o NIST SP 800-86 / ISO/IEC 27037 para tratamento de evidências, combinando resposta em tempo real (consultas EDR, triagens com KAPE ou Velociraptor) com aquisição forense completa quando necessário. Os analistas cruzam telemetria de endpoint, memória, rede e nuvem para reconstruir TTPs mapeadas no MITRE ATT&CK. Os entregáveis incluem indicadores de comprometimento, causa raiz, orientações de remediação e lições aprendidas que reforçam deteção e prevenção.