Através dos estudos conseguimos evoluir e assim fortalecer nossa análise e experiência com novas ferramentas e até mesmo programação dentro delas. Com o tempo, percebemos que não é apenas a teoria que nos transforma, mas a prática constante, os testes, os erros e as descobertas ao longo do caminho.
Neste texto, registramos a tentativa de criar um ambiente virtual para estudos de segurança da informação. A ideia é montar uma estrutura que simule situações reais, ainda que em pequena escala. Essa jornada começou com o planejamento de três máquinas virtuais, cada uma com uma função bem definida:
Windows Server 2022: será o ambiente vulnerável;
Windows 10: nossa máquina analista, onde instalaremos ferramentas como Splunk e/ou Wazuh;
Kali Linux: nossa máquina atacante, equipada para simular tentativas de invasão e coleta de dados.
VirtualBox: nossa plataforma de virtualização. Para cada VM, definimos as seguintes configurações mínimas:
Windows Server 2022: 2 vCPUs, 4 GB de RAM, 50 GB de disco, rede em modo interno (ou host-only).
Windows 10 (analista): 2 vCPUs, 4–6 GB de RAM, 60 GB de disco, mesma rede que o servidor.
Kali Linux (atacante): 2 vCPUs, 2 GB de RAM, 30 GB de disco, rede em modo bridge ou interno (dependendo do teste).
Além disso, habilitamos o suporte à virtualização no BIOS e ajustamos as placas de rede para que todas as máquinas pudessem se comunicar entre si em um ambiente fechado, sem expor as VMs diretamente à internet.
Com as máquinas prontas, partimos para as instalações. A ISO do Windows Server 2022 foi obtida diretamente do site da Microsoft, em sua versão de avaliação:
https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-2022
Já o Windows 10 Home, usado como máquina analista, foi instalado com a ISO oficial via Media Creation Tool:
https://www.microsoft.com/software-download/windows10
O Kali Linux foi baixado direto do site da Offensive Security:
https://www.kali.org/get-kali/
Na máquina analista, instalamos o Splunk Free, versão gratuita para testes. Durante a instalação, optamos pelas configurações padrão: porta 8000, usuário admin criado na primeira execução, e habilitamos o início automático do serviço.
https://www.splunk.com/en_us/download/splunk-enterprise.html
No Windows Server, instalamos o Splunk Universal Forwarder, responsável por enviar os logs para a máquina analista. A instalação envolveu configurar os inputs de eventos do sistema e apontar o forwarder para o IP da máquina analista com a porta 9997 (padrão do Splunk).
https://www.splunk.com/en_us/download/universal-forwarder.html
Este ambiente básico já nos permite testar conexões, coleta de logs e realizar análises em tempo real. A estrutura também pode ser expandida com ferramentas como o Wazuh (um SIEM gratuito baseado no OSSEC), o Wireshark para captura de tráfego, ou ainda scripts de automação com o N8N, que futuramente pode ser utilizado para gerar alertas, dashboards ou até mesmo interações entre eventos e respostas automáticas.
Finalizamos este registro destacando que, embora o foco seja técnico, a prática nos traz respostas reais e domínio de ferramentas que, no dia a dia de um SOC, fazem toda a diferença. Com cada log analisado, cada pacote interceptado e cada alerta interpretado, aprendemos mais sobre como proteger e responder melhor. O retorno virá, seja em forma de aprendizado, seja em forma de preparo técnico. Seguimos.