Última atualização: 23 de maio de 2026
Achados de Segurança
Um Achado de Segurança é uma única condição relevante para segurança que você pode revisar, agir sobre, suprimir ou resolver. Os achados são o centro do Guara Shield. Toda fonte (vulnerabilidades, verificações de serviço, logs de fluxo, segredos expostos, sinais de risco em runtime) escreve no mesmo modelo de achado, com o mesmo ciclo de vida e as mesmas ações de triagem.
Se você só for aprender uma superfície do Shield, aprenda esta.
O que um achado contém
Todo achado carrega os mesmos campos, independente da fonte que o produziu:
| Campo | O que ele te diz |
|---|---|
| Título | Um nome curto e legível (ex.: “CORS aberto em endpoint público”, “CVE crítica em imagem de container”). |
| Fonte | Qual capacidade do Shield produziu: verificação de vulnerabilidades, verificação de serviço, log de fluxo, segredo exposto, detecção em runtime ou explicação por IA. |
| Severidade | crítica, alta, média, baixa ou info. |
| Confiança | Quão certo o Shield está sobre este achado: alta, média ou baixa. Útil para filtrar detectores ruidosos. |
| Status | Onde está no ciclo de vida, veja abaixo. |
| Escopo | Sempre vinculado à sua conta; opcionalmente restrito a um projeto e a um serviço específico. |
| Evidência | Evidência estruturada, limitada e redigida, nunca corpos brutos, pacotes, segredos ou logs sem limite. |
| Remediação | Orientação concreta sobre o que mudar. Alguns achados incluem links diretos para o serviço ou configuração afetada. |
| Visto primeiro / último | Quando o Shield notou esta condição pela primeira vez e quando a reconfirmou pela última. |
O ciclo de vida
Os achados percorrem uma máquina de estados pequena e explícita:
aberto ─► reconhecido ─► resolvido
│ ▲
├──► suprimido (até …) ──────┘
└──► falso_positivoaberto, recém-observado. Conta para o seu score de postura.reconhecido, alguém do time viu e aceitou como real, mas ainda não corrigiu. Permanece contando.resolvido, a condição subjacente desapareceu. Ou você corrigiu e uma verificação posterior confirmou, ou o recurso afetado foi removido.suprimido, você ocultou o achado explicitamente, opcionalmente até uma data. Útil para riscos conhecidos e aceitos ou problemas de terceiros que você não pode corrigir hoje.falso_positivo, o achado estava errado. Suprimir como falso positivo ajuda a ajustar os detectores ao longo do tempo.
Diretrizes de severidade
O Shield atribui severidade a partir do próprio sistema de pontuação da fonte, não de uma heurística global única. Alguns exemplos:
- Achados de vulnerabilidade herdam severidade CVSS do banco de vulnerabilidades, ponderada pela exposição da imagem (uma CVE crítica em um serviço interno inalcançável ainda é reportada como crítica, mas a correlação do Shield pode reduzir a urgência se a carga não tiver tráfego externo).
- Achados de verificação de serviço são mapeados para severidade pela checagem específica. CORS aberto é
alta, ausência deX-Content-Type-Optionsébaixaem endpoints HTML, e lacunas controladas pela plataforma são registradas como contexto, não como achados. - Sinais de risco em runtime pesam evidência observada (ex.: uma carga vulnerável recebendo tráfego é severidade maior do que uma carga vulnerável em repouso).
Ações de triagem
Toda linha de achado suporta as mesmas ações:
| Ação | Quando usar |
|---|---|
| Reconhecer | Você viu; vai cuidar disso; não trate como novidade. |
| Resolver | O problema subjacente foi corrigido. O Shield reabrirá o achado se uma verificação posterior o observar novamente. |
| Suprimir até … | Esconda por uma janela definida. Bom para CVEs aguardando correção do fornecedor ou descontinuações planejadas. |
| Marcar como falso positivo | O detector errou. Ajuda a ajustar o detector e silencia a mesma condição daqui pra frente. |
| Explicar esta ameaça | Abre uma explicação em linguagem clara gerada por IA. Veja Explicar esta Ameaça. |
Ações de triagem são otimistas, a UI atualiza imediatamente. Se algo falhar no servidor, você verá um erro claro e a linha reverterá.
Evidência e remediação
Cada achado inclui um objeto evidência estruturado, uma lista limitada de itens tipados (um cabeçalho amostrado, um hostname, uma referência de imagem, um nome de carga) mais um resumo curto. A evidência é intencionalmente limitada em tamanho e sempre redigida:
- Sem corpos brutos de requisição ou resposta HTTP.
- Sem payloads de pacotes.
- Sem valores brutos de segredos, mesmo que o achado seja sobre exposição de segredos.
- Sem logs sem limite ou telemetria de alta cardinalidade.
Remediação é um campo separado e estruturado com orientação acionável. Onde o Shield consegue criar deep link para o serviço, projeto, variável de ambiente ou deploy afetados, a remediação incluirá esse link.
Deduplicação
A mesma condição só abre um achado. Se uma verificação de serviço encontra CORS aberto no mesmo endpoint verificação após verificação, o Shield atualiza o last_seen_at do achado existente em vez de criar duplicatas. Isso mantém a caixa de entrada honesta: cada linha representa uma condição distinta e atual.
Se a condição desaparecer (uma verificação posterior não a observa mais), o Shield resolve o achado automaticamente. Você o verá mover para resolvido na linha do tempo.
Filtragem e busca
A caixa de entrada de achados suporta filtros por:
- Escopo, conta, projeto específico ou serviço específico.
- Severidade, seleção múltipla.
- Status, incluindo ocultar suprimidos e resolvidos por padrão.
- Fonte, restringir a uma capacidade por vez.
Combine filtros para focar, por exemplo, em “achados abertos altos e críticos de verificações de serviço apenas em projetos de produção”.
Escopo de projeto e serviço
Os achados também aparecem na aba Segurança de cada projeto e cada serviço. A lista usa o mesmo componente da caixa de entrada da conta, pré-filtrada para aquele escopo. Veja Segurança em Projetos e Serviços para o mapa completo.
Como os achados se encaixam no seu fluxo
Os achados vivem na sua caixa de entrada de triagem. O acionamento é opcional: você escolhe quais achados escalam para notificações. O Shield registra mudanças de estado de achado como Eventos de Segurança, que você pode rotear pelas suas preferências de notificação em outras partes da Guara Cloud.
Os achados são um registro de condições atuais relevantes para segurança, não uma fila que você precisa zerar. Alguns são risco aceito, outros aguardam fornecedor, outros são controlados pela plataforma. O objetivo é consciência honesta e triagem disciplinada.
Para onde ir agora
- Veja a linha do tempo completa de mudanças de estado de achado em Eventos de Segurança.
- Quer uma leitura rápida sobre um achado? Explicar esta Ameaça.
- Veja a postura agregada de todos os seus achados em Relatórios e Postura.