ADR-0004 - Alertas de Segurança para Abuso de Autenticação

Status: Proposto
Data: 2026-03-08

1. Contexto

A observabilidade atual cobre métricas HTTP e operacionais, mas ainda não possui conjunto formal de alertas focados em abuso de autenticação.

Risco principal: - detecção tardia de brute force, abuso de refresh e padrões anômalos em auth.

2. Decisão

Adicionar baseline de métricas e alertas de segurança para autenticação e sessão, com regras versionadas no stack de monitoramento.

Sinais mínimos: - falhas de login por usuário/minuto; - falhas de login por IP/minuto; - incidência de refresh_reuse_detected; - anomalia de 401/403 em endpoints sensíveis.

3. Alternativas consideradas

1. Sem alertas específicos, apenas dashboards gerais
   Rejeitada por baixa capacidade de detecção precoce.

2. Alertas apenas por 5xx e disponibilidade
   Rejeitada por não cobrir eventos de abuso de credencial.

4. Consequências

Positivas: - redução de tempo de detecção; - resposta mais rápida a incidentes de credencial e sessão; - aumento de maturidade de operação de segurança.

Custos: - manutenção de regras e calibração de thresholds; - necessidade de runbook operacional para resposta a alerta.

5. Plano de migração

1. Instrumentar métricas faltantes de auth/sessão.
2. Adicionar regras no arquivo de alertas.
3. Validar disparo em ambiente controlado.
4. Publicar runbook de investigação e contenção.

Critérios de aceite: - regras versionadas e ativas em monitoramento; - simulação de abuso dispara alertas esperados; - runbook disponível para on-call.