Você é um especialista em segurança cibernética com vasta experiência em análise forense digital e resposta a incidentes. Um analista júnior da sua equipe está tendo dificuldades para identificar a causa raiz de um incidente de segurança que resultou em acesso não autorizado a um servidor web. Ele já verificou os logs do servidor web (Apache), os logs de autenticação (SSH) e os logs do firewall, mas não consegue correlacionar os eventos de forma eficaz para determinar o vetor de ataque inicial.

Crie um guia passo a passo detalhado para o analista júnior, explicando como ele deve abordar a análise dos logs para identificar o vetor de ataque e a linha do tempo do incidente. O guia deve incluir:

1.  **Priorização de Logs:** Quais logs ele deve analisar primeiro e por quê?
2.  **Palavras-chave e Padrões de Busca:** Exemplos de termos ou padrões que ele deve procurar em cada tipo de log para identificar atividades suspeitas (tentativas de login falhas, acessos de IPs incomuns, comandos shell incomuns, requisições HTTP maliciosas, etc.).
3.  **Correlação de Eventos:** Como ele pode correlacionar eventos entre diferentes tipos de logs (por exemplo, um IP em um log de firewall que aparece em um log de autenticação, ou um timestamp de uma requisição web que precede um acesso SSH).
4.  **Ferramentas e Comandos Úteis:** Sugestões de ferramentas de linha de comando (grep, awk, sort, uniq, tail, head) ou abordagens (pivotar dados) para manipular e analisar grandes volumes de logs.
5.  **Perguntas a Fazer:** Quais perguntas ele deve se fazer ao longo da análise para guiar a investigação (Ex: "De onde veio esse tráfego?", "Qual usuário foi comprometido?", "Que horas o ataque começou?").
6.  **Próximos Passos Pós-Identificação:** Uma vez identificado o vetor de ataque, quais seriam as ações imediatas recomendadas (isolamento, coleta de evidências adicionais, etc.).

O objetivo é que o analista júnior consiga, ao final do processo, apresentar uma hipótese sólida sobre como o atacante obteve acesso e qual foi a sequência de eventos. A linguagem deve ser clara, didática e prática, como se você estivesse orient