Sentinel SOC Automator é uma Prova de Conceito (POC) de alta fidelidade para automação de triagem e resposta a incidentes de segurança. O sistema integra o Wazuh SIEM com uma interface de ChatOps via Telegram.
⚡ Conceito API: Eu chamo essa abordagem de "Ação Preventiva Imediata".
| Recurso | Descrição |
|---|---|
| 📡 Monitoramento Real-Time | Captura de eventos críticos via integração direta com sistema de arquivos do Wazuh (Sidecar Pattern). |
| 🚨 Triagem Interativa | Alertas formatados no Telegram com botões de ação imediata (Inline Keyboards). |
| 🛡️ Active Response | Bloqueio de IPs atacantes via Firewall (iptables/nftables) através da API do Wazuh. |
| 🧠 Enriquecimento | Integração com Threat Intelligence (AbuseIPDB / VirusTotal) para contexto. |
| ⚔️ Red Team Sim | Módulo de simulação de ataque integrado para validação de regras de detecção. |
O projeto utiliza uma arquitetura de microsserviços containerizados. Abaixo, o fluxo de dados do sistema:
A[Atacante] -->|Brute Force| B(Servidor Alvo)
B -->|Log Event| C[Wazuh Manager]
C -->|Filebeat/Sidecar| D[ Sentinel Bot Python]
D -->|Enriquecimento| E[VirusTotal/AbuseIPDB]
D -->|Alerta JSON| F[Telegram Admin]
F -->|Decisão: BLOQUEAR| D
D -->|API Trigger| C
C -->|Active Response| G[Firewall/Block]
G -.->|Drop Connection| A
- Wazuh Manager: Motor de detecção e correlação de eventos.
- Sentinel Bot (Python): Middleware assíncrono que orquestra a comunicação entre o SIEM e a API do Telegram.
- Docker-to-Docker Volume Mapping: Compartilhamento seletivo de logs para processamento de baixo overhead (Bypass de Indexer).
O Sentinel SOC Automator transforma eventos complexos de segurança em decisões simples.
| 1. Monitoramento de Saúde | 2. Detecção de Intrusão | 3. Resposta Ativa |
 |
 |
 |
| Verificação de conectividade com o motor Wazuh. | Alerta de Brute Force com enriquecimento de dados. | IP isolado do sistema após decisão do analista. |
Nota: O modo
🔍 Ver Log Completopermite uma análise forense detalhada antes da tomada de decisão, reduzindo a incidência de falsos positivos.
- Docker & Docker Compose
- Python 3.11+
- Token de Bot do Telegram (via
@BotFather)
1. Clone o repositório:
git clone https://github.com/PSMatheus01/sentinel-soc-automator.git
cd sentinel-soc-automator2. Configure as variáveis de ambiente:
cp .env.example .env
# Edite o arquivo .env com suas chaves de API e IDs do Telegram3. Inicie a infraestrutura:
docker-compose up -d --build4. Aplique o patch de configuração do Wazuh (Apenas no primeiro boot):
python fix_wazuh.py- Whitelist de Acesso: Apenas IDs de usuários listados no
.envpodem interagir com o bot. - Self-Healing Auth: Gerenciamento automático de expiração de tokens JWT.
Este projeto foi desenhado para ser a base de um ecossistema de segurança distribuído.
-
1. Inteligência Artificial e Resposta Preditiva (AIOps)
- Integração com LLMs (GPT-4/Claude) para análise semântica de logs.
- Sugestão automática de remediação baseada no framework MITRE ATT&CK.
-
2. Expansão de Infraestrutura (Cloud Native)
- Suporte a clusters Kubernetes (K8s) para monitorar Pods.
- Serverless Functions (AWS Lambda) para processamento em escala.
-
3. Central de Inteligência de Ameaças (Threat Intel Hub)
- Conexão nativa com Shodan e GreyNoise para Risk Scoring dinâmico.
-
4. Dashboards de Governança
- Relatórios automáticos de conformidade (LGPD/GDPR) via ELK Stack e Grafana.
Nota Legal: Esta ferramenta foi desenvolvida para fins educacionais e de segurança defensiva. O uso em ambientes de produção deve ser precedido de auditoria de segurança.
Desenhado por PSMatheus01