Brief Técnico-Ejecutivo · 2026
Detection & Response Fabric · H&I Balam SOC
Plataforma de operaciones de seguridad que convierte alertas en acciones con correlación automática, análisis IA y gestión de incidentes unificada.
Versión 4.14 Idioma Español Clasificación Confidencial Contacto soporte@obsidia.center
01 · Resumen Ejecutivo
¿Qué es OBSIDIA?
OBSIDIA es una plataforma de seguridad operacional (SOC-as-a-Service) que integra detección de amenazas, análisis con inteligencia artificial y gestión automatizada de incidentes en una sola solución. Está diseñada para organizaciones que necesitan visibilidad de seguridad de nivel empresarial en América Latina — desde MX, BR, CO, AR, CL y el resto de la región.
🛡️

Detección Continua

Monitoreo 24/7 de eventos de seguridad sobre todos los agentes de la infraestructura, con correlación automática y priorización por nivel de riesgo.

🤖

Análisis IA — MITRE ATT&CK

Cada alerta crítica es analizada por el motor IA integrado para identificar la táctica MITRE, el impacto potencial y las acciones de remediación recomendadas.

🎫

Gestión de Incidentes

Apertura automática de tickets enriquecidos en osTicket, Jira Service Management o ServiceNow. Cada incidente queda documentado, asignado y trazable.

📊

Visibilidad Ejecutiva

Dashboard en tiempo real con métricas operacionales, feed SSE de eventos, indicadores de riesgo y reportes para auditorías de cumplimiento normativo.

02 · Arquitectura
Diagrama de Componentes
OBSIDIA actúa como capa de orquestación sobre múltiples fuentes de seguridad. Un Normalizador unificado convierte alertas de cualquier origen al formato estándar OBSIDIA antes de procesarlas. Todos los componentes corren en contenedores Docker aislados.
INFRAESTRUCTURA DEL CLIENTE OpenSearch Indexer · :9200 · TLS SIEM Externo API · syslog · REST EDR / Cloud Logs agentes · API · webhooks Normalizador rule · agent · mitre · level dedup · state · fingerprint → Formato estándar OBSIDIA OBSIDIA Core ▸ MITRE ATT&CK Mapping ▸ Kill Chain Analysis ▸ Motor IA — análisis contextual ▸ Dedup · Estado · Polling Engine ▸ Event Store (SQLite WAL) ▸ Heartbeat · Licencias poll: 20s · batch configurable Ticket Dispatcher (routes by config · cuerpo enriquecido) osTicket self-hosted Jira Service Mgmt ServiceNow ITSM VISUALIZACIÓN Dashboard SSE monitor.obsidia.center eventos en tiempo real Admin Portal admin.obsidia.center clientes · licencias LEYENDA Flujo síncrono API / async Heartbeat
03 · Flujo de Operación
Del evento al incidente en 5 pasos
OBSIDIA orquesta automáticamente todo el ciclo de detección-respuesta. El equipo SOC solo recibe los tickets ya enriquecidos, sin trabajo manual de correlación.
01

Recolección — Fuentes de Seguridad

Las fuentes de seguridad — agentes en servidores y endpoints, indexers OpenSearch, SIEM externos y logs de cloud — envían eventos al Normalizador. Soporta múltiples protocolos: API REST, syslog, webhooks y consultas directas a OpenSearch.

02

Normalización — Formato estándar OBSIDIA

El Normalizador convierte eventos heterogéneos al formato estándar OBSIDIA (rule · agent · mitre · level · dedup · state · fingerprint). Cada adaptador es independiente; añadir una nueva fuente no requiere cambios en el core. El Poller Engine deduplica por fingerprint SHA-256 y mantiene estado por ciclo.

03

Análisis IA — MITRE ATT&CK + Kill Chain

Alertas con nivel ≥ 7 (configurable) son procesadas por el motor IA integrado para análisis contextual. Identifica la táctica y técnica MITRE ATT&CK, la fase Kill Chain correspondiente, el impacto potencial y genera recomendaciones de remediación accionables.

04

Creación automática de ticket enriquecido

El Dispatcher construye un ticket con asunto estructurado (severidad · regla · agente) y cuerpo en español que incluye: datos del evento, análisis IA completo, contexto MITRE y pasos de remediación recomendados.

05

Visibilidad y métricas en tiempo real

Cada evento queda registrado en el Event Store (SQLite WAL). El Dashboard SSE lo transmite en tiempo real al equipo SOC. El portal de administración consolida métricas de todos los clientes con heartbeat cada 24h.

04 · Capacidades Técnicas
Cobertura de amenazas — MITRE ATT&CK
Obsidia detecta y correlaciona amenazas mapeadas al framework MITRE ATT&CK Enterprise.
Táctica MITRE Técnicas detectadas Fuente de datos Severidad
Initial Access Brute Force SSH/RDP, exploit público Motor de reglas OBSIDIA CRITICAL
Execution Shell commands, scripts maliciosos Monitor de integridad HIGH
Persistence Modificación de crontab, servicios Monitor de integridad (FIM) HIGH
Privilege Escalation sudo abuse, SUID/SGID Reglas de auditoría HIGH
Defense Evasion Log clearing, rootkits Detector de rootkits MED
Credential Access Password spraying, hash dump Logs de autenticación CRITICAL
Lateral Movement PsExec, SSH tunnels Reglas de red HIGH
Impact Ransomware patterns, data deletion Monitor de comportamiento CRITICAL
Compliance (SCA) CIS Benchmarks · PCI-DSS · LGPD · ISO 27001 · CNBV · INAI Motor de cumplimiento INFO
Especificaciones del Sistema
Fuentes soportadasOpenSearch + adaptadores SIEM/EDR
Análisis IAMotor IA (configurable)
Intervalo de polling20s (configurable)
Tamaño de lote10 alertas / ciclo
Base de datosSQLite 3 · WAL mode
DashboardFastAPI + SSE (push real-time)
ContenedoresDocker Compose
Red interna172.20.0.0/24 · bridge
Sistemas operativosUbuntu 22.04 / 24.04 LTS
RAM mínima recomendada8 GB (full stack)
Almacenamiento mínimo50 GB SSD
Tickets soportadososTicket · Jira · ServiceNow
05 · Planes y Licencias
Opciones de contratación
Todos los planes incluyen la plataforma completa. La diferencia está en el número de agentes monitoreados, el soporte incluido y los complementos de cumplimiento normativo.
Starter
Consultar / mes

  • Hasta 25 agentes
  • Detección en tiempo real
  • Análisis IA básico
  • Integración osTicket
  • Dashboard operacional
  • Soporte por email
Enterprise
A medida / año

  • Agentes ilimitados
  • Multi-tenant / multi-site
  • IA personalizada por industria
  • Integraciones custom
  • SLA 4h crítico / 8h alto
  • SOC as a Service incluido
  • Soporte dedicado