Resumo Técnico-Executivo · 2026
Detection & Response Fabric · H&I Balam SOC
A plataforma de operações de segurança para a América Latina que transforma alertas em ações com correlação automática, análise por IA e gestão unificada de incidentes.
Versão 4.14 Idioma Português Classificação Confidencial Contato suporte@obsidia.center
01 · Resumo Executivo
O que é o OBSIDIA?
OBSIDIA é uma plataforma de operações de segurança (SOC-as-a-Service) que integra detecção de ameaças, análise com inteligência artificial e gestão automatizada de incidentes em uma única solução. Desenvolvida para organizações que precisam de visibilidade de segurança de nível corporativo sem a complexidade e o custo de um SOC tradicional.
🛡️

Detecção Contínua

Monitoramento 24/7 de eventos de segurança de múltiplas fontes — indexers OpenSearch, SIEMs externos, agentes EDR e logs de cloud — com correlação automática e priorização por nível de risco.

🤖

Análise IA — MITRE ATT&CK + Kill Chain

Cada alerta crítico é processado pelo motor de IA integrado para identificar a tática e técnica MITRE ATT&CK, a fase Kill Chain correspondente, o impacto potencial e recomendações de remediação.

🎫

Gestão de Incidentes

Abertura automática de tickets enriquecidos no osTicket, Jira Service Management ou ServiceNow. Cada incidente é documentado, atribuído e rastreável.

📊

Visibilidade Executiva

Dashboard em tempo real com métricas operacionais, feed SSE de eventos, indicadores de risco e relatórios prontos para auditorias de conformidade.

02 · Arquitetura
Diagrama de Componentes
O OBSIDIA opera como uma camada de orquestração agnóstica à fonte. Um Normalizador converte eventos heterogêneos ao formato padrão antes de chegarem ao Core engine. Todos os componentes executam em contêineres Docker isolados por uma rede interna dedicada.
INFRAESTRUTURA DO CLIENTE OpenSearch Indexer :9200 · REST API SIEM Externo API · syslog · REST EDR / Cloud Logs agentes · API · webhooks Normalizador rule · agent · mitre · level dedup · state · fingerprint → Formato padrão OBSIDIA OBSIDIA Core ▸ MITRE ATT&CK Mapping ▸ Kill Chain Analysis ▸ Motor IA — análise contextual ▸ Dedup · Estado · Polling Engine ▸ Event Store (SQLite WAL) ▸ Heartbeat · Licenciamento poll: 20s · lote configurável Dispatcher de Tickets (roteamento por config · corpo enriquecido) osTicket self-hosted Jira Service Mgmt ServiceNow ITSM VISUALIZAÇÃO Dashboard SSE monitor.obsidia.center eventos em tempo real Portal Admin admin.obsidia.center clientes · licenças LEGENDA Fluxo síncrono API / assíncrono Heartbeat
03 · Fluxo de Operação
Do evento ao incidente em 5 etapas
O OBSIDIA orquestra automaticamente todo o ciclo de detecção-resposta. A equipe SOC recebe apenas os tickets já enriquecidos, sem trabalho manual de correlação.
01

Coleta — Fontes de Segurança

As fontes de segurança — agentes em servidores e endpoints, indexers OpenSearch, SIEMs externos e logs de cloud — alimentam o Normalizador com eventos. São suportados múltiplos protocolos: REST API, syslog, webhooks e consultas diretas ao OpenSearch.

02

Normalização — Formato padrão OBSIDIA

O Normalizador converte eventos heterogêneos ao esquema padrão OBSIDIA (rule · agent · mitre · level · dedup · state · fingerprint). Cada adaptador é independente; adicionar uma nova fonte não requer alterações no core. O Poller Engine deduplica via fingerprint SHA-256 e mantém estado por ciclo.

03

Análise IA — MITRE ATT&CK + Kill Chain

Alertas com nível ≥ 7 (configurável) são processados pelo motor de IA integrado para análise contextual. Identifica a tática e técnica MITRE ATT&CK, a fase Kill Chain correspondente, o impacto organizacional potencial e gera recomendações de remediação acionáveis.

04

Criação automática de ticket enriquecido

O Dispatcher cria um ticket com assunto estruturado (severidade · regra · agente) e corpo contendo: dados completos do evento, análise IA completa, contexto MITRE e etapas de remediação recomendadas.

05

Visibilidade e métricas em tempo real

Cada evento é armazenado no Event Store (SQLite WAL). O Dashboard SSE transmite os dados em tempo real para a equipe SOC. O portal admin consolida métricas de todos os clientes via heartbeat a cada 24h.

04 · Capacidades Técnicas
Cobertura de ameaças — MITRE ATT&CK
O OBSIDIA detecta e correlaciona ameaças mapeadas ao framework MITRE ATT&CK Enterprise.
Tática MITRETécnicas detectadasFonte de dadosSeveridade
Initial AccessForça bruta SSH/RDP, exploit públicoMotor de regras OBSIDIACRÍTICO
ExecutionComandos shell, scripts maliciososMonitor de integridadeALTO
PersistenceModificação de crontab, serviçosMonitor de integridade (FIM)ALTO
Privilege Escalationsudo abuse, SUID/SGIDRegras de auditoriaALTO
Defense EvasionLimpeza de logs, rootkitsDetector de rootkitsMÉDIO
Credential AccessPassword spraying, hash dumpLogs de autenticaçãoCRÍTICO
Lateral MovementPsExec, túneis SSHRegras de redeALTO
ImpactPadrões de ransomware, exclusão de dadosMonitor de comportamentoCRÍTICO
Compliance (SCA)CIS Benchmarks, PCI-DSS, LGPDMotor de conformidadeINFO
Especificações do Sistema
Fontes suportadasOpenSearch + adaptadores SIEM/EDR
Análise IAMotor IA (configurável)
Intervalo de polling20s (configurável)
Tamanho do lote10 alertas / ciclo
Banco de dadosSQLite 3 · modo WAL
DashboardFastAPI + SSE (push real-time)
ContêineresDocker Compose
Rede interna172.20.0.0/24 · bridge
Sistemas operacionaisUbuntu 22.04 / 24.04 LTS
RAM mínima recomendada8 GB (stack completo)
Armazenamento mínimo50 GB SSD
Sistemas de ticketsosTicket · Jira · ServiceNow
05 · Planos e Licenciamento
Opções de contratação
Todos os planos incluem a plataforma completa. A diferença está no número de agentes monitorados, nível de suporte incluído e complementos de conformidade.
Starter
Consulte / mês

  • Até 25 agentes
  • Detecção em tempo real
  • Análise IA básica
  • Integração osTicket
  • Dashboard operacional
  • Suporte por e-mail
Enterprise
Sob medida / ano

  • Agentes ilimitados
  • Multi-tenant / multi-site
  • IA personalizada por setor
  • Integrações customizadas
  • SLA 4h crítico / 8h alto
  • SOC as a Service incluído
  • Suporte dedicado