📊 Dashboard Operacional
Origem dos ataques (24h)
países • alertas geo-localizados carregando...
Loops detectados
Floods em andamento (4h)
EPS últimas 24h
Pendências por analista
Tickets abertos atribuídos
Top países atacando
Origem geo-localizada dos alertas (Wazuh GeoLocation)
🌐 Origem dos ataques em tempo real
Janela: 30 min • atualiza 15s
🌍 Top atacantes (24h)
🚨 Alertas críticos recentes
level ≥ 10 • atualiza 15s🚨 Alertas
Top regras
Top agents
Top srcip
🖥 Agentes
Visão consolidada dos agentes Wazuh por cliente · auto-refresh 30s
| SOC | Agent | IP | OS | Versão | Last seen | ⚡ |
|---|---|---|---|---|---|---|
| ⚠ | 🟢 🔴 ⊘ … | ↗ | ||||
| Nenhum agente bate nos filtros. Sem agentes pra mostrar. | ||||||
| carregando agentes... | ||||||
📋 Tickets — Kanban
Drag-and-drop entre raias muda assignee no GLPI · Alice triagem em background
🤖 Em triagem
⚡ Aguardando
⭐ Meus chamados
👥 Outros analistas
✅ Resolvido pela Alice
📈 Analytics
Visão histórica agregada ·
| SOC | Total | Críticos | Altos | Tickets | Threat Intel | Auto. | Agentes |
|---|---|---|---|---|---|---|---|
| carregando... sem dados pra esse período (backfill ainda rodando?) | |||||||
📄 Relatório Mensal
Preview do relatório executivo mensal · download PDF disponível
analytics_daily.
Páginas curadas (Tratativas, Planos de Ação, Deep Web) ainda são placeholders — UI editor virá na próxima fase.
Backfill 180d agendado em batches noturnos (charts de 6 meses ficarão completos progressivamente).
Conteúdo curado
Markdown simples (# headers, **bold**, listas com -). Salva por SOC + mês.
✓ Status & Operações do SOC
🎯 MITRE ATT&CK Coverage
Detecções últimos 7 dias por tactic e SOC
| Tactic | |
|---|---|
| Serviço | |
|---|---|
|
—
|
Checks rodando a cada 60s • histórico em service_health
🛡 Threat Intelligence Operacional
IoCs ativos no Wazuh (Spamhaus, Feodo, CINS, ET, Tor, OTX, URLhaus) + AbuseIPDB enrichment
Feeds de IoC ativos por SOC
| SOC | IPs | URLs | Hashes | Última atualização |
|---|---|---|---|---|
Fontes: Spamhaus DROP/EDROP, Feodo Tracker, CINS Score, Emerging Threats, Tor Exits, AlienVault OTX (subscritos), URLhaus (abuse.ch)
🚨 Matches recentes (últimas 24h)
— matches • Top regras:
🔍 Dark Web Inspection
Monitoramento de vazamentos — HaveIBeenPwned + Hudson Rock (infostealer logs)
ver evidência bruta
+ Adicionar à watchlist
ativos / desativados
| Cliente | Tipo | Valor | Notas | Criado | Ações |
|---|---|---|---|---|---|
| vazia | |||||
🛰 Configuração de SOCs
Gerencie SOCs (Wazuh managers) sem editar arquivos. Senhas são criptografadas (Fernet) no DB. Soft-delete: desabilitar mantém o histórico de tickets/eventos.
| Key / Cor | Nome | Manager IP | URLs | Cliente | Status | Ações |
|---|---|---|---|---|---|---|
|
|
API:
Idx:
|
ativo
desativ.
API:
IDX:
|
|
|||
| Nenhum SOC cadastrado. | ||||||
🤖 Alice — Configuração
Toggles de comportamento + editor de prompt. Mudanças aplicam em tempo real, sem deploy.
🛰️ Alice Plantão — Telegram + Cron + Investigador ativo
Ronda a cada 30min + webhook do grupo Telegram + comandos /alice. Logando em hosts via SSH/WinRM pra trazer evidência real.
📋 Últimas ações (cache 24h)
🧠 Knowledge Base (regras de classificação)
🛡️ Whitelist /alice (usernames Telegram)
Edite via /data/soc-knowledge/alice_whitelist.txt (1 username por linha). Quem está aqui pode usar /alice <comando> no grupo SOC.
⚙️ Configuração Plantão
1=imediato, 30=default, 60=relaxado, 720=12h
1=quase sempre, 24=default, 168=semana toda
Última edição: em
Triagem automática (N1)
Alice rodando em background a cada 60s. Triagem rápida com GPT-4.1-mini ($0.0006/ticket). Pega TODO ticket SOC novo sem assignee.
⚠️ ATIVA — processando tickets em background
Pode postar no GLPI
Quando ON, Alice (auto OU manual) pode postar comentários e fechar tickets de verdade no GLPI dos clientes. Quando OFF, tudo fica em modo simulado (DB only).
⚠️ MODIFICANDO TICKETS REAIS — efeito visível no cliente
Investigador manual (botão)
Habilita o botão "🔍 Investigar com Alice" no Kanban. Análise profunda com Claude Sonnet/Haiku + tools (~$0.05/ticket). Não posta no GLPI sem você clicar em "Aplicar".
✓ Disponível pra analistas+
Comportamento atual
Última mudança: ·
Editor de Contexto
System prompt que define como Alice se comporta (identidade, ambiente, ferramentas, decisões).
Última edição: • • versão
🤖 Alice — Agente de triagem L1 DRY-RUN AUTÔNOMA DESLIGADA
Triagem L1 com GPT-4.1-mini ($0.40/$1.60 por MTok). Se confidence ≥ 70% e ação segura, executa fechamento autônomo.
Custo total por modelo (acumulado)
Uso do Chat por usuário
| User | Sessões | Msgs | Tokens | Custo |
|---|---|---|---|---|
| sem uso ainda | ||||
Uso do Agent (tool use) por usuário
| User | Sessões | Msgs | Tokens | Custo |
|---|---|---|---|---|
| sem uso ainda | ||||
Passagens enviadas (últimos 30 dias)
gerando resumo...
Resumo indisponível (verificar chave Anthropic).
Passagens de turno
de registradas
Escala de turno
Dicas
- • Clique ✨ Sugerir rascunho e Claude analisa o turno e gera um draft pronto pra editar
- •
**texto**para negrito - •
- itempara lista - •
#42606vira link automático pro GLPI - • Hover na passagem para editar/excluir
Pergunte algo sobre o estado atual do SOC.
Tenho acesso a status dos ambientes monitorados, loops detectados, tickets pendentes, filtros ativos e últimas passagens de turno.
👥 Gestão de usuários
Time NoBug entra via Google OAuth (auto). Clientes externos: criar com auth local + senha + SOCs atribuídos.
| Usuário | Auth | Papel | SOCs (scope) | Último login | Status | Ações |
|---|---|---|---|---|---|---|
|
|
oauth
local
⚠ trocar senha
|
todos
|
|
|||
| Nenhum usuário cadastrado. | ||||||
📋 Roles & permissões
Agent SOC com acesso real ao ambiente.
Pode executar bash, SSH nos SOCs, queries Wazuh/GLPI, ler arquivos. Cada tool call fica no audit.
Suppression Filters ativos
de filtros — alterações no SOC propagam aqui em ~5min (cron sync)
⚠️ Reinicia o manager Wazuh do SOC selecionado. Demora ~10s.
sem field_match — aplica em todos os eventos da rule/agent
⚡ SOAR — Auto-resposta
Filtro: · ajuste no seletor superior
🔎 Confere se IP está bloqueado
Cruza com EDL pública (29k IPs threat-intel) + edl_only.json (24h Wazuh) + SOAR_BLOCK pfSense
- 🛡
SOAR — podemos implementar no seu ambiente
Estamos monitorando ativamente ataques contra seus assets via Wazuh. Os IPs maliciosos detectados aparecem abaixo apenas como informação — ainda não são bloqueados automaticamente porque seus firewalls não estão integrados ao SOAR.
📋 IPs maliciosos detectados (somente leitura)
Últimos 7d · IPs únicos · seriam bloqueados automaticamente se você tivesse integração SOAR ativa
| IP | Visto | País | Score | Regra | Última detecção | Status |
|---|---|---|---|---|---|---|
| Detectado · sem bloqueio | ||||||
| Nenhum IP malicioso detectado pra você nos últimos 7 dias. 🛡️ | ||||||
➕ Bloqueio manual
Sem dupla validação (AbuseIPDB). Vai pra mesma tabela SOAR_BLOCK nos 2 pfSense.
Origem registrada como cliente: .
🚫 IPs bloqueados agora
| IP | Origem | Score | País | Ação | |
|---|---|---|---|---|---|
| ✓ — |
📈 Por ação (30d, todos SOCs)
🌐 Por manager origem (30d)
📋 Eventos recentes
| Quando | Ação | IP | Score | Manager | SOC | Regra | Motivo |
|---|---|---|---|---|---|---|---|
| 🚫 block ⊘ skip ✓ unblock |
🛡 CloneGuard — Detecção de Sites Clonados
📡 Candidatos detectados
| Sev | Cliente | Domínio real | Suspeito | Fonte | DNS | HTTP/S | Sim% | Login | Score | Title | Status | Visto | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ✓ — | S H — | 🔒 | ↗ |
🕐 Últimos scans
| Target | Cliente | Início | Duração | Candidatos | Alertas | Status |
|---|---|---|---|---|---|---|
📚 Playbooks SI — Resposta a Incidentes
✅ Checklist desta fase
O Claude lê o playbook + estado atual do incidente (steps feitos/pendentes) e sugere prioridades.
☎ Plantão — Escalation Chain
Configuração de quem recebe ligações entrantes no número Twilio .
Plantonista AGORA (escalation order):
💬 Frase de saudação (intro)
${saudacao} e o sistema substitui automaticamente
por Bom dia (5h–12h), Boa tarde (12h–18h) ou Boa noite (18h–5h).
O texto final é o que vai pra voz selecionada (Polly ou ElevenLabs).
🔊 Voz do Plantão (TTS)
Escalation chain configurada ()
| Prio | Nome | Telefone | Role | Janela | Ring | Mensagem | Ativo | Ações |
|---|---|---|---|---|---|---|---|---|
📜 Log de chamadas (últimas 50)
| Quando | Dir | De | Pra | Status | Dur | Plantonista | Motivo |
|---|---|---|---|---|---|---|---|
🔒 Auditoria
Trilha completa de autenticação, ações admin e IPs conhecidos. Apenas leitura.
🔑 Log de Autenticação (últimas 200)
| Quando | Ação | OK? | Motivo | IP | UA | |
|---|---|---|---|---|---|---|
🛠 Ações Administrativas (últimas 200)
| Quando | Quem | Ação | Alvo | Result | IP |
|---|---|---|---|---|---|
🌐 IPs Conhecidos por Usuário
| User | Role | IP | Visto pela 1ª vez | Última vez | UA |
|---|---|---|---|---|---|
🛡 Pentest beta
Pentest automatizado nos domínios monitorados · cobertura OWASP Top 10
Targets
| SOC | Domínio | Autorização | Último scan | Findings | Críticos | Cron | Ações |
|---|---|---|---|---|---|---|---|
| — | |||||||
| Sem targets cadastrados. | |||||||
Autorizar pentest
Target: