📊 Dashboard Operacional

Origem dos ataques (24h)

países • alertas geo-localizados carregando...

Loops detectados

Floods em andamento (4h)

Nenhum loop detectado nas últimas 4h.

EPS últimas 24h

carregando timeline...

Pendências por analista

Tickets abertos atribuídos

Nenhum ticket atribuído.

Top países atacando

Origem geo-localizada dos alertas (Wazuh GeoLocation)

carregando...

Artefatos técnicos

arquivos disponíveis

carregando...

Sem artefatos. Salve em /data/soc-knowledge/<cliente>/ no servidor.

Eventos processados (24h)
processando eps agora
Origens detectadas
países
alertas geo-localizados
IoCs ativos
+ URLs maliciosas
MITRE ATT&CK Coverage
de 14 táticas em produção
Auto-resolvidos (Alice 30d)
matches IoC × alerta (24h)

🌐 Origem dos ataques em tempo real

baixo médio crítico
Threat Level

Threat Score / 100
Crítico
L≥12
Alto
L10-11
Médio
L7-9
Baixo
L5-6

Janela: 30 min • atualiza 15s

📡 LIVE FEED

🌍 Top atacantes (24h)

🚨 Alertas críticos recentes

level ≥ 10 • atualiza 15s
✓ Sem alertas críticos na última meia hora

🚨 Alertas

Janela:
Agent:
Rule:
Origem:
Mostrando de eventos · auto-refresh 60s

Top regras

Top agents

Top srcip

Quando L Rule SOC Agent Src IP Descrição Ticket
✓ Nenhum alerta crítico nas últimas ✓ Nenhum alerta alto nas últimas
Tente expandir a janela:
carregando alertas...

🖥 Agentes

Visão consolidada dos agentes Wazuh por cliente · auto-refresh 30s

🔍
de agentes
SOC Agent IP OS Versão Last seen
Nenhum agente bate nos filtros. Sem agentes pra mostrar.
carregando agentes...

📋 Tickets — Kanban

Drag-and-drop entre raias muda assignee no GLPI · Alice triagem em background

🤖 Em triagem (Alice)
aguardando análise da Alice
⚡ Aguardando atendimento
prontos pra você pegar
⭐ Meus chamados
atribuídos a você
👥 Em tratativa (outros)
analistas trabalhando
✅ Resolvido pela Alice
últimas 24h

🤖 Em triagem

vazio

⚡ Aguardando

vazio

⭐ Meus chamados

nenhum atribuído a você

👥 Outros analistas

vazio

✅ Resolvido pela Alice

Alice ainda não fechou nada nas últimas 24h

📈 Analytics

Visão histórica agregada ·

Período:
Alertas processados
🔴 🟠 🟡
Alertas críticos (L≥10)
eventos com severidade alta no período
Tickets criados / resolvidos
/
Automação Alice
%
de decisões
Threat Intel matches
IPs/URLs/hashes em watchlist (Spamhaus, OTX, URLhaus, AbuseIPDB)
Agentes online (média)
Breakdown por cliente
SOC Total Críticos Altos Tickets Threat Intel Auto. Agentes
carregando... sem dados pra esse período (backfill ainda rodando?)

📄 Relatório Mensal

Preview do relatório executivo mensal · download PDF disponível

Beta: dados automáticos preenchidos a partir de analytics_daily. Páginas curadas (Tratativas, Planos de Ação, Deep Web) ainda são placeholders — UI editor virá na próxima fase. Backfill 180d agendado em batches noturnos (charts de 6 meses ficarão completos progressivamente).

Conteúdo curado

Markdown simples (# headers, **bold**, listas com -). Salva por SOC + mês.

✓ Status & Operações do SOC

⏱ MTTR
tempo médio (Alice)
📋 Tickets 24h
SOC abertos
🤖 Auto-resolved
Alice 7d • /
🎯 MITRE Coverage
/ tactics ATT&CK
🚨 Intel Findings
novos • críticos

🎯 MITRE ATT&CK Coverage

Detecções últimos 7 dias por tactic e SOC

0 <10 <100 <1k <10k 10k+
Tactic

Checks rodando a cada 60s • histórico em service_health

🛡 Threat Intelligence Operacional

IoCs ativos no Wazuh (Spamhaus, Feodo, CINS, ET, Tor, OTX, URLhaus) + AbuseIPDB enrichment

🚨 Matches 24h
cruzamento alerta × IoC
🌐 IPs maliciosos
por SOC (todos iguais)
🔗 URLs maliciosas
URLhaus (abuse.ch)
🔁 Última atualização
cron 04:00 diário

Feeds de IoC ativos por SOC

SOC IPs URLs Hashes Última atualização

Fontes: Spamhaus DROP/EDROP, Feodo Tracker, CINS Score, Emerging Threats, Tor Exits, AlienVault OTX (subscritos), URLhaus (abuse.ch)

🚨 Matches recentes (últimas 24h)

✓ Nenhum match nas últimas 24h — IoCs carregados, sem alertas cruzando

🔍 Dark Web Inspection

Monitoramento de vazamentos — HaveIBeenPwned + Hudson Rock (infostealer logs)

finding(s)
Nenhum finding ainda. Cadastre domínios em e dispare um scan.

+ Adicionar à watchlist

ativos / desativados

Cliente Tipo Valor Notas Criado Ações
vazia

🛰 Configuração de SOCs

Gerencie SOCs (Wazuh managers) sem editar arquivos. Senhas são criptografadas (Fernet) no DB. Soft-delete: desabilitar mantém o histórico de tickets/eventos.

Key / Cor Nome Manager IP URLs Cliente Status Ações
Nenhum SOC cadastrado.

🤖 Alice — Configuração

Toggles de comportamento + editor de prompt. Mudanças aplicam em tempo real, sem deploy.

🛰️ Alice Plantão — Telegram + Cron + Investigador ativo

Ronda a cada 30min + webhook do grupo Telegram + comandos /alice. Logando em hosts via SSH/WinRM pra trazer evidência real.

Última ronda
Ações nas últimas 24h
Investigators
winrm_disk · ssh_brute · threat_intel · web_scanner · fallback
Webhook Telegram
@NobugNewBot → argos/api/alice/webhook
Whitelist: usuários

📋 Últimas ações (cache 24h)

Nenhuma ação cacheada.

🧠 Knowledge Base (regras de classificação)

KB carregando…

🛡️ Whitelist /alice (usernames Telegram)

Edite via /data/soc-knowledge/alice_whitelist.txt (1 username por linha). Quem está aqui pode usar /alice <comando> no grupo SOC.

⚙️ Configuração Plantão

1=imediato, 30=default, 60=relaxado, 720=12h

1=quase sempre, 24=default, 168=semana toda

Última edição: em

⚙️

Triagem automática (N1)

Alice rodando em background a cada 60s. Triagem rápida com GPT-4.1-mini ($0.0006/ticket). Pega TODO ticket SOC novo sem assignee.

⚠️ ATIVA — processando tickets em background

💬

Pode postar no GLPI

Quando ON, Alice (auto OU manual) pode postar comentários e fechar tickets de verdade no GLPI dos clientes. Quando OFF, tudo fica em modo simulado (DB only).

⚠️ MODIFICANDO TICKETS REAIS — efeito visível no cliente

🔍

Investigador manual (botão)

Habilita o botão "🔍 Investigar com Alice" no Kanban. Análise profunda com Claude Sonnet/Haiku + tools (~$0.05/ticket). Não posta no GLPI sem você clicar em "Aplicar".

✓ Disponível pra analistas+

Comportamento atual

🔴 AUTO-AÇÃO: Alice N1 está triando E postando no GLPI sem revisão humana. Tickets podem ser fechados sozinhos. 🟡 SIMULADO: Alice N1 triando em background, mas só registra em DB. Nada chega no GLPI dos clientes. BACKGROUND OFF: Alice N1 não está rodando. Triagem só via botão manual.
🟣 BOTÃO MANUAL: Investigador disponível com opção "Aplicar no GLPI" depois da análise (você revisa + decide). 🟣 BOTÃO MANUAL (read-only): Investigador disponível, mas botão "Aplicar" desabilitado (can_post=false).

Última mudança: ·

Editor de Contexto

System prompt que define como Alice se comporta (identidade, ambiente, ferramentas, decisões).

Última edição: • versão

⚠️ alterações não salvas
caracteres · ~ tokens estimados Markdown puro — Alice usa exatamente este texto como contexto de comportamento
Selecione um prompt à esquerda
carregue clicando na aba ou aguarde...
carregando dados de atividade...

🤖 Alice — Agente de triagem L1 DRY-RUN AUTÔNOMA DESLIGADA

Triagem L1 com GPT-4.1-mini ($0.40/$1.60 por MTok). Se confidence ≥ 70% e ação segura, executa fechamento autônomo.

apenas admin pode alterar
decisões 24h
decisões 7d
fechadas
escaladas
custo 30d
tempo médio
Ações últimos 7 dias
sem ações ainda
Custo diário (14d)

Custo total por modelo (acumulado)

sem uso de modelos ainda (use chat ou agent para começar a popular)

Uso do Chat por usuário

User Sessões Msgs Tokens Custo
sem uso ainda

Uso do Agent (tool use) por usuário

User Sessões Msgs Tokens Custo
sem uso ainda

Passagens enviadas (últimos 30 dias)

sem passagens nos últimos 30 dias
C
Resumo do turno atual

gerando resumo...

Resumo indisponível (verificar chave Anthropic).

Passagens de turno

de registradas

suporta markdown (** **, listas com -, links, #42xxx vira link GLPI)
carregando passagens...

Escala de turno

Dicas

  • • Clique ✨ Sugerir rascunho e Claude analisa o turno e gera um draft pronto pra editar
  • **texto** para negrito
  • - item para lista
  • #42606 vira link automático pro GLPI
  • • Hover na passagem para editar/excluir
C
desabilitado FASE 2 • Q&A read-only
C

Pergunte algo sobre o estado atual do SOC.

Tenho acesso a status dos ambientes monitorados, loops detectados, tickets pendentes, filtros ativos e últimas passagens de turno.

C
Erro:

👥 Gestão de usuários

Time NoBug entra via Google OAuth (auto). Clientes externos: criar com auth local + senha + SOCs atribuídos.

Usuário Auth Papel SOCs (scope) Último login Status Ações
Nenhum usuário cadastrado.

📋 Roles & permissões

viewer
Lê dashboards, tickets, status. Não edita nada. Ideal pra clientes.
operator
+ Comenta/atribui tickets, edita passagens, usa Chat IA.
analyst
+ Edita filtros suppression, watchlist Threat Intel.
power_user
+ IA Agent (Claude com SSH/bash). Cuidado com a chave Anthropic.
admin
+ Gestão de usuários, SOCs, prompt da Alice, custos IA.
💡 Multi-tenant: qualquer role pode ser limitado a 1+ SOCs. Sem SOCs = vê todos. Com SOCs = vê apenas esses.
desabilitado FASE 6 • agent com tools

Agent SOC com acesso real ao ambiente.

Pode executar bash, SSH nos SOCs, queries Wazuh/GLPI, ler arquivos. Cada tool call fica no audit.

Tools:
Erro:

Suppression Filters ativos

de filtros — alterações no SOC propagam aqui em ~5min (cron sync)

⚠️ Erros de validação:
✓ Sintaxe válida — pronto pra aplicar

⚠️ Reinicia o manager Wazuh do SOC selecionado. Demora ~10s.

Nenhum filtro encontrado para esse SOC.

⚡ SOAR — Auto-resposta

Filtro: · ajuste no seletor superior

🔒 IPs ativos
⚙ Blocker
🛡 Alvos ativos
📊 Eventos 30d
decisões (block + skip)
📜 EDL Pública

🔎 Confere se IP está bloqueado

Cruza com EDL pública (29k IPs threat-intel) + edl_only.json (24h Wazuh) + SOAR_BLOCK pfSense

Bloqueado via EDL no(s) seu(s) perímetro(s): Não está na EDL pública
Detecção dinâmica ativa (TTL 24h via Wazuh) Sem detecção dinâmica recente
Targets onde está bloqueado:
🟡 Não está bloqueado em nenhuma camada. Quer bloquear? Use o painel "Bloquear manualmente" abaixo.
⚠️ Erro consultando blocker:
🛡️

SOAR — podemos implementar no seu ambiente

Estamos monitorando ativamente ataques contra seus assets via Wazuh. Os IPs maliciosos detectados aparecem abaixo apenas como informação — ainda não são bloqueados automaticamente porque seus firewalls não estão integrados ao SOAR.

Quer ativar bloqueio automático em <30s por evento? Podemos implementar pra você. ✨ Quero implementar

📋 IPs maliciosos detectados (somente leitura)

Últimos 7d · IPs únicos · seriam bloqueados automaticamente se você tivesse integração SOAR ativa

IP Visto País Score Regra Última detecção Status
Nenhum IP malicioso detectado pra você nos últimos 7 dias. 🛡️

➕ Bloqueio manual

Sem dupla validação (AbuseIPDB). Vai pra mesma tabela SOAR_BLOCK nos 2 pfSense. Origem registrada como cliente: .

🚫 IPs bloqueados agora

Nenhum IP bloqueado desse cliente.
IP Origem Score País Ação

📈 Por ação (30d, todos SOCs)

Sem dados ainda.

🌐 Por manager origem (30d)

Sem dados ainda.

📋 Eventos recentes

Sem eventos do cliente . Aguardando alerta level ≥ 10 com IP malicioso.
Quando Ação IP Score Manager SOC Regra Motivo
NoBug

🛡 CloneGuard — Detecção de Sites Clonados

Detecta clones via typosquatting (dnstwist) + Certificate Transparency (crt.sh) + HTML similarity. Cron 4x/dia. Alertas P0/P1 abrem ticket GLPI + Telegram SOC interno automaticamente.
Targets ativos
Alertas P0 abertos
Alertas P1 abertos
P2 monitorados
Último scan
Filtros: Total:

📡 Candidatos detectados

Sev Cliente Domínio real Suspeito Fonte DNS HTTP/S Sim% Login Score Title Status Visto
Nenhum candidato encontrado com os filtros atuais.

🕐 Últimos scans

TargetClienteInícioDuraçãoCandidatosAlertasStatus
Nenhum scan executado ainda. Clique em "▶ Scan todos agora" pra iniciar o primeiro.
NoBug

📚 Playbooks SI — Resposta a Incidentes

Material técnico para analistas N1+. Baseado em CIS Controls v8 + NIST SP 800-61.
← Selecione um playbook na lista lateral para visualizar

📌 CIS: 🎯 MITRE Tactics: v review: owner:
class="text-xs px-3 py-1.5 rounded bg-emerald-500/20 hover:bg-emerald-500/30 text-emerald-200 border border-emerald-500/40 font-semibold"> ▶ Iniciar incidente
🟢 Incidente # aberto

✅ Checklist desta fase

💡 Clique em "▶ Iniciar incidente" no topo para habilitar checkboxes (persistem no DB).
🤖 Recomendações de IA

O Claude lê o playbook + estado atual do incidente (steps feitos/pendentes) e sugere prioridades.

Resposta IA · in / out · custo $
Versão · Última revisão · Owner

☎ Plantão — Escalation Chain

Configuração de quem recebe ligações entrantes no número Twilio .

📞

Plantonista AGORA (escalation order):

⚠️ Ninguém ativo no momento — ligações cairão direto no fallback.

💬 Frase de saudação (intro)

Esta frase toca antes de conectar com o plantonista. Use a variável ${saudacao} e o sistema substitui automaticamente por Bom dia (5h–12h), Boa tarde (12h–18h) ou Boa noite (18h–5h).
O texto final é o que vai pra voz selecionada (Polly ou ElevenLabs).
Salvo:
Resolução para a hora atual:

🔊 Voz do Plantão (TTS)

Voz atual: /
Polly (Amazon — Twilio nativo)
ElevenLabs (multilingual_v2 — qualidade premium)
carregando vozes...
ElevenLabs falhou? Cai automático no Polly Camila. Cache em /data/soc-dashboard/data/voice_cache (1 MP3 por texto+voz).

Escalation chain configurada ()

carregando...
Nenhum plantonista cadastrado. Clique em "+ Novo plantonista" para começar.
Prio Nome Telefone Role Janela Ring Mensagem Ativo Ações

📜 Log de chamadas (últimas 50)

Sem chamadas registradas ainda.
Quando Dir De Pra Status Dur Plantonista Motivo

🔒 Auditoria

Trilha completa de autenticação, ações admin e IPs conhecidos. Apenas leitura.

Tentativas auth 24h
Falhas 24h
IPs únicos 24h
Usuários ativos 24h
Ações admin 24h

🔑 Log de Autenticação (últimas 200)

carregando...
Sem registros pra esse filtro.
Quando Email Ação OK? Motivo IP UA

🛠 Ações Administrativas (últimas 200)

Nenhuma ação registrada ainda.
Quando Quem Ação Alvo Result IP

🌐 IPs Conhecidos por Usuário

Nenhum IP registrado.
User Role IP Visto pela 1ª vez Última vez UA

🛡 Pentest beta

Pentest automatizado nos domínios monitorados · cobertura OWASP Top 10

Targets totais
em active · em read
Runs em execução
na fila
Findings pendentes
aguardando revisão
Críticas confirmadas
high+critical em aberto
Cobertura OWASP Top 10

Targets

SOC Domínio Autorização Último scan Findings Críticos Cron Ações
Sem targets cadastrados.
Conformidade multi-framework (findings em aberto)

Findings

filtrado por target #
Empresa: (troca no topo)
Score OWASP Sev Title CVE Empresa Tool Status Ação
Sem findings (ainda não rodou scan ou todos resolvidos).

Autorizar pentest

Target: