Wazuh em cluster
Indexação resiliente, ingestão distribuída e Wazuh Dashboard para busca, regras e visão unificada do ambiente.
SIEM, XDR, SOAR, IA no perímetro
Wazuh IA-SOAR: segurança operacional com IA soberana no ecossistema Wazuh
Cluster dedicado, inferência no SOC, automações e relatórios com métricas reais do indexer: da telemetria à decisão, com rastro auditável.
0 VMs
cluster dedicado
3+4
indexers e managers
IA local
análise P1/P2
PBS Azure
backup noturno
Plataforma integrada
Um desenho Well Tecnologia em cima do Wazuh: visibilidade, correlação, inteligência e resposta no mesmo stack
SIEM/XDR, painéis SOC, CTI, governança e automação numa arquitetura pronta para operação 24/7, auditoria, continuidade e evolução por fases, com acompanhamento técnico especializado da Well Tecnologia.
Endpoints e servidores
Telemetria de ativos, autenticação, eventos Windows/Linux, integridade de arquivos e postura de segurança.
Threat Intelligence
IOC, hashes, regras alinhadas a feeds, OTX e artefatos de CTI aplicados nos managers e na correlação.
Evidências auditáveis
Trilha técnica, relatórios de gestão, indicadores, registo de alterações e base para comité e compliance.
Threat hunting
Alertas correlacionados a táticas e técnicas MITRE ATT&CK para investigação orientada por adversário.
Resposta controlada
Playbooks: ticket, bloqueio de IOC, escalonamento e automação só com política, janela e kill switch.
O motor do produto: IA Well no perímetro
Do alerta bruto à síntese e ao dossiê, modelo próprio, fila P1/P2 e Ollama na VM IA-SOAR
A camada IA-SOAR não substitui o analista: prioriza e explica. Eventos elegíveis seguem uma fila por política (P1/P2, quotas, kill switch). A inferência corre em VM dedicada, com modelo open-weight (ex.: Qwen2.5) via Ollama, sem depender de APIs públicas genéricas para dados sensíveis no desenho base. Daí nascem relatório semanal (HTML/PDF), informe SOC a cada 6 horas e nudges operacionais (agente offline, regra flooded, VM crítica no ranking).
Resultado: menos tempo até a decisão, linguagem ajustável à audiência, trilha entrada/saída/ação para auditoria e um ativo reutilizável, modelo, prompts, playbooks e templates sob controlo contratual e operacional Well Tecnologia.
Valor para SOC e gestão
O que a IA-SOAR acrescenta à operação
Menos ruído, mais consistência: a IA amplia a equipa, síntese e recomendações sob pressão, com confiança explícita e rastro para auditoria, sem tentar substituir o julgamento humano nos pontos críticos.
Tempo até decisão
Síntese e priorização em minutos nos incidentes críticos; texto útil também para quem não opera no terminal.
Risco explícito
Cada resultado traz nível de confiança e justificativa rastreável: base para auditoria, contestação saudável e melhoria contínua do modelo.
Continuidade institucional
Playbooks, relatórios e formato de evidência padronizados, a operação não depende de uma única pessoa quando há rotação.
Ativo sob controle
Fluxos e modelo permanecem no perímetro acordado, não são uma caixa negra SaaS externa que foge ao contrato e à política de dados.
Integração forte, superfície controlada
Camadas: Wazuh → fila → inferência local → SOAR → evidência
O cluster mantém ingestão, correlação e dashboards. O que for elegível vai para uma fila dedicada. A inferência corre na VM IA-SOAR, com políticas (P1/P2, quotas, kill switch). A seguir: orquestração, aprovação humana quando aplicável, ticketing e saída documental (PDF, e-mail HTML) para auditoria e gestão.
Wazuh cluster
Ingestão, regras, MITRE, dashboards
Fila P1/P2
Priorização e política de disparo
Motor IA local
Modelo open-weight (ex.: Qwen2.5 7B), inferência interna
SOAR + aprovação
Playbooks, controlo, ticketing
Evidência
Relatórios, PDFs, trilha para auditoria
- Modelo inicial open source no perímetro, evolução por fases sem lock-in de vendor de IA.
- Cada decisão automática deixa rastro: entrada, contexto, saída, confiança e ação tomada.
- Stack aplicacional na VM IA-SOAR (API, workers, filas) alinhada ao indexer, evolução por versões sem quebrar o cluster.
Da telemetria ao dossiê
Seis patamares, cadeia de valor mensurável
Do evento cru ao relatório institucional: cada etapa produz artefacto ou decisão, não vapor.
Evolução futura (após integração ITSM): o patamar 5 — SOAR e aprovação humana, com tickets e escalonamento ligados ao service desk, representa a próxima onda quando houver integração ao ITSM; as descrições dos patamares mantêm o desenho-alvo da solução.
1
Alerta qualificado
Evento enriquecido com ativo, regra, severidade, MITRE e histórico, o analista deixa de reinventar contexto.
2
Enriquecimento e fila
Só o que importa entra na fila da IA: política por criticidade, janelas e quotas para proteger latência e custo.
3
Inferência e explicação
Resumo técnico, impacto no negócio estimado e recomendações, com linguagem ajustável a audiência.
4
Confiança e contestação
Score de confiança explícito; permite aceitar, ajustar ou escalar, fundamentação para auditoria.
5
SOAR e aprovação humana
Execução só onde a política permite; bloqueios, tickets e escalonamento on-call com evidência.
6
Dossiê e relatório
Saída documental (PDF e registros) para compliance, diretoria e lições aprendidas, ativo institucional.
Comparativo
IA-SOAR integrado ao Wazuh frente a caminhos habituais
Critérios que TI, segurança e gestão costumam cruzar ao avaliar SIEM e IA.
| Critério | Wazuh IA-SOAR Well Tecnologia | SIEM "tradicional" sem IA integrada | IA genérica SaaS |
|---|---|---|---|
| Soberania dos dados no desenho base | Sim, inferência no perímetro acordado | Depende do produto; foco nem sempre em IA | Risco elevado de dados fora do controlo contratual |
| Trilha de auditoria por decisão assistida | Prevista por desenho (entrada/saída/acção) | Frequentemente limitada à consola | Frequentemente opaca ou dependente do vendor |
| Integração nativa ao SOC Wazuh | Sim, mesma operação Well Tecnologia | N/A ou projetos à parte | Integrações ad hoc; mais superfície de erro |
| Previsibilidade para TI e financeiro | CapEx/OpEx internos modeláveis por fase | Licenças SIEM conhecidas; IA à parte | Custo variável e difícil de auditar |
| Narrativa para diretoria em incidente real | Relatórios e PDFs como entregável | Esforço manual elevado sob pressão | Pode nem existir formato institucional |
Síntese
Monitorização vira decisão assistida, com soberania de dados e trilho de auditoria
O SIEM deixa de ser só console e gráficos: a IA-SOAR Well acrescenta tempo ganho, clareza sob pressão e entregáveis formais (relatórios, PDFs, digest periódico). Tudo no perímetro acordado, com modelo e políticas evolutivas, fundamento para menor risco operacional, eficiência do SOC e resposta institucional consistente.
IA em produção contínua
IA Well no cluster Wazuh: tradução técnica, priorização e orientação para remediação
A IA pega alertas técnicos pesados do Wazuh, transforma em leitura clara para o SOC e orienta ações corretivas. O foco é acelerar decisão sem perder precisão técnica, com ganhos diretos para analistas N3 e para o fluxo operacional do time inteiro.
Offline (estado atual)
Mostra quais agentes estão disconnected agora na API do Wazuh manager (não histórico acumulado). Para o analista N3, já traz host, IP, manager e último registro para validar indisponibilidade real e priorizar ação.
Flooded (janela curta)
Lista agentes com alerta de fila flooded dentro da janela do disparo (ex.: últimos 120 min), com contexto técnico do evento. O N3 recebe sinal de risco de perda/atraso de telemetria e orientação para contenção imediata.
VM crítica (vulnerabilidades)
Destaca uma VM crítica sorteada no top de exposição, com CVEs e links diretos para Vulnerability Detection e ficha do agente. O analista N3 ganha foco objetivo para correção baseada em risco real do inventário.
Informe 6h (possíveis incidentes)
Consolida a janela das últimas 6 horas com narrativa operacional para passagem de turno: panorama de alertas, contexto técnico em linguagem natural e priorização do que investigar primeiro no N3.
Relatório semanal com IA
Leitura executiva e técnica para decisão N3 em um único ciclo semanal
O relatório semanal da IA-SOAR transforma milhões de eventos em um plano de ação claro para o SOC: prioriza risco real, organiza vulnerabilidades por impacto, destaca endpoints críticos e entrega recomendações com trilha de governança.
Avaliação geral do ciclo
Consolida volume de alertas, severidades e contexto operacional, separando telemetria massiva do que realmente exige decisão formal de tratamento.
Alertas + MITRE ATT&CK
Conecta regras de maior prioridade com TTPs recorrentes para orientar investigação por hipótese, evidência e impacto operacional.
Vulnerabilidades críticas
Mostra CVEs críticas por gravidade, recorrência e ativos afetados, com foco de remediação baseado em exposição e criticidade do serviço.
Cenários realistas de impacto
Traduz CVEs em linguagem de risco: evidência real, falha, ataque possível, impacto GRC e tratamento urgente para comunicação executiva.
Plano por sistema operacional
Estrutura ondas de correção para Linux e Windows, priorizando legado, ativos sensíveis e redução comprovável do inventário no ciclo seguinte.
Endpoints e higiene de TI
Aponta concentrações por host, processos, portas e serviços para diferenciar ruído, tuning e sinais que demandam investigação profunda.
Usuários privilegiados
Correlaciona eventos administrativos e contas sensíveis para identificar desvios, reforçar menor privilégio e manter rastreabilidade de acesso.
Índice executivo de saúde
Fecha o ciclo com score semanal de segurança (0 a 100), evidências e ações sugeridas, alinhando diretoria, gestão e analistas N3.
Canal SOC em tempo real
Integração Telegram: alertas técnicos, recorrência e rastreabilidade operacional
A integração Telegram no Wazuh IA-SOAR envia alertas priorizados com contexto para N3, mantendo ciclo de recorrência controlado, redução de ruído e trilha auditável por agente.
Agente offline
Notifica indisponibilidade com tempo offline calculado por lastKeepAlive via API Wazuh, trazendo contexto útil para triagem imediata.
Recorrência offline (1h)
Após o primeiro disparo (janela mínima operacional), o reenvio é controlado por estado por agente para evitar flood e manter sinal operacional.
Política de disparo (nível 14+)
O canal Telegram é orientado a alertas críticos e priorizados, com envio operacional focado em regras de nível 14 ou superior.
Worker global de recorrência
Execução por timer no master, com política de envio para offline persistente, garantindo cobertura mesmo quando o 100112 não re-dispara naturalmente.
Brute force enriquecido
Mensagem Telegram com extração robusta de utilizador, IP de origem/destino e Event ID, reduzindo campos N/A e melhorando decisão do analista.
Controle anti-duplicidade
Ajustes por rule_id, validações de configuração e política de janelas evitam alertas duplicados no primeiro ciclo de indisponibilidade.
API Wazuh integrada
Autenticação, leitura de estado de agentes e fallback operacional ficam acoplados ao fluxo Telegram, sem necessidade de API paralela externa.
Evidência e continuidade
Documentação, scripts de diagnóstico/deploy e trilha de decisão suportam auditoria, governança e operação contínua entre equipas e turnos.
Dashboards SOC reais
Investigação, priorização e resposta, o mesmo ambiente que o analista usa todos os dias
Catálogo de painéis, Discover, alertas, deteções, MITRE, incidentes, vulnerabilidades por impacto e automações, capturas do stack Wazuh IA-SOAR em operação.
Infraestrutura aplicada
Proxmox no perímetro, PBS no Azure, funções separadas, backup programado
Host Dell R720XS com Proxmox VE: indexers, managers, dashboard/LB, VM IA-SOAR e restantes papéis isolados. Rotina noturna via Proxmox Backup Server (Azure) para recuperação e continuidade.
3 indexerspersistencia, busca e dashboards
1 mastercoordenação do cluster Wazuh
3 workersprocessamento distribuído de telemetria
1 IA-SOARanálise, fila, relatórios e automação
1 dashboard/LBinterface, HAProxy e entrada dos agentes
Governança operacional
Controles para rastreabilidade, risco aceitável e continuidade
Diretriz corporativa: alocar a camada central do WAZUH IA-SOAR em Cloud ou Datacenter contratado, fora do ambiente de clientes, em conformidade com ISO 27001 e boas práticas de governança.
Segurança
SSH por chave, TLS entre componentes, RBAC, auditoria e princípio do menor privilégio.
Continuidade
Backup diário, snapshots, retenção planejada, DR e runbook de contingência para master.
Indicadores
MTTD, MTTR, disponibilidade, falsos positivos, sucesso de automações e evidências completas.
Automações
Execução apenas por regra aprovada, confiança mínima, janela autorizada e reversão documentada.
Resumo executivo — diretriz de governança para hospedagem
Para atendimento consistente às normas ISO 27001 e às boas práticas de governança, a camada central do WAZUH IA-SOAR deve operar em infraestrutura de Cloud ou Datacenter contratado para o serviço, com SLA, rastreabilidade de responsabilidades, controles auditáveis e plano de continuidade testado. Quando essa camada fica no ambiente do cliente, aumentam os riscos de indisponibilidade do SOC, perda de independência operacional, dificuldade de padronização entre contratos e atraso na evolução técnica do serviço.
App em desenvolvimento
SIEM Mobile Well Tecnologia para iOS e Android: operação N3 com segurança, rastreabilidade e apoio da IA
O aplicativo móvel está em fase de desenvolvimento para funcionar como canal interno e seguro de operação SOC/N3. A proposta é oferecer consulta ao ambiente monitorado, apoio contextual da IA e trilha de auditoria completa para decisões e tratativas, sem exposição indevida de dados sensíveis.
Canal interno e controlado
Acesso restrito com autenticação forte (MFA/SSO), perfis por função (N1/N2/N3/Gestor) e segregação por escopo operacional.
Consulta operacional segura
Visualização de dashboards, alertas críticos, incidentes e evidências com criptografia em trânsito e controle de sessão.
Apoio da IA na tratativa
Fluxo assistido para o analista N3: receber alerta, consultar contexto com IA, validar evidências, executar tratativa e registrar conclusão.
Governança e auditoria
Registro de ações, histórico de tratativas e rastreabilidade ponta a ponta para compliance, comitês e melhoria contínua.
Evolução por fases
Roadmap em ondas: base operacional, app interno seguro, IA contextual e operação avançada com recomendações orientadas por política.
Valor para o negócio
Decisão mais rápida sob pressão, redução de ruído operacional, maior padronização entre turnos e mais previsibilidade para resposta a incidentes.
Comparativo financeiro GRC
Estudo financeiro e técnico de viabilidade para manter o WAZUH IA-SOAR em operação contínua.
Documento de comparação Azure 24x7 vs Datacenter Well com premissas, escopo das 9 VMs, análise GRC, riscos, continuidade e recomendação de hospedagem para decisão executiva.