Nerdy Logo

Nerdy

Security Intelligence Platform

Sistema Inteligente de Análise de Logs

Sistema inteligente de análise de logs SSH com resposta automatizada baseada em criticidade

Resposta automatizada baseada em criticidade

Fluxo Detalhado de Processamento

🤖 Mini Mim (Agent)

Roda como Serviço no Sistema Operacional

🔐 Servidor SSH

  • Recebe e Envia os logs do Servidor SSH
  • Ler logs incrementalmente
  • Salvar em arquivo de padronização (YAML)
  • Padronizar por:

Campos de Padronização:

  • Usuário
  • Endereço Servidor
  • IP de Origem
  • Resumo do Log
  • Tentativas
  • Portas
  • PIDs

📊 Análise de Log

Code em Python

  • Lê cada linha usando RegEx
  • Faz o parsing
  • Joga dentro do yaml

Processamento

  • Busca e adiciona no Cálculo de Criticidade: número de Tentativas
  • Classificar Criticidade

🔍 Elastic Search

  • Usar Elastic Search / Open Search
  • Busca por todos os IPs e Usuários fora dos parâmetros Comuns
  • Busca dentro deles quais estão com resumo de log ≥ Contextos Críticos
  • Dependendo do Contexto Crítico

🚨 Contextos Críticos

"Password Accepted"

Detecção de acesso bem-sucedido

Score > 7

Nível de risco elevado

Score > 7

Nível de risco crítico

🧠 Análise da LLM (IA)

Processamento inteligente baseado em contexto crítico

Se Ata ou Crítica

  • Resposta com Ansible
  • Configuração do servidor
  • Alteração de padronização do Firewall
  • Criar um Honeypot vulnerável

Se for Média ou Baixa

  • Alerta ao Gerenciador do Sistema (email)
  • Explicar o método de Iniciativa da IA
  • Recomendação da IA para Iniciativa

🔧 Tecnologias Atuais

Servidor SSH

Monitora logs do servidor SSH em tempo real

Ler logs incrementalmente

Lê novos logs conforme são gerados

Análise de Log

Processa e analisa logs com Python

Python

Linguagem principal para processamento

RegEx

Extração de padrões dos logs

Armazenamento em YAML

Padroniza e armazena logs em formato YAML

⚡ Propostas e Funcionalidades

Sistema de Criticidade

Classifica eventos por nível de severidade

Sistema de Pontuação

Atribui pesos baseado em múltiplos fatores

Níveis de Criticidade

Baixo (0-5), Médio (6-9), Alto (10-13), Crítico (14-15)

Resposta Automatizada

Executa ações baseadas no nível de criticidade

Honeypot

Cria armadilha para capturar atacantes

Bloqueio de IP

Bloqueia IPs suspeitos automaticamente

Alertas por Email

Notifica administrador em tempo real

✨ Tecnologias Futuras

Dashboard

Interface web para visualização em tempo real

Ansible

Automação de respostas a eventos críticos

LLM (IA)

Análise inteligente com modelos de linguagem

Análise Inteligente

Classifica e analisa eventos com IA

Recomendações

Sugere ações baseadas em padrões aprendidos

Elastic Search

Melhora buscas e análise de grandes volumes de dados

Busca Avançada

Queries complexas e filtros em tempo real