Stack open-source de SOC: Wazuh, TheHive, Cortex e Velociraptor
Uma stack open-source de SOC combina Wazuh (SIEM e XDR), TheHive (gestão de casos), Cortex (análise de indicadores) e Velociraptor (resposta em endpoints). Juntas, estas ferramentas gratuitas entregam detecção, investigação e resposta a incidentes com qualidade comparável a soluções comerciais, libertando o orçamento das licenças para investimento em pessoas e afinação de regras.
O que é uma stack de SOC
Imagine a sua central de segurança como uma cozinha profissional. Não existe um único robot que cozinha, serve e lava a louça — existe um conjunto de eletrodomésticos, cada um especialista numa tarefa, que trabalham em conjunto para entregar o prato. Uma stack de SOC segue a mesma lógica: um grupo de ferramentas que se ocupam de funções distintas — recolher registos, detectar ameaças, gerir investigações e responder — e que, bem ligadas, formam um centro de operações completo.
O cenário de ataques de julho de 2026, com novas vagas de ransomware e roubo de credenciais a atingirem pequenas e médias empresas, deixou claro um ponto: quem não tem visibilidade sobre os próprios sistemas não consegue defender o que tem. A boa notícia é que, em 2026, o ecossistema open-source amadureceu ao ponto de uma equipa enxuta conseguir montar um SOC credível sem pagar um cêntimo em licenças de motor. O custo real passa a ser operacional — afinação, manutenção de regras e a cola de integração — e não de licenciamento.
Wazuh: detecção e SIEM unificado
O Wazuh é a peça que vê tudo o que acontece nos seus servidores, computadores e nuvem. Funciona como um SIEM e XDR num só produto: instala agentes leves nas máquinas, recolhe registos, monitoriza a integridade de ficheiros, deteta vulnerabilidades e avalia a configuração contra boas práticas. A versão estável mais recente (4.14.x) trouxe quatro atualizações desde outubro de 2025, e a plataforma conquistou em 2026 o prémio de melhor SIEM e melhor plataforma de segurança na nuvem.
Para uma PME, o Wazuh substitui diretamente produtos que cobram por volume de dados ingeridos. É a fundação da stack: sem ele, não há alertas para investigar.
TheHive e Cortex: casos e análise
Quando o Wazuh dispara um alerta, alguém precisa de o transformar numa investigação organizada. É aqui que entra o TheHive, hoje mantido pela StrangeBee — uma plataforma de gestão de casos que centraliza alertas, evidências e o trabalho da equipa num só painel colaborativo. Em vez de perder tempo a saltar entre folhas de cálculo e mensagens, o analista tem um único local onde cada incidente vira um caso rastreável, com tarefas, notas e histórico.
Colado ao TheHive funciona o Cortex, o motor de análise automática. Dê-lhe um endereço de IP, um domínio ou o hash de um ficheiro suspeito e ele consulta dezenas de fontes externas — listas de reputação, bases de ameaças, serviços de análise — e devolve um relatório de enriquecimento em segundos. É o trabalho repetitivo de investigação que antes consumia o tempo de um analista, agora feito numa chamada.
Velociraptor: resposta rápida nos endpoints
Detectar e investigar não chega — é preciso agir. O Velociraptor é a ferramenta de resposta a incidentes em endpoints: permite questionar milhares de máquinas em simultâneo à procura de artefactos de ataque, recolher provas forenses e, quando necessário, isolar ou conter um equipamento comprometido. Pense nele como uma equipa de peritos e intervenientes que chega a qualquer computador da rede em segundos, com uma linguagem de consulta poderosa feita para caça a ameaças.
Num incidente real — por exemplo, um colaborador que abre um anexo malicioso — o Velociraptor é o que permite confirmar em minutos quantas outras máquinas têm o mesmo ficheiro e remover a ameaça antes de ela se espalhar.
Como as peças se ligam
A força da stack não está em nenhuma ferramenta isolada, mas na forma como se encadeiam. Um agente do Wazuh numa estação de trabalho gera um alerta de comportamento suspeito. Esse alerta entra automaticamente no TheHive como um novo caso. O Cortex enriquece os indicadores — o IP de destino, o hash do processo — contra fontes de inteligência de ameaças. Se a análise confirmar o risco, um playbook pode acionar o Velociraptor para caçar o indicador nos restantes endpoints e isolar as máquinas afetadas.
É este encadeamento — detetar, abrir caso, enriquecer, responder — que faz a stack open-source comportar-se como um SOC de verdade, e não como quatro ferramentas soltas. A cola entre elas faz-se com integrações nativas e ferramentas de automação como o Shuffle, que orquestra os passos sem intervenção manual.
| Ferramenta | Função principal | O que substitui |
|---|---|---|
| Wazuh | SIEM e XDR — recolha e deteção | Splunk, QRadar, Defender |
| TheHive | Gestão de casos e investigação | ServiceNow SecOps, tickets soltos |
| Cortex | Análise e enriquecimento de IOCs | Serviços pagos de ameaças |
| Velociraptor | Resposta forense nos endpoints | CrowdStrike, Fidelis |
Quanto custa montar de verdade
O motor é gratuito, mas o SOC não é grátis. Montar esta stack exige infraestrutura — geralmente meia dúzia de máquinas virtuais — e, sobretudo, tempo de pessoas competentes para a instalar, afinar regras e mantê-la atualizada. Projetos reais mostram que dois engenheiros conseguem levantar uma stack operacional num trimestre. O investimento que antes ia para licenças comerciais redireciona-se para onde realmente importa: formar analistas e melhorar a deteção.
Para uma PME lusófona, isto traduz-se numa diferença decisiva. Em vez de assinar contratos anuais de cinco ou seis dígitos para começar a ter visibilidade, a empresa paga apenas o esforço de implementação — e fica com uma stack que pode auditar, personalizar e escalar ao seu ritmo.
Por que faz sentido para PMEs
As pequenas e médias empresas foram durante anos forçadas a escolher entre gastar muito em segurança ou ficar desprotegidas. A stack open-source quebra esse dilema. Oferece a mesma cobertura funcional de um SOC corporativo — deteção em endpoints e nuvem, investigação colaborativa, enriquecimento de ameaças e resposta rápida — sem o bloqueio de fornecedor nem as licenças inacessíveis.
Há ainda uma vantagem de soberania: os dados sensíveis da sua operação ficam na sua infraestrutura, sob o seu controlo, algo central para quem precisa de cumprir a LGPD no Brasil ou o RGPD em Portugal. Uma stack que você implementa, afina e detém é, no fundo, uma aposta em autonomia — e é essa a premissa do modelo de CSOC da AtalaiaSec: open-source no centro, gente especializada à volta, custo previsível para quem precisa de se defender hoje, não no próximo orçamento.