© 2026 Criptografando Ideias. Todos os direitos reservados. A reprodução total ou parcial deste conteúdo sem permissão é proibida.
No universo da Cibersegurança, existe um conceito fundamental chamado MTTD (Mean Time to Detect), ou o tempo médio de detecção. Em termos simples: quanto mais rápido você souber que algo está errado, menor será o estrago.
Neste artigo, compartilho como desenvolvi um sistema de monitoramento em tempo real que une um HoneyPot (armadilha) a um Analisador de Logs inteligente. O objetivo? Transformar um simples arquivo de texto em uma sentinela que me avisa, via Telegram, no segundo exato de uma intrusão.
A Arquitetura da Solução
O sistema funciona em três camadas integradas:
A Camada de Decepção (HoneyPot): Um script Python que emula um serviço corporativo. Ele não serve para uso real, mas sim para atrair e registrar qualquer tentativa de acesso suspeito.
O Coração do Monitoramento (Log Analyser): Um vigilante silencioso. Ele monitora o arquivo de log continuamente, buscando padrões de ataque ou acessos não autorizados.
A Resposta a Incidentes (API do Telegram): A ponte entre o código e o administrador. Assim que o analisador detecta a ameaça, ele dispara uma notificação push para o celular.
O Processo de Detecção
Para que o sistema seja eficaz, o Analisador de Logs precisa ser resiliente. Durante o desenvolvimento, enfrentei desafios comuns de infraestrutura, como o tratamento de encoding (UTF-8 vs Latin-1) para garantir que nenhum caractere especial corrompesse a leitura dos registros.
Abaixo, você pode ver a anatomia de um ataque registrado. Note como o HoneyPot documenta o IP, a data e a ação:
O rastro digital deixado pelo atacante no arquivo .txt.
A Mágica da Automação em Tempo Real
O grande diferencial deste projeto é a integração com o Telegram. Ao utilizar a API de bots, consegui sair do monitoramento passivo (onde o analista precisa abrir o log para ler) para o monitoramento ativo.
Veja a sequência da detecção:
O HoneyPot detecta o acesso e escreve no log.
O Analisador lê a nova linha instantaneamente.
O alerta chega ao celular em menos de 1 segundo.
Sincronia perfeita entre a detecção no terminal e o alerta no dispositivo móvel.
Conclusão
Projetos como este demonstram que a Segurança da Informação de alto nível não depende apenas de ferramentas caríssimas, mas sim de lógica, automação e uma mentalidade voltada para a visibilidade.
Construir seu próprio "SIEM caseiro" é um exercício excelente para entender como os grandes sistemas do mercado (como Splunk ou ELK) operam em escala global.
O código completo deste projeto está disponível no meu GitHub👇
Confira o código completo no meu GitHub.
Nenhum comentário:
Postar um comentário
Deixe seu comentário abaixo! Sua opinião e suas experiências são muito importantes para enriquecer a discussão sobre segurança da informação no "Criptografando Ideias". Compartilhe suas dúvidas, sugestões e exemplos relacionados ao tema da postagem. Lembre-se de que este espaço é para troca de conhecimento e respeito mútuo. Se tiver alguma pergunta específica, fique à vontade para perguntar! Agradecemos sua participação!
Observações importantes:
Seu nome e endereço de e-mail (opcional) não serão divulgados publicamente.
Seu comentário passará por uma moderação para garantir um ambiente seguro e relevante para todos os leitores. Comentários ofensivos, spam ou que não estejam relacionados ao tema serão removidos.
Ao comentar, você concorda com os termos de uso do blog.
Participe da conversa e ajude a construir uma comunidade mais informada e segura!