SOC como Serviço no jeito Evernow
Analistas brasileiros 24x7
Tier 1, Tier 2 e Tier 3 em São Paulo e Rio, com certificações L2+ (GCIA, GCIH, CHFI). Handoff em português, escalonamento em inglês quando necessário.
SLA contratual com dente
Crítico: 1ª resposta 15 min, contenção 60 min. Alto: 30/120 min. Médio/baixo: 4h/8h. Descumpriu: penalidade financeira.
Cobertura cloud-native
AWS GuardDuty, Azure Sentinel, GCP Chronicle, Kubernetes runtime, APIs SaaS (M365, Workspace, Okta). Não é só endpoint.
Runbook por play (MITRE ATT&CK)
Para cada TTP do ATT&CK relevante ao seu contexto, existe runbook específico com ações, aprovadores, evidência forense e relatório.
Tuning semanal, não "instala e esquece"
Revisão semanal para adicionar detecções, aposentar regras ruidosas e calibrar thresholds. Falso-positivo cai 60% em 90 dias.
Reporte executivo mensal
MTTD, MTTR, volume por severidade, top atacantes, maiores riscos e roadmap das próximas detecções a implementar.
No ar em 30 dias, não 9 meses
Dias 1-7: Conectores
Integração com EDR/XDR, cloud, identidade, rede e apps críticas. Conectores padrão: CrowdStrike, SentinelOne, Darktrace, Sentinel, Defender, Okta, Zscaler.
Dias 8-14: Use cases
Top 20 detecções por MITRE ATT&CK mapeadas ao seu stack (ex: impossible-travel em Okta, PowerShell suspeito em CrowdStrike, exfiltração em Zscaler).
Dias 15-21: Paralelo
SOC opera em sombra com seu time atual, validando playbooks e minimizando falso-positivo antes de assumir.
Dias 22-30: Go-live
Cutover completo com SLA ativo, documentação de handoff, matriz de escalonamento aprovada, tabletop trimestral agendado.
Perguntas frequentes sobre SOC como Serviço
Quanto custa um SOC gerenciado no Brasil?
Investimento vai de R$ 35k/mês (ambiente pequeno, 500 endpoints, cloud light) a R$ 180k+/mês (enterprise com multi-cloud híbrido, 5k+ endpoints, SaaS espalhado). Inclui analistas, tuning, licenças de tooling e reporte executivo.
Qual a diferença vs. MSSP tradicional?
MSSP tradicional abre ticket e devolve; a Evernow age — contém o incidente, valida e entrega só quando resolvido ou escalado. Mantemos o mesmo time alocado a você — sem roleta de ticket.
Posso usar meu SIEM/EDR atual?
Sim, somos agnósticos. Operamos com Sentinel, Splunk, Chronicle, QRadar, Sumo Logic; EDR com CrowdStrike, SentinelOne, Defender; cloud com tooling nativo. Quando necessário, licenciamos também.
Cobre resposta a incidentes no chão?
O pacote padrão cobre resposta remota. Para CSIRT presencial (imaging forense, investigação in-office, comunicação ANPD/autoridades) acionamos o squad de resposta especializada com SLA separado.
Tem conformidade com LGPD / ISO 27001 na operação?
Sim. A Evernow opera ambiente certificado ISO 27001, contrato DPA com cláusulas LGPD, logging de cada ação do analista, evidências prontas para auditoria e direitos do titular.
