Pitch: Sentinela: Como usei IA Local e Nmap para caçar uma intrusão em tempo real

Olá, pessoal do TabNews!

Recentemente, enfrentei um desafio real: um cliente apresentava comportamentos suspeitos no sistema e havia indícios de acesso não autorizado. Como o atendimento era via TeamViewer, eu precisava de uma ferramenta rápida que me desse visibilidade total sem expor logs sensíveis à nuvem.

Para isso, utilizei o Sentinela v3.0, um projeto de EDR (Endpoint Detection and Response) de uso aberto que desenvolvi focado em soberania de dados.

Vídeo fonte LinkedIn: https://www.linkedin.com/posts/miguel-de-araujo_cybersecurity-edr-infosec-activity-7429169238348795904-Xrop?utm_source=share&utm_medium=member_desktop&rcm=ACoAACyu-V4BMoUUOGfKVFwWevdsE54RHj_CFCg

🚀 Como testar agora (Hands-on)
Para quem quer ver o motor funcionando, o projeto está estruturado para ser "plug and play" em ambientes Windows com Python:

Repositório Principal: https://github.com/MiguelFAraujo/Sentinela.git

Vídeo da Prova de Conceito: Demonstração da GPU processando a IA (Aqui você vê a minha GTX 1650 atingindo o pico de uso durante a análise).

Setup Rápido: Basta ter o Ollama com o modelo Phi-3 instalado e rodar:

PowerShell
git clone https://github.com/MiguelFAraujo/Sentinela.git
pip install -r requirements.txt
python agente.py
🔍 Onde e quando usar o Sentinela?
O Sentinela foi desenhado para situações onde a confiança no ambiente está abalada:

Investigação de Incidentes (DFIR): Quando você suspeita de um processo oculto usando portas padrão (ex: um malware se disfarçando de serviço do sistema).

Auditoria de Suporte Remoto: Útil para técnicos que, como eu, atendem via TeamViewer ou AnyDesk e precisam validar a integridade da rede do cliente antes de operar.

Laboratórios de Cibersegurança: Excelente para estudantes (como os colegas do Hackers do Bem) que querem entender a correlação real entre Sockets e Processos (PID).

Privacidade Crítica: Ambientes que lidam com dados sensíveis e não podem enviar logs para APIs externas (OpenAI/Gemini).

🛠️ O Diferencial Técnico
Diferente de scanners comuns, o Sentinela faz a correlação forense:

Varredura: Mapeia portas via Nmap.

Identificação: Usa a biblioteca psutil para descobrir o executável real atrelado à porta. No vídeo de demonstração, conseguimos isolar o AnyDesk.exe (PID: 3264) e o System (PID: 4) de forma precisa.

Veredito: O Phi-3 local analisa se aquela combinação de porta/software é um comportamento esperado ou uma ameaça.

Este projeto é fruto da minha jornada na Engenharia de Software e nos programas Hackers do Bem e Oracle Next Education. Decidi deixá-lo em uso aberto para fortalecer a comunidade de defesa ativa.

O que acham dessa abordagem de "IA de Bolso" para segurança? Se puderem, deem uma "Star" no repo para ajudar o projeto a crescer!