CybeRisk OS · el SOC del lazo cerrado

El mismo grafo
que decide
también responde
y verifica.

El grafo de riesgo (CAIG) razona; el Policy Brain decide; el Response Strategist propone un menu de estrategias rankeadas; la accion es gobernada; y el mismo grafo verifica que el riesgo bajo. Un lazo cerrado que ningun TIER1 combina — autonomia bajo control, no a ciegas.

Demo con tus alertas reales (read-only sobre tu SIEM) · Sin instalar nada · Sin compromiso

CLOSED-LOOP · SINGLE GRAPHlive
CAIGsingle graph01GRAFO02DECIDE03RESPONDE04ACTÚA05VERIFICA
↻ verifica realimenta el grafo — el lazo se cierra

0

Etapas del lazo · un solo grafo

0

Alucinaciones LLM (critic gate determinista)

<0s

Correlacion de caso narrado

0

Saltos NL→SQL sobre el grafo

0

no 403 · aislamiento cross-tenant fail-closed

0%

Decisiones con cita auditable

El lazo cerrado sobre un solo grafo

Cinco etapas que razonan sobre el MISMO grafo de riesgo: el que decide tambien responde y verifica. El foso que ningun TIER1 combina.

01

GRAFO

CAIG construye la verdad viva: activos, exposiciones, identidades y controles con sus relaciones. Todo lo demas razona sobre el.

02

DECIDE

Policy Brain correlaciona incidentes en Campanas, plantea hipotesis, las critica (gate determinista) y mide el riesgo sobre el grafo.

03

RESPONDE

Response Strategist propone un MENU de estrategias rankeadas por la postura del tenant (eficacia × blast × disrupcion × reversibilidad × costo). Razona, no improvisa.

04

ACTÚA

Ejecucion gobernada: human-in-the-loop, controles por flag, rollback. La accion real la habilita tu equipo — autonomia bajo control, no a ciegas.

05

VERIFICA

El MISMO grafo confirma si la accion contrajo el riesgo. Verdicto auditable; lo simulado NUNCA se reporta como confirmado.

NUEVO · POLICY BRAIN v2

De alertas a Casos accionables

Mira lo que pasa cuando entran 14 alertas de firewall relacionadas. Un Tier-1 te entrega 14 incidentes. Nosotros, 1 Caso narrado, atribuido y con accion consolidada.

Input: 14 alertas en Splunk / Sentinel

Tu analista Tier-1 recibe esto a las 03:42 UTC:

03:42:29FW-003 175.45.x.x → host-1 SMB
03:43:01FW-003 175.45.x.x → host-2 SMB
03:43:33FW-003 175.45.x.x → host-3 SMB
03:44:12FW-003 175.45.x.x → host-4 SMB
03:45:02FW-003 175.45.x.x → host-5 SMB
03:46:18SIGMA-0042 lateral-mvmt host-3
03:47:00FW-003 175.45.x.x → host-6 SMB
03:48:41SIGMA-0042 lateral-mvmt host-5
03:50:11FW-003 175.45.x.x → host-7 SMB
… +5 alertas mas

Tu analista tarda 15 min en reconocer mentalmente que las 14 alertas son la misma campana. Luego escribe el caso a mano. Repite x200 alertas/dia.

Output Policy Brain v2: 1 Caso (8 segundos)

Caso IDc4a238da · member_count: 14
Narrativa

“Atacante externo desde 175.45.0.0/16 (Hetzner DE) ejecuto scan SMB sobre 7 endpoints internos [inc-1] [inc-3]. La cadena evoluciono a lateral movement via SMB (T1021.002) sobre WLAPCOCOM01 [inc-9].”

Critic gate✓ 14/14 citas validadas · cero alucinaciones
Atribucion
Lazarus Group · confidence 0.78
Match TTPs: T1566 + T1204 + T1059 + T1071 · Disclaimer obligatorio: atribucion probable, no confirmada.
Accioncontainaislar WLAPCOCOM01 + bloquear /16 en perimeter

8 segundos de proceso end-to-end. Tu analista revisa y confirma con un click — o discrepa con “Split campaign” en otro click.

NUEVO · RESPONSE STRATEGIST

Del playbook fijo al razonamiento de respuesta

El SOAR ejecuta UN playbook pre-cableado. Nosotros proponemos un menu de estrategias rankeadas por la postura de tu organizacion — y verificamos el resultado sobre el grafo.

Campana c4a238da · lateral-movement
Postura del tenantbalanceada
★ RECOMENDADA
#1

Identidad — soft-revoke + MFA step-up

Eficacia
0.82
Reversibilidad
0.95
Blast radius
0.18
Disrupcion
0.22
Costo
0.15
Score 0.86 · contiene sin tumbar al usuario
#2

Red — cortar C2 en perimetro

Eficacia
0.88
Reversibilidad
0.70
Blast radius
0.40
Disrupcion
0.35
Costo
0.20
Score 0.74 · mas eficaz, mas disrupcion
#3

Endpoint — aislar host

Eficacia
0.90
Reversibilidad
0.50
Blast radius
0.65
Disrupcion
0.70
Costo
0.30
Score 0.61 · contundente, alta disrupcion
read-only: propone, no ejecutaLa accion real es gobernada (human-in-the-loop, actuador habilitado por Ops). Tras ejecutar, el mismo grafo verifica si el riesgo se contrajo — verdicto auditable. Lo simulado nunca se reporta como confirmado.

Capacidades de la Plataforma

Modulos integrados que cubren el lazo completo — cada uno marcado 🟢 vivo / 🟡 activable-gobernado segun su estado real.

CAIG — Grafo de riesgo

🟢 El grafo de inteligencia de riesgo: activos, exposiciones, identidades y controles con sus relaciones. Combinaciones toxicas, exploitability/reachability, choke points y privilegio transitivo — paridad Wiz/BloodHound sobre PostgreSQL.

Response Strategist

🟢 Un menu de MULTIPLES estrategias de respuesta rankeadas por eficacia, blast radius, disrupcion, reversibilidad y costo — segun la postura del tenant. Propone; la ejecucion es gobernada (human-in-the-loop).

NL→SQL

🟢 Preguntale al grafo en lenguaje natural. El LLM produce un spec estructurado (nunca SQL crudo) y un builder determinista genera la consulta segura, multi-salto. Sin riesgo de inyeccion.

Policy Brain — Campañas

🟢 Correlacion multi-incidente en Campanas + narrativa LLM con citas + critic gate determinista (cero alucinaciones) + atribucion probable a actor, siempre con disclaimer.

CTEM

🟢 Gestion de exposiciones con validacion explotable-vs-teorico, blast radius y choke points. Prioriza lo que es realmente alcanzable, no la lista cruda de CVEs.

Lazo de verificación

🟡 Re-check post-accion sobre el mismo grafo: ¿la accion contrajo el riesgo? Verdicto auditable. Activable; la ejecucion real espera un actuador configurado por Ops.

MSSP Multi-Tenant

🟢 Aislamiento fail-closed verificado por tests de invariantes: acceso cross-tenant a un recurso → 404 (no 403). RBAC por roles, audit trail inmutable por tenant.

Knowledge Engine

🟢 Memoria institucional persistente: cada decision, calibracion, atribucion y outcome se versiona y queda disponible para busqueda y reaprendizaje.

MCP Server (preview)

🟡 Protocolo abierto para conectar agentes IA (Claude/Gemini/Copilot) sobre tu telemetria. En preview (non-prod): se enciende por tenant, no es un automatismo en produccion todavia.

Reportes + Compliance

🟢 Plantillas por audiencia (CISO/Director/Tecnico), programacion y archivado. Cada decision queda con cita auditable — clave para DORA y GDPR Art. 22.

Por que CybeRisk OS

Capacidades unicas que no encontraras en ninguna otra plataforma del mercado.

El mismo grafo decide Y verifica — el moat

Grafo → decision → respuesta → accion → verificacion, todo sobre UN solo grafo de riesgo. Wiz ve exposicion. BloodHound ve rutas. CrowdStrike ve endpoints. Splunk/Sentinel/Chronicle correlacionan eventos. Ninguno cierra el lazo completo sobre el mismo grafo. Ese ciclo es el foso.

Response Strategist — del playbook al razonamiento

El SOAR ejecuta un playbook fijo, pre-cableado. Nosotros proponemos un MENU de estrategias rankeadas por la postura de tu organizacion y verificamos el resultado. Es la capa de razonamiento de respuesta que deja obsoleto el playbook estatico — con la accion siempre gobernada.

Honestidad de estado como contrato

Cada capacidad se marca 🟢 viva / 🟡 activable-gobernada / 🔴 roadmap. Lo simulado nunca se reporta como confirmado; cada narrativa cita su evidencia; el critic gate determinista bloquea alucinaciones. La autonomia es GOBERNADA (human-in-the-loop, flags de control) — gobernanza, no automatismo a ciegas.

Preguntale al grafo en tu idioma (NL→SQL seguro)

Lenguaje natural → spec estructurado → SQL parametrizado con listas blancas. El LLM nunca emite SQL crudo: cero riesgo de inyeccion. Consultas multi-salto sobre el grafo relacional, hoy — sin esperar un motor de grafos propietario.

Diseñado en Europa. Operado para el mundo.

El 100% de las decisiones quedan con cita auditable — clave para DORA y GDPR Art. 22. Aislamiento cross-tenant fail-closed (404, no 403), RBAC por niveles y audit trail inmutable por tenant. Un foso regulatorio NIS2 / DORA / ENS que un vendor US-headquartered no replica de forma autentica.

Cumplimiento y Frameworks Soportados

SOC 2 Type IIISO 27001NIST CSF 2.0PCI-DSS 4.0DORANIS2ENSHIPAAGDPRMITRE ATT&CKCIS Benchmarks

Preguntas Frecuentes

Los Tier-1 correlacionan EVENTOS (logs en una regla SPL/KQL). Nosotros correlacionamos INCIDENTES en Campanas con narrativa LLM citada y atribucion a actor. Splunk te factura por GB ingestado: $200K-$2M/ano. Sentinel cobra $4 por SCU + premium tiers. Nosotros: $15-30 por endpoint/mes, fijo. Y somos el unico SOC con MCP nativo para tus agentes IA.

Cada incidente nuevo se fingerprintea en 7 ejes (WHO, WHERE, WHAT, HOW, CHAIN, TEMPORAL, CTI) y se compara con campanas activas dentro de una ventana de 6h. Match >= 0.6 se une; sino crea Campana nueva. A partir de 3 miembros dispara el LLM Narrator (gemini-2.5-flash) que redacta el caso citando cada incidente. Un critic determinista bloquea narrativas con citas insuficientes — cero alucinaciones llegan al analista.

Combinamos signature MITRE TTPs + IOC overlap (Jaccard >= 0.34) + threshold de confidence 0.6 + perfiles curados (4 actores built-in: APT29, Lazarus, FIN7, scanner_noise + integracion OpenCTI opcional). SIEMPRE con disclaimer obligatorio: 'Atribucion probable, no confirmada — requiere validacion humana.' Conservador por diseno: una falsa atribucion APT es peor que ninguna.

No tienes que. CybeRisk OS funciona sobre tu SIEM existente como capa de IA — connector read-only en 2 horas. Si despues quieres consolidar, te ayudamos a migrar en 90 dias con plan estructurado. Cliente bancario LATAM 2026 Q1: bajo de Splunk Enterprise + 8 analistas Tier-1 a CybeRisk OS + 3 analistas senior de hunting, ROI positivo en 4 meses.

No. Despliegue single-tenant en tu GCP / AWS / Azure, o multi-tenant en nuestro cloud SOC2/ISO. Los embeddings de la IA viven en VPC privada — no enviamos contexto a OpenAI publico sin tu consentimiento explicito. La narrativa LLM corre en gemini-2.5-flash con prompt sandboxed via Vertex AI en tu proyecto.

Tres niveles de proteccion: (1) cada afirmacion de la narrativa cita un incidente concreto [inc-XYZ] que el analista puede clickear, (2) un critic gate determinista (zero LLM cost) bloquea narrativas con citas insuficientes y las marca como 'pending review', (3) el analista puede hacer 'Split campaign' en un click si discrepa con el clustering — feedback que reentrena el correlador.

En vez de un playbook fijo del SOAR, el Response Strategist propone un MENU de estrategias de respuesta para cada incidente o campana, rankeadas por eficacia, blast radius, disrupcion al negocio, reversibilidad y costo — segun la postura de tu organizacion (conservadora, balanceada, agresiva o intel). Es read-only: propone, no ejecuta a ciegas. La ejecucion real es gobernada (human-in-the-loop) y la habilita tu equipo. Luego el lazo verifica sobre el grafo si la accion contrajo el riesgo.

La autonomia es GOBERNADA, no automatismo a ciegas. El sistema razona y PROPONE; las acciones quedan tras controles (flags por capacidad, human-in-the-loop, rollback). La ejecucion real contra actuadores (EDR/Firewall/Identidad) se habilita por tu equipo de Operaciones cuando esten conectados. Lo simulado nunca se reporta como confirmado — el verdicto de cada accion es auditable. Para nosotros eso es una fortaleza de control, no una carencia.

Si — con NL a SQL. Escribes la pregunta en tu idioma; un LLM la traduce a un spec estructurado y un builder determinista genera SQL parametrizado con listas blancas, multi-salto sobre el grafo relacional. El LLM nunca emite SQL crudo, asi que no hay riesgo de inyeccion. Funciona hoy sobre tu grafo, sin esperar un motor de grafos propietario.

Si, con un MCP (Model Context Protocol) server para conectar Claude, Gemini o Copilot sobre tu telemetria, con auditoria por agente y por usuario. Hoy esta en preview (non-prod): se enciende por tenant y no es un automatismo en produccion todavia — lo comunicamos asi por transparencia, no lo vendemos como certificado.

Si, MSSP-native. Aislamiento fail-closed verificado por una bateria de tests de invariantes cross-tenant: todo store tenant-scoped exige tenant_id, toda query lleva WHERE tenant_id, y el acceso cross-tenant a un recurso devuelve 404 (no 403, para no filtrar existencia). RBAC por roles (super_admin, mssp_operator, tenant_admin, analyst, viewer), aprovisionamiento de tenants y audit trail inmutable por tenant.

NIST CSF 2.0, SOC 2 Type II, ISO 27001, PCI-DSS 4.0, DORA, NIS2, ENS, HIPAA, GDPR, CIS Benchmarks y MITRE ATT&CK. El sistema mapea controles a frameworks automaticamente y genera reportes de cumplimiento. Las decisiones autonomas quedan registradas con cita auditable — clave para DORA y GDPR Art. 22.

Agenda una Demo Personalizada

Nuestro equipo te mostrara como CybeRisk OS puede transformar tus operaciones de seguridad en menos de 30 minutos.

Demo personalizada con datos de tu industria

Sesion tecnica de 30 minutos con un ingeniero de seguridad

Analisis de ROI y plan de implementacion gratuito

O escribenos directamente a sales@a3sec.com