WorthTrailaws · sec · finops
Security & FinOps para AWS

Pare de adivinhar seus riscos na AWS. Monitore em linguagem natural.

O WorthTrail traduz logs complexos do AWS CloudTrail em alertas claros de segurança e custos direto no Slack. Identifique recursos caros e ameaças em 5 minutos, não no fim do mês e com total privacidade, pois não armazenamos nenhum tipo de dado.

 READ-ONLY · SEM AGENTES · SEM MUDAR NADA NA SUA INFRA · COMPATÍVEL COM AWS SECURITYAUDIT · SOC2

Logs Control Plane AWS
Preview|#aws-alerts-security·WorthTrail Bot
#aws-alerts-security
Resumo dos logs do CloudWatch
🤖 AWS INSIGHT REPORT - CONTROL PLANE 🇧🇷
bruno.rocha
👤bruno.rocha
Conta: 778899001122 - 🟢 Risco: Baixo
DateServiceKRIDescription
14:15:33sns📣Criou o tópico alertas-faturamento para recebimento de webhooks
14:18:02sns📧Inscreveu endpoints de e-mail corporativo na lista de distribuição
14:20:15budgets💰Criou limite de previsão de gastos com envio de e-mails
14:23:40snsDisparou notificação teste no canal de faturamento com sucesso
14:26:00cloudwatch📈Criou painel de métricas unificado para alertas e tópicos inativos

Resumo da Sessão: O utilizador bruno.rocha configurou com excelência canais de aviso de billing e ferramentas voltadas para contenção e mitigação de desvios.

felipe.almeida
👤felipe.almeida
Conta: 445566778899 - 🟢 Risco: Baixo
DateServiceKRIDescription
09:40:12eks🚧Atualizou control plane do cluster k8s-prod para 1.28
10:15:22eks♻️Iniciou reciclagem controlada dos Worker Nodes para nova AMI
10:20:00eksValidou conectividade de pods e rotas de rede dos nós
10:25:30ec2⬆️Upgrade do tipo de instância para m5.xlarge
10:30:15eks🛡️Vinculou provedor IAM OIDC para controle de Service Accounts

Resumo da Sessão: O utilizador felipe.almeida concluiu atividades programadas de ciclo de vida e estabilização de containers Kubernetes sem incidentes.

carlos.eduardo
👤carlos.eduardo
Conta: 554433221100 - 🟢 Risco: Baixo
DateServiceKRIDescription
11:45:01lambdaAtualizou código da função process-payment-webhook
11:46:12dynamodb📈Alterou modo de capacidade da tabela Payments para On-Demand
11:48:00lambdaTestou com sucesso a execução da função com payload sintético
11:50:30sns🔔Associou tópico de notificações urgentes à DLQ da função Lambda

Resumo da Sessão: O utilizador carlos.eduardo realizou deploys padrão de correção, otimização de provisionamento e fortificou a robustez da fila de erros.

ricardo.lima
👤ricardo.lima
Conta: 554466771122 - 🟢 Risco: Baixo
DateServiceKRIDescription
15:22:19sqs💬Criou a fila FIFO orders-dlq.fifo para tratamento de mensagens mortas
15:25:00sqs⛓️Associou a DLQ à fila principal main.fifo
15:28:10sqsModificou período máximo de retenção da fila DLQ para 14 dias
15:30:45sns🔗Inscreveu a fila DLQ ao pipeline automatizado de notificações

Resumo da Sessão: O utilizador ricardo.lima realizou configurações completas e corretas de resiliência e desacoplamento na fila de transações da aplicação financeira.

jefferson.berni
👤jefferson.berni
Conta: 678593456058 - 🟢 Risco: Baixo
DateServiceKRIDescription
01:21:04autoscaling🛑Tentou atualizar Auto Scaling Group — acesso negado
01:23:13autoscaling🛑Tentou atualizar Auto Scaling Group — acesso negado
01:25:23autoscaling🛑Tentou atualizar Auto Scaling Group — acesso negado
01:26:40autoscaling🛑Tentou atualizar Auto Scaling Group — acesso negado
01:28:10stsAssumiu a role ReadOnlyAccess com sucesso

Resumo da Sessão: O utilizador jefferson.berni tentou realizar modificações em Auto Scaling Groups, mas todas as tentativas de escrita foram bloqueadas por falta de permissões, forçando-o a assumir credenciais de leitura.

jean.finoti
👤jean.finoti
Conta: 678512375058 - 🟢 Risco: Baixo
DateServiceKRIDescription
10:25:33apigateway⚙️Criou recurso na API REST mc1tmlq2o1
10:25:33apigateway⚙️Configurou método HTTP na API REST mc1tmlq2o1
10:25:33apigateway⚙️Configurou integração na API REST mc1tmlq2o1
10:26:01apigateway⚙️Criou estágio de deployment dev-stage
10:28:12acmVinculou certificado SSL à API REST para o domínio interno

Resumo da Sessão: O utilizador jean.finoti realizou configurações completas de API Gateway e provisionamento de rotas HTTPS em sequência rápida. Atividade rotineira de desenvolvimento.

helio.andrew
👤helio.andrew
Conta: 178665445552 - 🟢 Risco: Baixo
DateServiceKRIDescription
19:22:40ce📈Iniciou análise de compra de Savings Plans (DATABASE_SP, ONE_YEAR, NO_UPFRONT)
19:27:50savingsplans💰Criou um novo Savings Plan a738e250…b989cc8
19:30:15budgets💸Configurou alerta de orçamento para excedente de 80% do Savings Plan
19:35:00ce📊Gerou relatório de previsão de custos para o próximo trimestre fiscal

Resumo da Sessão: O utilizador helio.andrew realizou planejamento e contratação de compromissos de custos estruturados e implementou limites de contingência.

lucas.silva
👤lucas.silva
Conta: 112233445566 - 🔴 Risco: Alto
DateServiceKRIDescription
08:15:22iam⚠️Criou uma nova Access Key para o utilizador administrador root
08:16:10s3🛑Alterou a política do bucket relatorios-financeiros para acesso público
08:18:05s3🔐Removeu a proteção contra exclusão (MFA Delete) do bucket
08:20:11iam⚠️Criou política de acesso irrestrito herdada no próprio usuário
08:22:45route53🗺️Tentou transferir domínio institucional para conta externa — negado
08:25:00cloudtrail🛑Tentou desativar logs de dados históricos do S3 — acesso negado
08:28:30sts🔑Tentou obter credenciais de longa duração para usuário root

Resumo da Sessão: O utilizador lucas.silva demonstrou sequência alarmante de escalada de privilégios, enfraquecimento de proteção S3 e tentativas falhas de evasão.

mariana.costa
👤mariana.costa
Conta: 998877665544 - 🟠 Risco: Médio
DateServiceKRIDescription
14:02:11ec2⚠️Terminou a instância EC2 de produção prd-api-server-02
14:05:00ec2Inicializou instância substituta a partir da AMI ami-0c55b159c
14:06:15ec2🔗Associou Elastic IP 54.210.12.85 à nova instância
14:08:42ec2🛡️Restringiu Security Group na porta 443 apenas para IPs corporativos
14:10:00cloudwatch📈Criou alarme de CPU acima de 85% para a nova instância

Resumo da Sessão: A utilizadora mariana.costa gerenciou um ciclo completo de substituição de nó, corrigindo políticas de firewall e garantindo monitoramento reativo.

beatriz.santos
👤beatriz.santos
Conta: 334455667788 - 🟢 Risco: Baixo
DateServiceKRIDescription
16:30:00rds📷Criou snapshot manual db-backup-pre-migration da instância mysql-prod
16:35:15rds⬆️Upgrade da classe db.t3.mediumdb.m5.large
16:38:22rds🔄Modificou grupo de parâmetros para habilitar logs de queries lentas
16:40:00rdsReiniciou a instância db mysql-prod de forma controlada
16:45:10cloudwatch🔔Atualizou alarme de espaço livre em disco < 10%
16:50:00rds🛡️Verificou conformidade de criptografia em repouso (Ativo)

Resumo da Sessão: A utilizadora beatriz.santos seguiu os padrões operacionais de manutenção de banco, estabelecendo checkpoints de segurança e monitoria proativa.

rodrigo.mendes
👤rodrigo.mendes
Conta: 223344556677 - 🔴 Risco: Alto
DateServiceKRIDescription
22:11:05kms🔒Desabilitou temporariamente a chave master cmk-user-data
22:12:40cloudtrail🛑Tentou interromper a trilha management-trail — acesso negado
22:13:10kms🔒Tentou agendar exclusão permanente da chave cmk-user-data
22:14:05iam⚠️Excluiu política restritiva de obrigatoriedade de MFA do seu perfil
22:15:20vpc🛑Tentou excluir o Internet Gateway de produção — negado
22:16:55shield🛡️Tentou desativar AWS Shield Advanced — negado
22:18:12guardduty⚠️Tentou excluir Threat IP List — acesso negado
22:20:00iam🔑Tentou gerar Access Keys de privilégio elevado para auditor — negado
22:22:15sts🕵️Solicitou credenciais em região externa restrita (ap-east-1)

Resumo da Sessão: O utilizador rodrigo.mendes demonstrou clara e agressiva tentativa de sabotagem de infraestrutura, remoção de controles preventivos globais e camuflagem de auditorias.

amanda.oliveira
👤amanda.oliveira
Conta: 887766112233 - 🟠 Risco: Médio
DateServiceKRIDescription
13:10:05route53🗺️Alterou DNS A de api.empresa.com para IP externo desconhecido
13:12:40route53↩️Reverteu a alteração apontando novamente para o Load Balancer interno
13:15:00route53🗺️Modificou política de roteamento para Failover Geográfico redundante
13:18:22cloudfront🔄Invalidou cache estático no caminho global /assets/*
13:20:00route53🛡️Habilitou bloqueio absoluto de transferência cadastral de domínio
13:25:10route53🔍Consultou histórico de Logs de DNS para auditoria de zona privada

Resumo da Sessão: A utilizadora amanda.oliveira aplicou correções rápidas de roteamento e restabeleceu redundâncias essenciais após testes de CDN.

patricia.souza
👤patricia.souza
Conta: 991122334455 - 🔴 Risco: Alto
DateServiceKRIDescription
03:04:11guardduty🚫Desativou o detector global de ameaças do GuardDuty em us-east-1
03:06:55securityhub🔐Desabilitou os controles automatizados de conformidade PCI-DSS
03:08:12waf🛑Excluiu a regra do WAF de bloqueio de requisições maliciosas
03:10:05cloudtrail🛑Tentou deletar bucket S3 de logs frios auditados — negado
03:12:44config🔐Desativou o gravador AWS Config Recorder
03:15:20iam⚠️Excluiu diretivas de horário e bloqueio de IPs do seu perfil
03:17:35vpc🚧Modificou tabela de rotas internas apontando para rede externa
03:19:10vpc🛑Tentou excluir a VPC Peering com SOC externo — negado
03:22:00cloudwatch⚠️Desativou alarmes de integridade de barramento em us-east-1
03:25:30iam🔑Tentou revogar credenciais do time de resposta a incidentes — negado

Resumo da Sessão: A utilizadora patricia.souza realizou sucessão severa de tentativas de desativação completa do perímetro defensivo e desligamento de logs corporativos durante a madrugada.

gustavo.teixeira
👤gustavo.teixeira
Conta: 123456789012 - 🟢 Risco: Baixo
DateServiceKRIDescription
17:44:02cloudfront☁️Criou uma nova distribuição CloudFront integrada com o bucket S3 estático
17:50:11cloudfront🛡️Associou política básica do AWS WAF para SQLi e XSS
17:52:10wafVinculou WebACL de produção à distribuição CloudFront
17:55:00cloudfront🔒Ativou política de redirecionamento obrigatório HTTP → HTTPS
17:58:12s3🛡️Bloqueou completamente acesso público de leitura na origem do bucket

Resumo da Sessão: O utilizador gustavo.teixeira implementou com sucesso políticas seguras de borda e deploy de ativos estáticos em conformidade com as diretivas de proteção web.

camila.nunes
👤camila.nunes
Conta: 654321098765 - 🟠 Risco: Médio
DateServiceKRIDescription
23:55:00secretsmanager👁️Solicitou revelação do segredo /prod/db/master_password
23:58:12secretsmanager🔄Forçou rotação imediata da chave de credenciais do banco legado
23:59:00secretsmanager🔄Validou o status do agendamento de rotação automatizada semanal
00:01:10rds🔒Reconfigurou a instância para aceitar a nova credencial
00:03:45kms🔑Consultou histórico de descriptografia de chaves dos segredos
00:05:22cloudwatch🔔Criou alarme para falha de autenticação no Secrets Manager
00:08:00secretsmanager👁️Tentou ler logs históricos de acesso via console — negado

Resumo da Sessão: A utilizadora camila.nunes executou ações críticas fora do horário padrão sobre chaves mestras e bancos legados de produção.

Enviar mensagem para logs-control-plane-aws

Por que escolher a WorthTrail?

Conecte segurança e FinOps no mesmo canal. Sem agentes, sem complexidade e com o time já dentro do Slack.

Alertas em tempo real

Detecte ações críticas, desperdícios de custo e ameaças de segurança com notificações claras e acionáveis no Slack.

Segurança sem agentes

Não instale nada na sua infraestrutura. A WorthTrail opera com permissões de leitura seguras dentro da sua própria conta AWS.

Custo estimado por recurso

Cada recurso criado recebe uma estimativa de impacto mensal, ajudando o time FinOps a aprovar ou rever antes do gasto escalar.

Experiência nativa no Slack

Cards ricos, botões de ação, tabelas e feedback direto no canal que seu time já usa. Sem mais contextos espalhados.

Antes vs. Depois do WorthTrail

12 eventos crus do CloudTrail, traduzidos em uma única sessão acionável no Slack.

Antes — Log bruto do CloudTrail
cloudtrail-events.json · 12 eventos
[
  {
    "eventTime": "2026-06-15T14:32:11Z",
    "eventSource": "rds.amazonaws.com",
    "eventName": "CreateDBInstance",
    "awsRegion": "sa-east-1",
    "userIdentity": { "principalId": "AROAEX:jefferson.berni", "accountId": "678593456058" },
    "requestParameters": {
      "dBInstanceIdentifier": "prod-analytics-2",
      "dBInstanceClass": "db.m5.2xlarge",
      "publiclyAccessible": true,
      "storageEncrypted": false
    }
  },
  {
    "eventTime": "2026-06-15T14:33:02Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "PutBucketPolicy",
    "requestParameters": { "bucketName": "relatorios-fin", "policy": "Allow:*" }
  },
  {
    "eventTime": "2026-06-15T14:34:18Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "requestParameters": { "groupId": "sg-0a8b9c", "ipPermissions": [{ "fromPort": 22, "toPort": 22, "cidrIp": "0.0.0.0/0" }] }
  },
  {
    "eventTime": "2026-06-15T14:35:40Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "CreateAccessKey",
    "requestParameters": { "userName": "admin-root" }
  },
  {
    "eventTime": "2026-06-15T14:36:55Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ScheduleKeyDeletion",
    "requestParameters": { "keyId": "cmk-user-data", "pendingWindowInDays": 7 }
  },
  {
    "eventTime": "2026-06-15T14:38:01Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StopLogging",
    "errorCode": "AccessDenied",
    "requestParameters": { "name": "management-trail" }
  },
  {
    "eventTime": "2026-06-15T14:39:22Z",
    "eventSource": "guardduty.amazonaws.com",
    "eventName": "DeleteDetector",
    "errorCode": "AccessDenied"
  },
  {
    "eventTime": "2026-06-15T14:40:30Z",
    "eventSource": "lambda.amazonaws.com",
    "eventName": "CreateFunction",
    "requestParameters": { "functionName": "exfil-helper", "role": "arn:aws:iam::...:role/Admin" }
  },
  {
    "eventTime": "2026-06-15T14:41:47Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "requestParameters": { "roleArn": "arn:aws:iam::999:role/OrganizationAccountAccess" }
  },
  {
    "eventTime": "2026-06-15T14:42:55Z",
    "eventSource": "route53.amazonaws.com",
    "eventName": "ChangeResourceRecordSets",
    "requestParameters": { "hostedZoneId": "Z123", "name": "api.empresa.com", "type": "A", "value": "187.45.22.10" }
  },
  {
    "eventTime": "2026-06-15T14:44:10Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "RunInstances",
    "requestParameters": { "instanceType": "p4d.24xlarge", "count": 4, "region": "us-east-1" }
  },
  {
    "eventTime": "2026-06-15T14:45:32Z",
    "eventSource": "config.amazonaws.com",
    "eventName": "StopConfigurationRecorder",
    "requestParameters": { "name": "default" }
  }
]
Logs Control Plane AWS
#aws-alerts-security · WorthTrail Bot
#aws-alerts-security
Resumo dos logs do CloudWatch
jefferson.berni
👤jefferson.berni
Conta: 678593456058 - 🔴 Risco: Alto
14:32:11rds🔴Criou instância RDS prod-analytics-2 pública e sem criptografia
14:33:02s3🛑Alterou política do bucket relatorios-fin para acesso público irrestrito
14:34:18ec2⚠️Liberou porta 22 (SSH) para 0.0.0.0/0 no security group sg-0a8b9c
14:35:40iam🔑Criou Access Key para o utilizador admin-root
14:36:55kms🔒Agendou exclusão da chave KMS cmk-user-data em 7 dias
14:38:01cloudtrail🛑Tentou interromper trilha management-trail — acesso negado
14:39:22guardduty🚫Tentou excluir detector GuardDuty — acesso negado
14:40:30lambda⚠️Criou função Lambda exfil-helper com role Admin
14:41:47sts🕵️Assumiu role OrganizationAccountAccess em conta externa
14:42:55route53🗺️Alterou DNS de api.empresa.com para IP externo 187.45.22.10
14:44:10ec2💰Subiu 4x p4d.24xlarge em us-east-1 (custo estimado alto)
14:45:32config🔴Desativou AWS Config Recorder global

Resumo da Sessão: O utilizador jefferson.berni executou em poucos minutos uma cadeia agressiva de ações que combinam exposição pública de dados, escalada de privilégios, tentativa de evasão de auditoria e provisionamento de recursos de alto custo — padrão clássico de comprometimento de credenciais.

O motor de análise da WorthTrail

Sete camadas de detecção que transformam logs brutos da AWS em alertas acionáveis — de segurança a FinOps.

Anomalias Temporais

Detecta ações críticas realizadas fora do horário comercial (ex: 2h da manhã) ou picos anômalos de chamadas à API que indicam automações maliciosas ou vazamento de credenciais.

Exposição de Rede e Infraestrutura

Alerta instantaneamente se portas sensíveis (como 22 ou 3389) forem abertas para o mundo (0.0.0.0/0), se bancos de dados RDS forem criados públicos ou sem criptografia ativa.

Ataques à Identidade e Privilégios

Identifica imediatamente a remoção de MFA (Multi-Factor Authentication), escalonamento de privilégios de usuários, criação de acessos backdoor ou uso indevido da conta Root.

Exfiltração de Dados

Monitora e bloqueia o compartilhamento de snapshots de banco de dados com contas externas ou a replicação de buckets S3 para destinos não autorizados.

Evasão de Defesa (Cobertura)

Gera alertas de altíssima prioridade se alguém tentar desativar o AWS CloudTrail, deletar grupos de logs do CloudWatch ou silenciar ferramentas de segurança.

Anomalias de Custo (FinOps)

Calcula o custo estimado mensal de qualquer novo recurso criado. Se o impacto projetado ultrapassar o limite configurado (ex: $1.000/mês), o time é notificado no Slack na hora.

Ataques Compostos

Correlaciona múltiplos eventos suspeitos, como a criação de uma credencial temporária seguida de uma deleção rápida de log, identificando táticas de invasores profissionais.

ROI calculator

Calcule seu ROI em 10 segundos

Quanto o WorthTrail economiza para o seu time todo mês

Economia mensal estimada
$4,200
por mês
$50,400 / ano
Horas de auditoria evitadas
42h
Gastos surpresa prevenidos
$1,050
$15,000
$1k$100k
12
1100
Como calculamos

A economia estimada une o tempo de engenharia economizado (3,5h por pessoa/mês a US$ 75/h) com o gasto surpresa evitado na AWS (7% da fatura mensal).

Tempo de engenharia
42h × $75 = $3,150
Gastos prevenidos
7% × $15,000 = $1,050
Aprovado pelo CFO

Segurança e FinOps que cabem no seu Orçamento Operacional (OpEx)

Sem investimentos iniciais pesados (CapEx), sem burocracia de compras. O WorthTrail é contratado como serviço recorrente, reduzindo o ciclo de aprovação interna de meses para dias.

Zero Ativos Imobilizados (Sem CapEx)

Esqueça a compra de servidores ou licenças perpétuas caras. Você paga apenas pelo que usa na nuvem, mantendo o caixa da sua empresa livre para o core business.

Dedução Fiscal Imediata

Por ser classificado como despesa operacional direta (OpEx), as mensalidades do WorthTrail podem ser deduzidas integralmente na base de cálculo do Imposto de Renda de empresas no regime de Lucro Real.

Ciclo de Aprovação Ultra-Rápido

Como o WorthTrail cabe no orçamento operacional mensal do time de TI/Engenharia, o processo de contratação não exige comitês de investimento complexos ou aprovações de diretoria executiva.

Previsibilidade Absoluta

Flutuações de nuvem podem quebrar o planejamento. O WorthTrail avisa sobre gastos acidentais em 5 minutos e possui um custo de assinatura previsível e escalável.

Auditoria & Governança

Auditoria Contínua e Conformidade Sem Esforço

O WorthTrail transforma o caos dos logs do CloudTrail em uma trilha de auditoria limpa, imutável e estruturada. Mapeamos automaticamente cada evento de infraestrutura aos requisitos de conformidade das principais certificações de mercado.

ISO 27001 (Segurança da Informação)

Mapeamento direto de controles de acesso (A.9) e segurança das operações (A.12.6.1 - Gestão de vulnerabilidades técnicas).

SOC 2 Type II (Confidencialidade e Segurança)

Evidências automatizadas de monitoramento contínuo de anomalias e resposta rápida a incidentes.

PCI-DSS (Proteção de Dados de Pagamento)

Auditoria estrita de qualquer alteração em ambientes de rede (Firewalls/Security Groups) e acessos administrativos.

Preços simples. ROI imediato.

Comece em minutos. Cancele quando quiser.

100% Dedutível como OpEx — Sem Taxas de Adesão
Starter

Para startups que querem evitar surpresas na fatura.

$49/mês
1 conta AWS
  • Alertas no Slack
  • Custo estimado por recurso
  • Email support
Começar
Mais popular
Growth

Para times em crescimento que precisam de botões interativos no Slack.

$249/mês
Até 5 contas AWS
  • Tudo do Starter
  • Botões interativos Slack
  • Regras personalizadas
  • Priority support
Começar
Enterprise

Para corporações com mapeamento de compliance e regras customizadas.

$1299/mês
Contas ilimitadas
  • Tudo do Growth
  • Compliance mapping (SOC2/CIS)
  • SSO & audit logs
  • Customer Success dedicado
Começar
FAQ

Perguntas Frequentes

Pare de ler CloudTrail. Comece a entregar.

Conecte sua primeira conta AWS em menos de 4 minutos. Seu time receberáo primeiro alerta explicado por IA antes da próxima daily.