O que faz

IA com guard-rails. Ferramentas com permissões. Humanos no loop.

Times de segurança perdem tempo alternando dashboards, repetindo as mesmas verificações e coletando contexto manualmente antes de decidir. O gsage reduz esse atrito enquanto melhora eficiência operacional e segurança.

01 / ORQUESTRAÇÃO

Agentes de IA com acesso escopado a ferramentas

Backend FastAPI, workers Celery, scheduler RedBeat. Agentes executam com um modelo claro — logado, auditado e isolado por um MCP server com permissões por org / departamento / usuário.

02 / INTEGRAÇÕES

Conversa com as ferramentas que você já tem

Antivírus, EDR, SIEM, ticketing, WAF, proxies, RH, Active Directory, inventário — expostos ao motor como tools tipadas que você combina, agenda e governa por regras.

03 / CONTROLE

On-premise, auditável, multi-tenant

Roda no seu ambiente. Organizações, departamentos e usuários são primitivas do modelo. Toda execução deixa rastro no Elasticsearch. Seus dados não precisam sair.

Workflows reais

De um único prompt a um incidente resolvido.

O gsage transforma uma pergunta em linguagem natural em uma sequência de chamadas de ferramentas, enriquecimentos e ações — devolvendo um resumo auditável.

WORKFLOW · 01

Investigar um hash malicioso

gsage, procure no ambiente o hash abc123, colete status de atualização do antivírus das máquinas afetadas, identifique os usuários associados, abra um ticket por host impactado, adicione o hash ao blacklist e me envie o status final por e-mail.

Plano de execução

1Buscar o hash abc123 no SIEM / EDR integrado (Bitdefender, CrowdStrike, Trellix)

2Consultar APIs de antivírus para status de atualização em cada máquina afetada

3Identificar usuários responsáveis no Active Directory e sistemas de RH

4Abrir ticket na plataforma de ticketing por host afetado

5Adicionar o hash ao blacklist centralizado via API

6Enviar e-mail com resumo de hosts, usuários e tickets

WORKFLOW · 02

Responder a um report de phishing

gsage, um usuário reportou um e-mail suspeito. Analise o conteúdo, inspecione links e anexos, e me diga se é phishing. Se for, abra um ticket de incidente e envie um resumo para revisão humana.

Plano de execução

1Analisar o conteúdo do e-mail com LLM para identificar indicadores de phishing

2Inspecionar links com a ferramenta de análise de URL

3Detonar anexos no sandbox / ferramenta de análise de malware

4Se for phishing: bloquear o remetente e abrir ticket de incidente

5Retornar classificação, indicadores encontrados e ações tomadas

6Enviar e-mail ao analista com resumo e detalhes do ticket

WORKFLOW · 03

Verificação agendada de apps de risco

gsage, todo dia às 09:00, procure no ambiente por AnyDesk, TeamViewer e OpenVPN. Para cada host, me diga o nome da máquina e o usuário logado.

Plano de execução

1Agendar o prompt no scheduler interno (RedBeat / Celery)

2Executar a busca nas integrações de inventário / gestão de ativos

3Coletar nome da máquina e usuário logado por match

4Compilar e enviar o resumo por e-mail ao analista

Pontos de entrada

Encontre seu time onde ele trabalha.

Web UI

Interface React para analistas. Conversas, agendamentos, permissões de ferramentas, trilha de auditoria.

E-mail

Envie prompts, anexe arquivos, receba respostas. Ideal para análise assíncrona e workflows com rastro em papel.

Triagem on-call pelo celular. Mesmas permissões, mesma auditoria, sem abrir o laptop.

CLI

Fluxo terminal-first, com renderização markdown e gestão de conversas. gsage ask "…"

Arquitetura em um minuto

Poucos serviços, cada um com foco.

Docker Compose basta para a escala prevista. Cada serviço tem uma função clara — e as fronteiras são os pontos de auditoria.

CorebackendFastAPI. API, orquestração de agentes, health checks, lógica core.

UIweb-uiReact. Interface web para os usuários.

Toolsmcp-serverCamada de execução isolada de ferramentas com permissões escopadas.

Asynccelery + beatExecução em background e agendada por fila.

Entradaemail-workerIngestão e resposta via e-mail.

Entradatelegram-workerEnvio de prompts e entrega de respostas via Telegram.

ServiçocuratorGestão de blocklists / allowlists usadas por tools e regras.

StorepostgresDados operacionais.

StoreweaviateMemória semântica e retrieval.

QueueredisBroker, cache, locks, pub/sub.

LogselasticsearchLogs de auditoria, métricas, logs estruturados.

LLMprovedor externoOllama, OpenAI, Gemini, DeepSeek ou qualquer endpoint compatível com OpenAI — selecionado por LLM_PROVIDER.

Regrasrules engineAprova ou rejeita execução de ferramentas com lógica customizada antes da chamada rodar.

Ferramentas & integrações

Feito para as integrações que você já tem.

O gsage já vem com um catálogo crescente de tools e torna simples adicionar as suas. Tools da comunidade vivem em guardiankey/gSage-soc-ai-tools.

EDR · AVBitdefender

EDRCrowdStrike

EDRTrellix

SIEMElastic

InventárioGLPI

IntelMS Security KB

IntelShodan

IntelWHOIS

IdentidadeActive Directory

IdentidadeSistemas de RH

TicketingAPIs de ticketing

E-mailSegurança de e-mail

WebAnálise de URL

SandboxSandbox de malware

RedeWAF · Proxy

DadosListas do Curator

VizDiagramas Mermaid

+ maisCrie a sua

Crie uma tool em minutos.

Tools são subclasses de BaseTool expostas via MCP server. Você define metadados, schemas, permissões e a lógica de execução; o gsage cuida do registro, da auditoria e da orquestração.

Leia o guia de tools →

from __future__ import annotations
    from typing import ClassVar, Optional
    from src.mcp_server.tools.base import BaseTool, ToolResult
    from src.shared.security.context import AgentContext

    class MyTool(BaseTool):
      """Short description used in MCP and admin metadata."""
      name: ClassVar[str] = "my_tool"
      version: ClassVar[str] = "1.0.0"
      summary: ClassVar[str] = "One-line summary used by search_tools"
      category: ClassVar[str] = "utility"
      permissions: ClassVar[list[str]] = ["utility:run"]
      rate_limit_per_minute: ClassVar[int] = 30
      timeout_seconds: ClassVar[int] = 15
      use_circuit_breaker: ClassVar[bool] = False
      params_schema: ClassVar[dict] = {"type": "object", "properties": {"value": {"type": "string", "description": "Input value to process"}}, "required": ["value"], "additionalProperties": False}
      config_schema: ClassVar[Optional[dict]] = {"properties": {"prefix": {"type": "string", "description": "Optional prefix used in the output"}}, "required": []}
      config_defaults: ClassVar[dict] = {"prefix": ""}

      async def execute(self, agent_context: AgentContext, params: dict, config: dict, state: dict) -> ToolResult:
        raw_value = params.get("value")
        if not isinstance(raw_value, str) or not raw_value.strip():
          return self._failure("INVALID_INPUT", "'value' must be a non-empty string")
        return self._success({"value": f"{config.get('prefix', '')}{raw_value.strip()}", "org_id": str(agent_context.org_id)})

◉ gSage AI SOC Source-Available License 1.0

Source-available. Grátis para uso interno de SOC.

O gsage é proprietário, mas source-available. Você pode ler o código, implantar e usar para defender a sua própria organização — gratuitamente, dentro de alguns limites claros.

Uso interno gratuito

Até 10 usuários

Authorized Internal Users em qualquer período móvel de 30 dias, incluindo service accounts e credenciais de API.

Escopo

Apenas operações de SOC

Monitoramento, triagem, investigação, resposta a incidentes, detection engineering, enrichment e automação de segurança.

Comercial

Exige parceria

Ofertas SaaS, hosted, gerenciadas, MSSP, white-label, OEM ou revenda exigem acordo escrito com a GuardianKey.

Leia a licença completa → gSage AI SOC Enterprise

Pergunte à sua infraestrutura em linguagem natural.

A vertical de cibersegurança da plataforma gSage AI.

IA com guard-rails. Ferramentas com permissões. Humanos no loop.

Agentes de IA com acesso escopado a ferramentas

Conversa com as ferramentas que você já tem

On-premise, auditável, multi-tenant

De um único prompt a um incidente resolvido.

Investigar um hash malicioso

Responder a um report de phishing

Verificação agendada de apps de risco

Encontre seu time onde ele trabalha.

Web UI

E-mail

Telegram

CLI

Poucos serviços, cada um com foco.

Feito para as integrações que você já tem.

Crie uma tool em minutos.

Source-available. Grátis para uso interno de SOC.

Entregue um SOC auditável, com IA.
Sem entregar seus dados.

A vertical de cibersegurança da plataforma gSage AI.

IA com guard-rails. Ferramentas com permissões. Humanos no loop.

Agentes de IA com acesso escopado a ferramentas

Conversa com as ferramentas que você já tem

On-premise, auditável, multi-tenant

De um único prompt a um incidente resolvido.

Investigar um hash malicioso

Responder a um report de phishing

Verificação agendada de apps de risco

Encontre seu time onde ele trabalha.

Web UI

E-mail

Telegram

CLI

Poucos serviços, cada um com foco.

Feito para as integrações que você já tem.

Crie uma tool em minutos.

Source-available. Grátis para uso interno de SOC.

Entregue um SOC auditável, com IA.Sem entregar seus dados.

Entregue um SOC auditável, com IA.
Sem entregar seus dados.