¿Qué es Sentry?
Sentry es una plataforma de threat intelligence automatizada que recolecta, correlaciona y visualiza información de vulnerabilidades (CVE) provenientes de 13 fuentes de seguridad. Su foco está en entornos Azure y Microsoft 365, transformando ruido en señales accionables para equipos de seguridad.
El proyecto combina un backend asíncrono en Python con un dashboard moderno en Next.js 16, ofreciendo una vista única y priorizada del panorama de amenazas que realmente afectan a tu stack Microsoft.
El Problema que Resuelve
Los equipos de seguridad enfrentan a diario una sobrecarga de avisos:
- Cientos de CVEs publicados por semana entre NVD, MSRC y otros boletines.
- Información dispersa en feeds RSS, advisories de GitHub, base de datos de exploits, KEV de CISA, etc.
- Falta de contexto sobre qué se explota activamente y qué impacta realmente a tu entorno.
- Dificultad para traducir un CVE en una acción defensiva concreta.
Sentry consolida esta información, filtra por productos relevantes (Azure/M365), prioriza con un score unificado y mapea cada amenaza a contramedidas accionables del framework MITRE D3FEND.
Arquitectura General
| |
El pipeline corre cada 4 horas por defecto, recolecta los últimos 7 días de CVEs, los enriquece y los expone al dashboard mediante un único dashboard_data.json.
Características Principales
Dashboard con Priorización Diaria
Cada vulnerabilidad se clasifica en tres categorías de acción:
- Act Now (8-10): parcheo inmediato.
- This Week (5-7.9): remediación dentro de la semana.
- Monitor (0-4.9): seguimiento en el siguiente ciclo.
Señales Claras por Vulnerabilidad
Cada amenaza muestra de un vistazo:
- Badge CISA KEV si está en el catálogo de Known Exploited Vulnerabilities.
- Indicador Exploit Available cuando hay PoC o exploit público.
- CVSS y EPSS combinados en el score final.
Threat Pulse
Un panel analítico con:
- Tendencias temporales.
- Top 5 productos con mayor exposición.
- Distribución de severidad.
- Heatmap de tácticas MITRE ATT&CK.
- Calendario interactivo con drill-down diario.
Watchlists
Listas personalizadas para monitorear vendors, productos o keywords específicos. Soportan filtros por severidad mínima y modo KEV-only para enfocarse solo en lo que se está explotando.
Workflow Kanban
Tablero de gestión de incidentes con cinco estados (New → Triaged → Mitigating → Patched → Ignored), drag-and-drop y exportación de tickets a Jira, ServiceNow, GitHub Issues u otros sistemas.
Acciones Defensivas con MITRE D3FEND
Cada amenaza se mapea a contramedidas categorizadas como Harden, Detect, Isolate, Deceive o Evict, convirtiendo threat intelligence en pasos defensivos concretos.
Sentry Priority Score
El score (0-10) que dirige toda la priorización combina cinco factores:
| Factor | Puntos | Descripción |
|---|---|---|
| CISA KEV | +2.0 | Listado en Known Exploited Vulnerabilities |
| Explotación Activa | +2.0 | Exploit público o PoC disponible |
| EPSS | hasta +2.0 | epss_score * 2.0 |
| Recencia | hasta +2.0 | max(0, 2.0 - (días / 7) * 2.0) |
| Severidad Crítica | +2.0 | CVSS >= 9.0 |
El resultado es un único número que evita las discusiones eternas sobre “¿este CVSS 7.8 es realmente más urgente que ese 8.1?”. Si está en KEV, tiene exploit y es reciente, sube. Si no, baja.
Autenticación e Integración
El dashboard soporta tres proveedores listos para usar:
- Microsoft Entra ID (recomendado para entornos corporativos M365).
- GitHub.
- Google.
La autenticación está implementada con Auth.js v5 sobre sesiones JWT, y todas las rutas excepto el feed RSS público requieren sesión válida.
¿Para Quién es Sentry?
- Equipos SOC/Blue Team que necesitan priorizar parches en entornos Microsoft.
- Threat Intel Analysts que quieren correlación automática entre fuentes.
- CISOs que necesitan reportes ejecutivos con contexto de cumplimiento.
- MSSPs que gestionan múltiples tenants Azure (gracias al modelo multi-tenant reciente).
Conclusión
Sentry nace de una necesidad práctica: dejar de revisar feeds dispersos y tener una sola pantalla que diga “esto es lo que tienes que parchear hoy y por qué”, con contexto de explotación real y acciones defensivas mapeadas.
En los próximos posts profundizaré en sus componentes internos y en las mejoras recientes que han llegado al producto.
Puedes revisar la instancia en vivo o el repositorio en GitHub.