¿Qué es Sentry?

Sentry es una plataforma de threat intelligence automatizada que recolecta, correlaciona y visualiza información de vulnerabilidades (CVE) provenientes de 13 fuentes de seguridad. Su foco está en entornos Azure y Microsoft 365, transformando ruido en señales accionables para equipos de seguridad.

El proyecto combina un backend asíncrono en Python con un dashboard moderno en Next.js 16, ofreciendo una vista única y priorizada del panorama de amenazas que realmente afectan a tu stack Microsoft.

El Problema que Resuelve

Los equipos de seguridad enfrentan a diario una sobrecarga de avisos:

  • Cientos de CVEs publicados por semana entre NVD, MSRC y otros boletines.
  • Información dispersa en feeds RSS, advisories de GitHub, base de datos de exploits, KEV de CISA, etc.
  • Falta de contexto sobre qué se explota activamente y qué impacta realmente a tu entorno.
  • Dificultad para traducir un CVE en una acción defensiva concreta.

Sentry consolida esta información, filtra por productos relevantes (Azure/M365), prioriza con un score unificado y mapea cada amenaza a contramedidas accionables del framework MITRE D3FEND.

Arquitectura General

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
                    13 Fuentes de Seguridad (async / paralelo)
                    MSRC | NVD | CISA KEV | GitHub | Sentinel
                    Exploit-DB | ZDI | CERT-EU | EPSS | ...
                                    |
                                    v
                    +-------------------------------+
                    |  Pipeline Python (async)      |
                    |  Correlación | MITRE ATT&CK   |
                    |  D3FEND | Risk Scoring | LLM  |
                    +-------------------------------+
                                    |
                            dashboard_data.json
                                    |
                                    v
                    +-------------------------------+
                    |   Dashboard Next.js 16        |
                    |  Auth: Entra ID/GitHub/Google |
                    |  Visualización en tiempo real |
                    +-------------------------------+

El pipeline corre cada 4 horas por defecto, recolecta los últimos 7 días de CVEs, los enriquece y los expone al dashboard mediante un único dashboard_data.json.

Características Principales

Dashboard con Priorización Diaria

Cada vulnerabilidad se clasifica en tres categorías de acción:

  • Act Now (8-10): parcheo inmediato.
  • This Week (5-7.9): remediación dentro de la semana.
  • Monitor (0-4.9): seguimiento en el siguiente ciclo.

Señales Claras por Vulnerabilidad

Cada amenaza muestra de un vistazo:

  • Badge CISA KEV si está en el catálogo de Known Exploited Vulnerabilities.
  • Indicador Exploit Available cuando hay PoC o exploit público.
  • CVSS y EPSS combinados en el score final.

Threat Pulse

Un panel analítico con:

  • Tendencias temporales.
  • Top 5 productos con mayor exposición.
  • Distribución de severidad.
  • Heatmap de tácticas MITRE ATT&CK.
  • Calendario interactivo con drill-down diario.

Watchlists

Listas personalizadas para monitorear vendors, productos o keywords específicos. Soportan filtros por severidad mínima y modo KEV-only para enfocarse solo en lo que se está explotando.

Workflow Kanban

Tablero de gestión de incidentes con cinco estados (New → Triaged → Mitigating → Patched → Ignored), drag-and-drop y exportación de tickets a Jira, ServiceNow, GitHub Issues u otros sistemas.

Acciones Defensivas con MITRE D3FEND

Cada amenaza se mapea a contramedidas categorizadas como Harden, Detect, Isolate, Deceive o Evict, convirtiendo threat intelligence en pasos defensivos concretos.

Sentry Priority Score

El score (0-10) que dirige toda la priorización combina cinco factores:

FactorPuntosDescripción
CISA KEV+2.0Listado en Known Exploited Vulnerabilities
Explotación Activa+2.0Exploit público o PoC disponible
EPSShasta +2.0epss_score * 2.0
Recenciahasta +2.0max(0, 2.0 - (días / 7) * 2.0)
Severidad Crítica+2.0CVSS >= 9.0

El resultado es un único número que evita las discusiones eternas sobre “¿este CVSS 7.8 es realmente más urgente que ese 8.1?”. Si está en KEV, tiene exploit y es reciente, sube. Si no, baja.

Autenticación e Integración

El dashboard soporta tres proveedores listos para usar:

  • Microsoft Entra ID (recomendado para entornos corporativos M365).
  • GitHub.
  • Google.

La autenticación está implementada con Auth.js v5 sobre sesiones JWT, y todas las rutas excepto el feed RSS público requieren sesión válida.

¿Para Quién es Sentry?

  • Equipos SOC/Blue Team que necesitan priorizar parches en entornos Microsoft.
  • Threat Intel Analysts que quieren correlación automática entre fuentes.
  • CISOs que necesitan reportes ejecutivos con contexto de cumplimiento.
  • MSSPs que gestionan múltiples tenants Azure (gracias al modelo multi-tenant reciente).

Conclusión

Sentry nace de una necesidad práctica: dejar de revisar feeds dispersos y tener una sola pantalla que diga “esto es lo que tienes que parchear hoy y por qué”, con contexto de explotación real y acciones defensivas mapeadas.

En los próximos posts profundizaré en sus componentes internos y en las mejoras recientes que han llegado al producto.

Puedes revisar la instancia en vivo o el repositorio en GitHub.