SecOps Sizing Tool v2.0.0

01

Por que volume e não velocidade?

Plataformas de operações de segurança podem ser licenciadas por métricas diferentes. Algumas medem velocidade — quantos eventos chegam por segundo (EPS). O SecOps mede volume — quantos dados são ingeridos por ano (TB/ano).

Isso não é apenas uma diferença de unidade. É uma mudança de perspectiva: em vez de pensar na taxa de chegada dos logs, pensa-se no tamanho total do dado que será armazenado e processado. Para ambientes com eventos pequenos e frequentes, essa métrica pode ser mais previsível e econômica.

💡

A mesma infraestrutura pode gerar volumes muito diferentes dependendo do tipo de evento — não apenas da velocidade com que os eventos chegam.

02

A fórmula desmontada

O cálculo parte de uma equação simples que conecta velocidade de eventos ao volume anual de dados:

Qtde × EPS_/ativo × bytes_/evt × 86.400 × 365 ÷ 10¹² = TB/ano

1

Quantidade de ativos

Quantos dispositivos, instâncias ou serviços do mesmo tipo existem no ambiente. 50 firewalls geram 50× o volume de 1 firewall.

2

EPS por ativo (eventos por segundo)

Taxa média de geração de logs de cada dispositivo. Varia muito por tipo: um firewall de borda gera centenas de EPS, um servidor de arquivos gera menos de 2 EPS em condições normais.

3

Tamanho médio do evento (bytes)

Cada evento tem um tamanho em bytes. Um log de autenticação simples pode ter 400 bytes. Um alerta de EDR com contexto de processo pode ter 1.500 bytes. Multiplicado por bilhões de eventos, essa diferença é enorme.

4

86.400 segundos por dia

Converte a taxa por segundo em volume diário: 60 seg × 60 min × 24 h = 86.400. Sistemas de segurança operam 24/7 — não há janelas de inatividade na geração de logs.

5

Padrão decimal: 1 TB = 10¹² bytes

O SecOps usa o padrão SI decimal, não o binário. 1 TB = 1.000 GB = 1.000.000 MB = 10¹² bytes. Essa é a unidade de referência para precificação.

03

EPS e bytes: dois fatores, um resultado

É tentador pensar que "mais EPS = mais volume". Mas o tamanho do evento é igualmente determinante. O exemplo abaixo mostra dois tipos com EPS similares gerando volumes muito diferentes:

Firewall NGFW

EPS/ativo300

Bytes/evt800

GB/dia (×50 ativos)1.036 GB

≈ 378 TB/ano

VS

EDR / XDR

EPS/ativo3

Bytes/evt1.500

GB/dia (×5.000 endpoints)1.944 GB

≈ 709 TB/ano

⚠️

O EDR tem 100× menos EPS por ativo, mas gera quase o dobro do volume total — por causa da combinação de eventos maiores e muito mais endpoints. Subestimar bytes/evento é a fonte mais comum de erros de sizing.

04

O que este cálculo não inclui

Esta ferramenta calcula o volume bruto estimado com base em referências de mercado. Na prática, fatores técnicos podem reduzir o volume final ingerido:

📦

Compressão

Logs em trânsito são comprimidos. A taxa varia por tipo de dado, mas pode reduzir o volume transmitido em 60–80%. O SecOps mede o volume pós-ingestão.

🔽

Filtros e descarte

Pipelines de ingestão podem descartar eventos de baixo valor antes do armazenamento. Ruído de DNS, health checks e heartbeats são candidatos comuns.

🔄

Deduplicação

Eventos idênticos enviados por múltiplas fontes ou por erros de configuração podem ser deduplicados, reduzindo o volume efetivo.

📊

Variação de carga

Os valores de EPS/ativo são médias. Picos de incidentes, manutenções e sazonalidade podem elevar o volume temporariamente acima da estimativa.

✅

Para propostas formais, valide sempre com dados reais do ambiente — relatórios de ingestão do sistema atual do cliente são a melhor fonte de referência. Use esta ferramenta como ponto de partida e ancoragem da conversa técnica.

Como o dimensionamento funciona?

Por que volume e não velocidade?

A fórmula desmontada

EPS e bytes: dois fatores, um resultado

O que este cálculo não inclui