Disponibles
Bitdo
Todo el trabajoCaso · 04 · SaaS de seguridad

Seguridad para Workspaceque no se duerme.

Google Workspace genera enormes volúmenes de audit logs desde dieciséis fuentes distintas — y casi ninguna forma nativa de monitorearlos. enigma es la plataforma que construimos (y ahora vendemos) para ingerir, normalizar, atestar y alertar sobre actividad de Workspace 24/7, con evidencia lista para SOC 2 recolectada en el camino.

Cliente
GSEC · enigma (Bitdo product)
Industria
Seguridad Cloud · Producto SaaS
Año
2025 → today
Región
Multi-tenant · América

Demos para compradores calificados

16
Fuentes de Workspace
24/7
Atestación desatendida
<5min
Onboarding por tenant
4ch
Canales de notificación

Un vistazo de lo que entregamos

Live · multi-tenant
εenigma· attestation feed
Live·16 sources
All · 19Critical · 2High · 5Medium · 12
Tenantacme-co.workspace
  • HIGHDrive·2 min ago

    Mass file download · 247 files

    [email protected]

    Sent to #security on Slack

  • CRITICALAdmin·8 min ago

    Super-admin role granted to a new account

    [email protected][email protected]

    Pending acknowledgment

  • MEDIUMToken·14 min ago

    Third-party app granted drive.readonly scope

    Workspace scheduler · OAuth client 84a2…

    Acknowledged by [email protected]

Sources: Admin · Drive · Login · Meet · Token · SAML · +10
El reto

Workspace te lo cuenta todo — si logras escucharlo todo.

Los audit logs de Google Workspace están repartidos entre el Admin SDK, Drive, Meet, Calendar, SAML, Login, OAuth tokens, mobile, Chrome, Groups, GCP y más. Cada uno con su propio formato, retención y autenticación. La mayoría de equipos de seguridad o pagan precios enterprise de SIEM para centralizarlos, o se conforman con una porción del panorama y esperan. Las empresas chicas y mid-market — justo la audiencia que necesita SOC 2 sin drama — no tienen ninguna de las dos. El brief: construir una plataforma que ingiera cada fuente de Workspace, la normalice a un modelo único de eventos, corra reglas y avise al humano correcto en la herramienta correcta cuando algo importa.

Nuestra solución

Tres servicios. Un modelo de eventos. Dieciséis fuentes cubiertas.

enigma son tres servicios componibles. gsec-ingestor (Next.js + TypeScript) consulta cada API de Workspace en horario programado, normaliza cada evento a un formato ActivityEvent unificado con source, actor, category, severity, target y risk factors, luego lo guarda en MongoDB con HashiCorp Vault custodiando las credenciales por tenant. gsec-attestation (Python + Prefect) corre motores de reglas específicos por fuente — admin, drive, meet — sobre los datos ingeridos y produce documentos AttestationFinding. gsec-guardian (Python + Prefect) enruta hallazgos a Google Chat, Slack, Email o Discord con allowlists de actores de confianza para que la escalera on-call no se ahogue en ruido. Añadir una nueva fuente de Workspace o un nuevo canal de notificación es un cambio pequeño y aditivo en cada servicio.

Decisiones clave · 06

Decisiones de arquitectura que se ganan su complejidad.

// 01

Modelo ActivityEvent unificado

Cada fuente — login, drive, admin, SAML, meet, calendar, token — se normaliza al mismo TypeScript interface. Las reglas y la UI nunca ramifican por tipo de fuente a menos que lo quieran explícitamente.

// 02

Credenciales aisladas por Vault

El service account GCP de cada tenant vive en su propia ruta de Vault con su propio AppRole. Una brecha en un tenant no puede leer las llaves de otro. La auth AppRole se cachea, nunca está hardcoded.

// 03

Pipelines orquestados por Prefect

Los flujos de atestación y notificación son flows de Prefect con reintentos, alerting y observabilidad incluidos. Las corridas fallidas paginan al operador con el artifact adjunto.

// 04

Patrón de registro de notificadores

Los canales (Google Chat, Slack, Email, Discord, WhatsApp en camino) viven detrás de una interfaz uniforme. La configuración por tenant elige cuáles canales y cuáles severidades, con allowlists de actores de confianza.

// 05

MongoDB para logs append-heavy

La data de audit de Workspace es write-heavy y con formato variado por fuente. Los documentos flexibles de Mongo + indexes por fuente encajan mejor que filas relacionales.

// 06

TS para producto, Python para analítica

El dashboard de cliente y el ingestor viven en TypeScript. Los motores de reglas y los notifiers viven en Python — donde el stack científico y el ecosistema Prefect son más fuertes.

Qué hace enigma · 04 vistas

El producto completo, en cuatro pantallas.

La seguridad de Workspace no es un dashboard — es un loop de producto: ingerir todo, mostrar lo que importa, probar los controles e investigar cuando algo falla. Así lo hace enigma.

// 01Dashboard SOC

Mira tu Workspace antes de que salga en noticias.

Un solo overview que responde las cuatro preguntas con que despierta todo equipo de seguridad — qué es normal, qué está elevado, quién es riesgo y qué fuentes están sanas. El nivel de amenaza se computa con tus eventos reales, no con un score estático.

  • Threat level agregado desde hallazgos vivos — Normal / Elevado / Alto / Crítico.
  • Timeline de volumen de eventos con high-risk separado visualmente.
  • Top usuarios de riesgo ordenados por score compuesto de los últimos 30 días.
  • Salud de ingesta por fuente — Drive, Admin, Login, SAML, Meet, Token y 10 más.
SOC Dashboard
enigma.bitdo.dev/dashboard
εenigma· soc dashboard
Live·acme-co.workspace

Security overview

16 sources · last sync 4 min ago

Threat level · Elevated
Monitored users
1,284
Active connections
12
Events · 24h
47,392
Open alerts
19
Investigations
03
Alert rules
42
Event volume · last 30 days
normalhigh-risk
Top risk users
Ingestion health
  • AdminActive
  • DriveActive
  • LoginActive
  • MeetActive
  • SAMLDelayed
  • TokenActive
  • CalendarActive
  • MobileActive
// 02Google Apps & Riesgo

Atrapa la app OAuth que nadie aprobó.

Cada grant OAuth dentro de tu Workspace, con score de riesgo, ordenable por exposición, revocable con un clic. ¿Esa sync de calendario desconocida con acceso drive.readonly que nadie notó? Ahora sí.

  • 127 apps · 41 externas · 8 high-risk, todas en una sola tabla.
  • Score de riesgo agregado por app combinando sensibilidad de scope, cantidad de usuarios y confianza del publisher.
  • Revoke en un clic — escribe la acción por el Admin SDK y elimina el token de Mongo.
  • Filtra por scope, publisher, bucket de riesgo — encuentra toda app tocando `drive.*` en dos segundos.
Google Apps & Risk
enigma.bitdo.dev/integrations/google

Google apps & services

Every OAuth grant inside acme-co.workspace · scored, paged, revocable.

Last sync · 8 min ago
Total apps
127
High risk
08
External
41
Aggregate risk
6.4
Total grants
3,492
Filter apps · scope · publisher · risk…
All · 127High-risk · 8Needs review · 19
ApplicationScopesUsersRiskAction
No
Notion (External)
notion.so
drive.readonlyuserinfo.email
247
high
Un
Unknown Calendar Sync
third-party · unverified
calendaruserinfo.email+1
3
critical
Lo
Loom
loom.com
userinfo.emailuserinfo.profile
89
low
Trusted
Ch
ChatGPT (Personal)
openai.com
userinfo.emaildrive.file
142
medium
Showing 4 of 127 apps · scoped to acme-co.workspace
// 03Compliance y Evidencia

Evidencia que se construye mientras duermes.

SOC 2 ya no tiene que ser un simulacro. enigma mapea tus eventos reales a controles de cada framework y recolecta atestaciones de forma continua — así la preparación de auditoría deja de ser algo que se agenda.

  • Ocho frameworks soportados de origen — SOC 2, ISO 27001, NIST, HIPAA, GDPR, PCI DSS, CIS, custom.
  • Score de compliance por control con status, fecha de última evaluación y evidencia ligada.
  • Auto-evidencia: enigma adjunta los eventos ingeridos que prueban que un control opera.
  • Export PDF de un clic para el auditor — ya formateado, ya firmado.
Compliance · evidence
enigma.bitdo.dev/settings/compliance

Compliance frameworks

257 controls across 4 frameworks · evidence collected continuously.

Auto-evidenceExport · PDF
Framework
SOC 2 Type II
91/ 100
58/64 controls+4 partial
Framework
ISO 27001
77/ 100
88/114 controls+18 partial
Framework
GDPR
87/ 100
41/47 controls+3 partial
Framework
HIPAA
56/ 100
18/32 controls+9 partial
Active framework · SOC 2 Type II
Common Criteria · 64 controls
+ Assess control
IDControlCategoryStatusLast assessedAction
CC6.1Logical access — authenticationCommon CriteriaCompliant2 days agoAssess
CC6.2User provisioning approvalCommon CriteriaCompliant2 days agoAssess
CC6.6Restriction on access from outsideCommon CriteriaPartial5 days agoAssess
CC7.2System monitoring for security eventsCommon CriteriaCompliantyesterdayAssess
CC7.3Incident detection &amp; responseCommon CriteriaCompliantyesterdayAssess
CC8.1Change management — authorisationCommon CriteriaNot assessedAssess
Evidence is collected continuously from ingested events · attestations re-run nightly
// 04Investigaciones

Investiga sin paginar a ingeniería.

Cuando un hallazgo importa, se vuelve un caso. Hallazgos vinculados, timeline tipado con cada alerta / acción / comentario / evidencia, tracking de SLA y watchers — así tu SOC deja de vivir en cinco pestañas.

  • Auto-link de hallazgos relacionados por actor, fuente, IP o dominio — el contexto llega antes que el analista.
  • Eventos de timeline tipados (alerta · acción · comentario · evidencia) con atribución de actor.
  • SLAs de primera respuesta y resolución visibles por caso, con presupuesto restante.
  • Adjuntos de evidencia incorporados — PDFs, exports, screenshots — guardados contra el caso.
Investigation
enigma.bitdo.dev/investigations/INV-2026-0042
InvestigationsINV-2026-0042

Mass download · [email protected]

Opened 1h 12m ago · 3 linked findings · assigned to [email protected]

In progress · High severity
Case timeline
  1. ALERTtoday 14:02
    Mass file download · 247 files
    [email protected] · drive.activity
    rule: mass-download-threshold
  2. AUTOtoday 14:03
    Linked to investigation INV-2026-0042
    Auto-grouped with 2 prior high-severity findings from same actor.
  3. ACTIONtoday 14:11
    Notified #security on Slack
    @security-oncall paged · acknowledged in 6 min.
  4. COMMENTtoday 14:24
    Priya assigned the case
    “Reviewing source IPs — looks like a personal device. Pulling auth logs.”
    [email protected]
  5. EVIDENCEtoday 15:08
    Attached: login geo report
    login-geo-export-2026-05-12.pdf · 8 logins across 3 countries in 12 hours.

Todo esto. Un tenant. Cinco minutos al aire.

Conecta una cuenta de Workspace, otorga los scopes de solo lectura, escribe tus credenciales en Vault. La primera corrida de atestación de enigma termina en la misma hora. Sin agentes en dispositivos. Sin nueva SaaS que tu equipo deba aprender — las alertas llegan donde tus ingenieros ya trabajan.

Impacto

De manguera de logs a alertas accionables.

  • 16

    Fuentes Workspace monitoreadas

    Admin, Drive, Login, SAML, Token, Meet, Calendar, Mobile, Chat, Chrome, Groups, GCP, Rules, User Accounts, Context-Aware Access, Access Transparency — todo normalizado a un solo stream.

  • Product

    Vendida como producto

    Productizada bajo la marca enigma y vendida a terceros que buscan monitoreo de Workspace alineado a SOC 2 sin facturas de SIEM enterprise.

  • <5min

    Setup por tenant

    OAuth + domain-wide delegation + escritura de credencial en Vault. La primera corrida de atestación termina en la misma hora del onboarding.

  • Audit

    Evidencia recolectada en el camino

    Cada hallazgo, notificación y acción de revocación queda registrado con timestamps y actores. La preparación SOC 2 deja de ser un simulacro trimestral.

Stack

Dos lenguajes, elegidos a propósito.

  • Next.js
  • TypeScript
  • React 19
  • Python
  • Prefect
  • MongoDB
  • HashiCorp Vault
  • Google Admin SDK
  • Google Drive API
  • Google Reports API
  • Domain-Wide Delegation
  • Kubernetes
  • Docker
  • Pydantic
  • Slack / Google Chat / Email / Discord

Servicios relacionados

¿Quieres enigma corriendo sobre tu Workspace?

Solicitar demo →
WhatsApp