Plataforma de observação externa
Monitoramos disponibilidade 24/7 e auditamos a postura de segurança externa do seu domínio. Você descobre os problemas antes do seu cliente — em português, com preço em real, hospedado no Brasil.
Sem cartão pra começar · 5 monitores grátis pra sempre · Setup em 2 minutos
Painel
exemplo.com.br
Uptime 30d
99.97%
Grade
B · 84/100
Últimas checagens (1 min)
unsafe-inline
médio
Dois produtos, uma plataforma
Sem agente, sem instalar nada no seu servidor. Observamos como um visitante — e como um atacante — observariam.
Sentinela Uptime
Sentinela Security Audit
Como funciona
Segurança de site não é uma coisa só — é TLS, DNS, headers, e-mail, LGPD, WAF, código exposto e dependências. Cada camada tem um conjunto de probes especializados. O Sentinela roda todos, explica em PT-br, e prioriza pelo que importa.
Como o alvo se apresenta na internet.
DNS · DNS Security (CAA + AXFR) · DNSSEC (via DoH) · Portas TCP · Reputação (DNSBL + Safe Browsing)
Como a aplicação responde a um visitante (ou atacante).
TLS · Headers · Cookies · Exposição de paths · Descoberta de arquivos sensíveis · Bundle JS · Source Leak · Página de erro · WordPress · Multi-CMS (Drupal/Joomla!/Magento) · Malware Scan · API Surface · GraphQL/JWT · Cloud Storage · CORS · Métodos HTTP · Confirmação ativa de XST · Open redirect · Robots/Sitemap · WAF Detection · Directory Discovery · Tech Disclosure · Host Header Injection · Internal Network Leak · Form Password · Caching Security · Security.txt Quality
Quem responde por esse domínio, como recebe e-mails e proteção contra hijacking.
E-mail presença (SPF/DKIM/DMARC) · E-mail força (SPF/DMARC quality) · MTA-STS/TLS-RPT · Whois (RDAP) · Domain Lock · Sub-domínios (CT + takeover)
Camada brasileira — LGPD observável de fora. Alimenta o mapa de compliance LGPD/ISO 27001/PCI-DSS.
Trackers de 3ªs partes · Banner & dark pattern · Política & DPO · Formulário sem aviso · PII em URL · Transferência internacional · Cookies de tracking
Vetor humano — domínio e e-mails do alvo em vazamentos públicos, com monitoramento contínuo (diário) + painel dedicado.
Vazamento de credenciais (registrable domain vs Have I Been Pwned, 100% passivo, + monitoramento contínuo Pro+) · Vazamentos de e-mail (via h8mail)
Opt-in (Agência+) — 5 probes caixa-branca com clone temporário do repo + 1 que lê lockfiles de dependências via API + 1 conector caixa-cinza da API da Vercel.
Dependências do repo (OSV.dev) · SAST (Semgrep) · Secret scanning (Gitleaks) · Dockerfile (Hadolint) · IaC (Trivy) · GitHub Actions · Vercel (API)
Vazamentos do seu domínio em fontes públicas fora do perímetro — 100% passivo, plan-gated.
Google Dork (11 categorias via Serper — .env, .sql, phpinfo, Pastebin, Gist, Postman, GitLab, Bitbucket, Docker Hub) · Public Repo Leak (GitHub Code Search com mascaramento AWS/Slack/Stripe) · Wayback Machine (Internet Archive CDX) · S3 Bucket Enumeration (wordlist por domínio)
Os probes das camadas Pessoas e Código-fonte são opt-in e exigem dados extras (toggle de vazamento, URL do repositório, token da Vercel). As demais 39 probes rodam em toda auditoria após você autorizar o domínio — 3 delas (Portas, Directory Discovery e Confirmação ativa de XST) atrás de um gate de autorização adicional pra sondagem ativa.
Score & grade
penalidade
penalty = 10·critical + 5·high + 2·medium + 0.5·low score = clamp(100 − penalty, 0, 100)
Alerta sai só pra findings novos de severidade alta ou crítica. O que persiste entre runs não volta a alertar — você já foi avisado.
faixas
Uptime
Seis modos pull (Sentinela busca o alvo) e um push (o alvo bate aqui — pra jobs internos sem HTTP exposto).
Verifica status esperado, mede tempo de resposta e observa o certificado SSL — avisa 30 dias antes de expirar.
Estende HTTP buscando (ou negando) uma palavra-chave no corpo. Detecta página de erro genérica que retorna 200.
Envia um pacote de eco e mede latência. Pra servidor ou equipamento sem HTTP exposto.
Abre socket numa porta específica. SSH, SMTP, MySQL, Redis — serviços que não falam HTTP.
Seu cron bate numa URL única do Sentinela. Não veio batida no intervalo → vira DOWN. Pra job de backup, sync, fila.
Resolve o A record e mede a duração do lookup. Detecta zona perdida e propagação lenta sem fazer HTTP.
Consulta a API oficial da Vercel a cada checagem. Vira DOWN quando o deploy de produção falha ou os erros de runtime ultrapassam o limite que você definir (0 = qualquer erro novo).
Pra quem é
Agências & freelancers
Monitore e audite todos os sites dos seus clientes em uma só conta. PDF white-label com sua marca. Cobre como serviço mensal e mostre evolução de grade A–F a cada relatório. Página dedicada →
PMEs & e-commerce
Alertas claros em português, grade simples de entender e probe LGPD dedicado. Sem precisar contratar consultor pra saber se está em conformidade.
Times técnicos (DevOps / SRE / CISO)
Webhook pro Slack/Telegram, API completa, diff entre runs com signature estável, enriquecimento KEV/EPSS pra priorizar pelo que está sendo explorado de verdade.
Compliance & jurídico
PDF executivo datado por auditoria. Histórico mensal pra mostrar pro DPO, cliente ou auditor que existe esforço contínuo de adequação — não foto pontual.
Diferenciais
Concorrentes fazem uptime ou security audit. Aqui você correlaciona "caiu" com "tem header faltando" no mesmo dashboard, com o mesmo histórico, no mesmo plano.
Inteligência de Vazamento contínua: todo dia cruzamos seus domínios com o Have I Been Pwned. Exposição nova → alerta + caso na Central + painel "Credenciais & Dados Expostos". Sem credenciais de nuvem — seguimos observador externo.
UI, e-mails, notificações Telegram, PDF e descrição de cada finding traduzidos por humano. Sem CVE colado de scanner gringo.
Probe dedicado de LGPD (consentimento, transparência, DPO) e tracking sem opt-in. Hospedamos no Brasil, falamos a lei brasileira nativamente.
Exporta tudo: PDF, CSV via API, webhook aberto. Cancele quando quiser, dados continuam seus.
Lista de 80 findings sem contexto não ajuda. Aqui cada finding tem severidade, evidência técnica e recomendação clara — ordenados pelo que mais move sua nota.
Não é pentest e a gente fala isso na cara. É ASM externo automatizado, recorrente, complementar — não substituto de pentester humano.
Em três passos
01
Sem agente, sem instalar nada. Observamos de fora. Autorize a auditoria com um clique pra liberar os probes ativos.
02
Uptime em tempo real nos canais que você escolher. Auditoria de segurança semanal automática (ou sob demanda), com diff em relação à anterior.
03
Dashboard pra acompanhar, PDF executivo pra mostrar, diff pra priorizar. Recomendação clara por finding, em português.
Planos
Uptime e Security Audit incluídos em todo plano pago. Preços em reais, com nota fiscal nacional.
Free
R$ 0 pra sempre
Pro
R$ 49 /mês
★ Mais popular
Business
R$ 149 /mês
Agência
R$ 349 /mês
Dúvidas comuns
Não. O Sentinela é um observador externo — fazemos requisições HTTP, DNS, TCP e consultas públicas de fora. Sem agente, sem credencial, sem código no seu app.
Não. É ASM externo (Attack Surface Management) automatizado e recorrente. Pentest envolve exploração ativa por humano e está fora do nosso escopo — e a gente fala isso na cara pra você não esperar o que não entregamos.
Não. Probes são leves e respeitam rate limits. A auditoria completa roda em poucos minutos com impacto desprezível.
Porque mesmo probes leves tocam seu servidor. Autorização explícita protege você juridicamente e a gente eticamente. Sem autorização, só rodam probes 100% passivos (DNS, WHOIS, CT logs).
Sim — e temos um probe dedicado a verificar a LGPD do seu site. Hospedamos no Brasil, fazemos retenção de dados conforme nossa política e oferecemos DPA no plano Enterprise.
Sim. Probes externos não dependem do seu framework. Há análise extra de WordPress quando detectamos a stack, e o relatório indica explicitamente quando algo está atrás de WAF.
Sim. Sem multa, sem prazo mínimo. Você fica com acesso até o fim do ciclo pago e depois 30 dias em read-only pra exportar tudo, antes da exclusão definitiva conforme nossa política LGPD.
Comece grátis
Sem cartão. Sem prazo. Não vira cobrança automática. Suba de plano quando precisar.