Quem trabalha com pré-venda de segurança em algum momento se depara com essa pergunta:
"Quantos TB/ano o ambiente do cliente vai gerar no SecOps?"
Parece simples. Na prática, não é. E a confusão começa sempre no mesmo lugar: o EPS.
O problema do EPS
A maioria dos ambientes já tem métricas de logging em EPS - eventos por segundo. É o que o SIEM atual registra, é o que o cliente sabe responder, é o que aparece nos relatórios de capacidade. O problema é que o SecOps não é licenciado por EPS. É licenciado por volume de dados ingeridos por ano — TB/ano. São métricas completamente diferentes. EPS mede velocidade. TB/ano mede volume. E converter uma na outra não é uma divisão simples exige considerar três variáveis ao mesmo tempo:
- Quantos ativos de cada tipo existem no ambiente
- Qual a taxa média de eventos por segundo de cada tipo
- Qual o tamanho médio de cada evento em bytes
Quando alguma dessas variáveis fica de fora da conta, o número final fica distorcido. Um ambiente com 5.000 endpoints de EDR gerando 3 EPS cada pode produzir mais volume do que 50 firewalls com 300 EPS porque o tamanho do evento de EDR é tipicamente duas a três vezes maior que o de firewall.
A fórmula
O cálculo é direto uma vez que você tem as três variáveis:
Qtde × EPS/ativo × bytes/evento × 86.400 s/dia × 365 dias ÷ 10¹² = TB/anoOnde:
- 86.400 = segundos em um dia (60 × 60 × 24)
- 10¹² = padrão decimal do SecOps (1 TB = 1.000 GB, não 1.024)
O problema é que fazer isso manualmente para 20, 30 ou 50 tipos de fonte diferentes consome tempo e é fácil de errar.
A ferramenta
Criei o SecOps Sizing Tool como projeto pessoal para resolver isso de forma estruturada.
🔗 matheusdamacena.github.io/secops-sizing-tool
O que ela faz?
146 tipos de evento catalogados em 10 categorias - Servidores, Rede, Endpoint, Identidade, Aplicações, Cloud, Segurança, OT/IoT, Dados/IA e Telecom. Cada tipo vem com valores de referência de EPS/ativo e bytes/evento baseados em médias de mercado.
- Cálculo em tempo real - você preenche a quantidade de ativos, a ferramenta calcula GB/dia, GB/mês e TB/ano automaticamente conforme você digita.
- Valores editáveis - se você tem dados reais do ambiente do cliente, substitui o valor de referência pelo valor real.
- Evento customizado e duplicação - se um tipo de fonte não está na lista, você adiciona. Se o cliente tem dois fabricantes diferentes de NGFW, você duplica o tipo e configura separadamente.
- Relatório PDF e export XLSX - exporta em layout A4 com métricas, gráfico de composição e tabela detalhada. O XLSX vem formatado com hierarquia visual e totais.
- Cenários A/B - compare dois escopos no mesmo sizing.
- Interface em PT, EN e ES - pensado para o canal de parceiros da América Latina.
- Roda 100% no browser, sem instalação, sem cadastro, sem backend.
Como usar?
- Digite o nome do projeto no campo do header
- Na sidebar, navegue pelas categorias ou use o campo de busca
- Preencha a coluna Qtde com o número de ativos de cada tipo
- As métricas atualizam em tempo real. O badge TOP aparece nas fontes com maior impacto no volume
- Use a aba Relatório para gerar o PDF ou Exportar XLSX na sidebar
O que esta estimativa não garante?
Os valores são referências de mercado, médias compiladas de documentação pública e benchmarks da indústria. Variam dependendo do fabricante, versão do software e configuração de logging. Use a ferramenta como ponto de partida para a conversa técnica com o cliente, não como número definitivo. Para propostas formais, valide com dados reais do ambiente.
Código aberto
🔗 github.com/MatheusDamacena/secops-sizing-tool
É um arquivo HTML único, você baixa, abre no browser e funciona. Se usar e tiver sugestão, abre uma issue no repositório.
Este é um projeto pessoal, desenvolvido de forma independente nas minhas horas livres. Não representa meu empregador nem tem qualquer vínculo oficial com o Google.
Matheus Damacena - Security Cloud Architect · secmath.com · LinkedIn
