Обнаруживайте и останавливайте компрометацию Linux-хостов за минуты
Агент с открытым кодом на базе eBPF ловит угрозы от первичного доступа до латерального движения — без тяжёлых агентов и без передачи телеметрии в чужое облако. 20+ встроенных правил детекции, реагирование одним кликом, встроенный AI-аналитик для автоматического триажа алертов, 100% свой хостинг.
15 минут демо · Покажем детекцию, расследование и реагирование на живом Linux-хосте.
Для реальных сценариев атак
От SSH brute-force до полной компрометации хоста — обнаружение, расследование и реагирование.
Поймать reverse shell
Детектирует bash/sh, устанавливающие исходящие соединения — техника #1 пост-эксплуатации. Алерт срабатывает менее чем за 100 мс.
Остановить SSH brute-force
Stateful-детекция повторных ошибок аутентификации. Видите source IP, имя пользователя и тайминги — изолируете хост одним кликом.
Контроль критичных файлов
Отслеживайте записи в /etc/passwd, /etc/shadow, директории cron и authorized_keys. Знайте, кто что и когда изменил.
Расследуйте всю цепочку атаки
Из любого алерта разверните полное дерево процессов: узнайте, как атакующий попал в систему и что он сделал дальше.
Локализуйте инцидент за секунды
Сетевая изоляция одним кликом + уничтожение дерева процессов. Остановите атаку без SSH-сессии на сервер.
Обнаружение и реагирование — не только детекция
Большинство open-source инструментов останавливаются на сборе событий. SecureExec замыкает цикл.
При обнаружении угрозы ваша команда может изолировать хост, уничтожить дерево процессов или заблокировать исполняемый файл — всё из веб-консоли. Без SSH, без ручных действий.
Из алерта — в полную историю атаки
SSH brute-force, начальный доступ, загрузка payload, закрепление, C2 — весь инцидент в хронологии, а не в сырых событиях. Каждая запись раскрывается с контекстом процесса, файловыми изменениями и сетевыми соединениями. Фазы атаки (Начальный доступ, Закрепление, C2) назначаются автоматически.
AI-аналитик безопасности — ваш встроенный SOC-специалист
LLM-агент, который расследует алерты как старший аналитик — собирает доказательства, строит контекст и выносит вердикт. Работает с любым OpenAI-совместимым провайдером: OpenRouter, Ollama, vLLM или напрямую через API.
Нет выделенного SOC? Не проблема. AI-аналитик автоматически разбирает алерты: проверяет дерево процессов, коррелирует события по хосту, запрашивает информацию об эндпоинтах и историю алертов — и формирует отчёт с вердиктом, уровнем уверенности и рекомендуемыми действиями по реагированию. В режиме авто-триажа расследует каждый новый алерт выше заданного порога серьёзности.
Как это работает
От хука в ядре до алерта — менее 100 мс.
eBPF-хуки
Tracepoint и kprobe на уровне ядра перехватывают syscall — exec, файловые операции, connect(), DNS-запросы.
Rust-агент
События обогащаются контекстом процесса, ID контейнера и именем пользователя, затем передаются через gRPC.
Движок детекции
20+ встроенных правил оценивают каждое событие. Кастомные правила поддерживаются через Starlark.
Поиск и расследование
События индексируются и доступны для поиска. Дерево процессов, полнотекстовый поиск и расследование алертов в веб-консоли.
Встроенные правила детекции
Готовые к production правила, срабатывающие на реальные угрозы. Настроены на минимум ложных срабатываний с учётом контекста процессов.
SSH Brute-Force
Stateful-детекция повторных неудачных SSH-входов с одного IP во временном окне, с логикой cooldown.
Reverse Shell
Ловит shell-процессы (bash, sh, zsh), устанавливающие исходящие сетевые соединения — техника #1 пост-эксплуатации.
Повышение до root
Детект смены UID на root из не-root процессов, с исключением известных системных сервисов.
Побег из контейнера
Флагирует подозрительные вызовы unshare/setns с флагами user, PID или mount namespace от неожиданных процессов.
Fileless-выполнение
Детект использования memfd_create — основного вектора fileless malware на Linux.
Закрепление через cron
Алерт на создание cron-задач в /etc/cron.* и /var/spool/cron/ не-системными процессами.
Криптомайнер
Детектирует имена процессов майнеров, stratum-паттерны в командных строках, порты майнинг-пулов и известные DNS-запросы пулов.
Ransomware
Алерт на создание ransom note, переименование файлов в encrypted-расширения, массовое переименование файлов и команды уничтожения резервных копий.
Изменение SSH Authorized Keys
Алерт на запись в любой файл .ssh/authorized_keys процессами, кроме ssh-copy-id.
Process Injection
Детект кросс-процессной записи в память через process_vm_writev — используется инструментами инъекции для записи shellcode в другие процессы.
От алерта к графу атаки в один клик
При срабатывании алерта нажмите «Дерево процессов» — увидите полную цепочку выполнения: предки, потомки и коррелированные события безопасности в интерактивном графе. IOC-обогащение автоматически находит другие процессы, работавшие с теми же IP, DNS-именами или файлами, превращая цепочку в полноценный граф атаки. Сократите время расследования с 30 минут до 2.
Подробнее о дереве процессовСоздан для Linux-команд безопасности
Всё необходимое для детекции, расследования и реагирования на угрозы на Linux-серверах.
Сбор через eBPF
Видимость на уровне ядра через eBPF — перехват запуска процессов, файловых операций, сетевых соединений и DNS-запросов без слепых зон и с минимальной нагрузкой.
20+ встроенных правил детекции
Готовые правила для SSH brute-force, reverse shell, повышения привилегий, побега из контейнера, fileless malware и техник закрепления.
Граф процессов и IOC
Интерактивный граф в один клик из любого алерта — полная цепочка родитель-потомок, коррелированные события и автоматически обнаруженные IOC-связанные процессы.
100% свой хостинг
Полное развёртывание через Docker Compose на вашей инфраструктуре. Данные не покидают ваши серверы. Поддержка air-gapped сред.
Полнотекстовый поиск
Все события индексируются — мгновенный полнотекстовый поиск по миллионам событий с настраиваемым retention.
Лёгкий агент на Rust
Один бинарник, ноль зависимостей. Менее 1% CPU и минимум памяти на production-серверах — устанавливается за 60 секунд.
Безопасное развёртывание на production Linux
Агент с открытым кодом — нечего скрывать
Агент SecureExec работает на ваших серверах с root-привилегиями. Вы вправе знать, что именно он делает. Полный исходный код агента доступен публично под лицензией Apache 2.0.
Почему не то, что вы уже знаете?
Каждая команда спрашивает: почему не Wazuh, не CrowdStrike и не auditd? Честный ответ.
SecureExec | Wazuh | CrowdStrike / S1 | auditd + osquery | |
|---|---|---|---|---|
| Видимость через eBPF | ||||
| Встроенные правила детекции | ||||
| Визуализация дерева процессов | ||||
| Изоляция хоста (1 клик) | ||||
| Блокировка по хешу / пути | ||||
| Свой хостинг и air-gapped | ||||
| Агент < 1% CPU | ||||
| Агент с открытым кодом | ||||
| Прозрачное ценообразование |
Создан для команд, которым нужны реальные возможности реагирования, а не просто пересылка логов.
Что вы увидите за 15 минут демо
Не слайды. Живой walkthrough на реальном Linux-хосте.
15 минут демо · Покажем детекцию, расследование и реагирование на живом Linux-хосте.
Простые и прозрачные цены
Начните бесплатно, масштабируйтесь по мере роста. Без скрытых платежей.
Pro
Неограниченно хостов, полные возможности реагирования
- Неограниченное количество Linux-хостов
- Все типы событий + DNS
- 20+ встроенных + кастомные правила
- Хранение событий 90 дней
- Сетевая изоляция (1 клик)
- Уничтожение дерева процессов
- Блокировка по хешу / пути
- Уведомления в Slack / Telegram / Email
- Поддержка по email
Начните обнаруживать угрозы на Linux-серверах
Разверните за минуты через Docker Compose или запросите демо для вашей команды.