AI security analyst · LLM · evidence-backed

AI-аналитик, который сам разбирает алерты Linux

LLM-аналитик берёт каждый новый алерт, идёт по дереву процессов, проверяет события на хосте и историю, и возвращает вердикт с уровнем уверенности и рекомендациями. Снимает первичный разбор с L1/SecOps.

Проверить 3 Linux-хоста бесплатноСкачать whitepaper · PDF

Новинка

AI-аналитик безопасности — ваш встроенный SOC-специалист

LLM-агент, который расследует алерты как старший аналитик — собирает доказательства, строит контекст и выносит вердикт. Работает с любым OpenAI-совместимым провайдером: OpenRouter, Ollama, vLLM или напрямую через API.

Нет выделенного SOC? Не проблема. AI-аналитик автоматически разбирает алерты: проверяет дерево процессов, коррелирует события по хосту, запрашивает информацию об эндпоинтах и историю алертов — и формирует отчёт с вердиктом, уровнем уверенности и рекомендуемыми действиями по реагированию. Снимает первичный разбор с L1/SecOps: круглосуточная обработка, 100% покрытие алертов, без выгорания. В режиме авто-триажа расследует каждый новый алерт выше заданного порога серьёзности.

AI investigation — true positive SSH brute-force with 95% confidence

AI investigation — false positive container namespace change with 85% confidence

Триаж алерта

Получает алерт, исследует дерево процессов и цепочку предков, запрашивает информацию об эндпоинте и историю алертов — проверяет, является ли активность известным легитимным паттерном.

Глубокое расследование

Ищет коррелированные события по хосту, анализирует историю алертов на повторяющиеся паттерны, запрашивает данные threat intelligence по IOC.

Вердикт и саммари

Выносит вердикт true_positive / false_positive / needs_review с уровнем уверенности, формирует читаемый нарратив и оценку последствий.

Рекомендации по реагированию

Предлагает конкретные действия — изоляция хоста, завершение дерева процессов, блокировка хеша, проверка доступов — приоритизированные по срочности с обоснованием каждого.

Не black box

В отчёте — конкретные события, конкретные timestamps, конкретные команды.

Evidence-backed

Каждое утверждение цитирует событие или вызов инструмента.

Self-hosted

Можно подключить локальный LLM, вся телеметрия остаётся у вас.

Снимает нагрузку

Снижает нагрузку на L1/SecOps и автоматизирует первичный разбор алертов.

Чем оперирует AI-аналитик

Investigation = функция от 20 read-only инструментов: events, alerts, host commands и process tree. Никакого «магического» reasoning без доказательств.

20 read-only инструментов

search_events, get_process_tree, host_list_files, host_read_journal, host_run_lsof, get_alert_history и ещё 14 — только чтение, никаких side effects.

Двухфазный pipeline

Сначала gather — компактный FindingsLedger, потом synthesize — финальный отчёт без новых tool calls. LLM-контекст не раздувается.

Видно reasoning

Каждый вызов инструмента, аргументы и результат логируются. В UI можно раскрыть «как AI думал» и проверить, на чём он остановился.

Local LLM на выбор

OpenAI-compatible API, поэтому AI-аналитик одинаково работает с локальной Ollama / vLLM и с публичным провайдером — данные не уходят, если вы этого не хотите.

Как это работает

От хука в ядре до алерта — менее 100 мс.

eBPF-хуки

Tracepoint и kprobe на уровне ядра перехватывают syscall — exec, файловые операции, connect(), DNS-запросы.

Rust-агент

События обогащаются контекстом процесса, ID контейнера и именем пользователя, затем передаются через gRPC.

Движок детекции

60+ встроенных правил оценивают каждое событие — persistence, defense evasion, privesc, lateral movement, exfiltration и impact. Кастомные правила поддерживаются через Starlark.

Поиск и расследование

События индексируются и доступны для поиска. Дерево процессов, полнотекстовый поиск и расследование алертов в веб-консоли.

Простые и прозрачные цены

Начните бесплатно, масштабируйтесь по мере роста. Без скрытых платежей.

Подключение за 5 минут · хостинг и AI-аналитик включены

Cloud Community

До 3 хостов в управляемом облаке — попробуйте без риска

Бесплатно

До 3 Linux-хостов
Подключение за 5 минут (signup → curl → готово)
Все типы событий и 60+ правил детекции
Хранение событий 7 дней
Веб-консоль, поиск, дерево процессов
Managed AI-аналитик: 50 расследований/мес
Поддержка сообщества

ПОПУЛЯРНЫЙ

Cloud Pro

Неограниченно хостов, всё включено, для растущих команд

700 ₽/хост/мес

Неограниченное число Linux-хостов
Хостинг включён, бэкапы каждый час
Managed AI-аналитик включён (без лимитов)
Полное реагирование: изоляция, kill-tree, blocklist
Хранение событий 90 дней
Уведомления в Slack / Telegram / Email
99.9% SLA · поддержка по email

Cloud Enterprise

Выделенный регион, SSO, BYOK, договор и акты

По запросу

Всё из Cloud Pro
Выделенный регион / dedicated cluster
SSO / SAML, ролевая модель доступа
BYOK (свой ключ шифрования)
Гибкая политика хранения данных
Приоритетная поддержка, расширенный SLA
Юр.договор, акты, ЭДО

Подключите AI-аналитика к своему Linux-флоту

Облако — за 5 минут. Self-hosted с локальным LLM — по запросу.

Подключить cloud Развернуть self-hosted