← Назад к блогу

Начало работы с SecureExec

SecureExec — это лёгкая платформа безопасности конечных точек, которая собирает телеметрию в реальном времени с хостов на Linux и Windows. В этом руководстве рассмотрим развёртывание полного стека — сервера приёма данных, веб-приложения и первого агента — с помощью Docker Compose.

Предварительные требования

  • Установлены Docker и Docker Compose
  • Хост на Linux для запуска агента (поддержка Windows скоро)
  • Экземпляр Elasticsearch (включён в стек Compose)

Развёртывание с Docker Compose

Клонируйте репозиторий и скопируйте пример файла окружения:

git clone https://github.com/yourorg/secureexec
cd secureexec/deploy
cp .env.example .env

Отредактируйте .env, задав пароли и URL, затем запустите стек:

docker compose up -d

Это запускает:

  • secureexec-server — gRPC-сервер приёма данных на порту 50051
  • webapp-backend — REST API на порту 8080
  • webapp-frontend — интерфейс Next.js на порту 3000
  • elasticsearch — хранилище событий

Создание первого токена агента

Откройте веб-приложение по адресу http://localhost:3000, зарегистрируйтесь и перейдите в Консоль → Агенты. Создайте новый токен агента — он потребуется для аутентификации.

Установка агента

Загрузите бинарный файл агента для вашей платформы со страницы релизов. Создайте файл конфигурации:

backend_url = "https://your-server:50051"
auth_token = "your-agent-token"

Затем запустите агент:

./secureexec-agent --config agent.toml

Через несколько секунд события начнут появляться в Консоль → События.

Что собирается

С момента запуска агент передаёт в потоке:

  • События процессов — создание, форк и завершение каждого процесса с полной цепочкой
  • События файловой системы — создание, изменение, удаление и переименование с указанием процесса-инициатора
  • Сетевые события — TCP/UDP-подключения и прослушиваемые сокеты
  • DNS-запросы — каждый запрос разрешения имён и ответ
  • Входы пользователей — с типом и адресом источника

Следующие шаги

Когда события начнут поступать, используйте консоль событий для фильтрации по имени хоста, типу события или имени процесса. Ознакомьтесь с блогом, где есть руководства по написанию правил обнаружения и реагированию на оповещения.