SOC для Linux · per-host подписка · AI triage

Linux security monitoring без собственного SOC

Есть Linux-серверы, но нет своей команды ИБ? AI-аналитик автоматически разбирает алерты, выдаёт вердикт с доказательствами и рекомендациями, а простой workflow в консоли помогает закрывать кейсы.

Проверить 3 Linux-хоста бесплатноСкачать whitepaper · PDF

Развернуть self-hosted →

Нет SOC, но есть Linux-серверы

Стандартная история: команда DevOps/SRE на 3–8 человек, парк Linux-серверов в десятки или сотни, никто не работает с SIEM full-time. Логи копятся, auditd шумит, реальные алерты теряются. Нанимать L1 SOC — дорого и нечем загрузить.

Какие алерты SecureExec разбирает за вас

60+ встроенных правил под Linux: brute-force, reverse shell, web shell, tampering PAM/sshd, сброс firewall, DNS tunneling, кража IMDS-токенов, disk wipe, persistence, повышение привилегий, инъекции, кража учётных данных, kernel tampering.

SSH Brute-Force

Stateful-детекция повторных неудачных SSH-входов с одного IP во временном окне, с логикой cooldown.

Reverse Shell

Ловит shell-процессы (bash, sh, zsh), устанавливающие исходящие сетевые соединения — техника #1 пост-эксплуатации.

Повышение до root

Детект смены UID на root из не-root процессов, с исключением известных системных сервисов.

Побег из контейнера

Подозрительные unshare/setns/chroot/pivot_root от процессов вне известных container-runtime.

Fileless-выполнение

memfd_create с последующим exec из /proc/self/fd или /memfd: — основной вектор fileless malware на Linux.

Закрепление через cron

Алерт на создание cron-задач в /etc/cron.* и /var/spool/cron/ не-системными процессами.

Криптомайнер

Детектирует имена процессов майнеров, stratum-паттерны в командных строках, порты майнинг-пулов и известные DNS-запросы пулов.

Ransomware

Алерт на создание ransom note, переименование файлов в encrypted-расширения, массовое переименование файлов и команды уничтожения резервных копий.

Изменение SSH Authorized Keys

Алерт на запись в любой файл .ssh/authorized_keys процессами, кроме ssh-copy-id.

Process Injection

Детект кросс-процессной записи в память через process_vm_writev — используется инструментами инъекции для записи shellcode в другие процессы.

Новинка

AI-аналитик безопасности — ваш встроенный SOC-специалист

LLM-агент, который расследует алерты как старший аналитик — собирает доказательства, строит контекст и выносит вердикт. Работает с любым OpenAI-совместимым провайдером: OpenRouter, Ollama, vLLM или напрямую через API.

Нет выделенного SOC? Не проблема. AI-аналитик автоматически разбирает алерты: проверяет дерево процессов, коррелирует события по хосту, запрашивает информацию об эндпоинтах и историю алертов — и формирует отчёт с вердиктом, уровнем уверенности и рекомендуемыми действиями по реагированию. Снимает первичный разбор с L1/SecOps: круглосуточная обработка, 100% покрытие алертов, без выгорания. В режиме авто-триажа расследует каждый новый алерт выше заданного порога серьёзности.

AI investigation — true positive SSH brute-force with 95% confidence

AI investigation — false positive container namespace change with 85% confidence

Триаж алерта

Получает алерт, исследует дерево процессов и цепочку предков, запрашивает информацию об эндпоинте и историю алертов — проверяет, является ли активность известным легитимным паттерном.

Глубокое расследование

Ищет коррелированные события по хосту, анализирует историю алертов на повторяющиеся паттерны, запрашивает данные threat intelligence по IOC.

Вердикт и саммари

Выносит вердикт true_positive / false_positive / needs_review с уровнем уверенности, формирует читаемый нарратив и оценку последствий.

Рекомендации по реагированию

Предлагает конкретные действия — изоляция хоста, завершение дерева процессов, блокировка хеша, проверка доступов — приоритизированные по срочности с обоснованием каждого.

Простой workflow: триаж → кейс → закрытие

Чёткая последовательность от прихода алерта до его закрытия. Подходит даже команде из одного человека.

AI делает первичный триаж

Каждый алерт получает вердикт (TP/FP/inconclusive), уровень уверенности и evidence chain.

Назначаете на себя

Если AI пометил как TP — алерт уходит в работу. Можно отписаться, передать, отметить.

Создаёте кейс

Связанные алерты собираются в кейс с таймлайном, комментариями, чатом с AI и историей действий.

Закрываете

Reаgирование одним кликом — host isolation, kill process tree, добавить в blocklist. История остаётся.

Цена per-host вместо найма

На пилоте до 3 хостов SecureExec бесплатно. Дальше — фиксированная цена за хост в месяц. Сравните с ФОТ младшего аналитика SOC и стоимостью построения собственного процесса — и подписка обычно оказывается дешевле, особенно на старте.

Простые и прозрачные цены

Начните бесплатно, масштабируйтесь по мере роста. Без скрытых платежей.

Подключение за 5 минут · хостинг и AI-аналитик включены

Cloud Community

До 3 хостов в управляемом облаке — попробуйте без риска

Бесплатно

До 3 Linux-хостов
Подключение за 5 минут (signup → curl → готово)
Все типы событий и 60+ правил детекции
Хранение событий 7 дней
Веб-консоль, поиск, дерево процессов
Managed AI-аналитик: 50 расследований/мес
Поддержка сообщества

ПОПУЛЯРНЫЙ

Cloud Pro

Неограниченно хостов, всё включено, для растущих команд

700 ₽/хост/мес

Неограниченное число Linux-хостов
Хостинг включён, бэкапы каждый час
Managed AI-аналитик включён (без лимитов)
Полное реагирование: изоляция, kill-tree, blocklist
Хранение событий 90 дней
Уведомления в Slack / Telegram / Email
99.9% SLA · поддержка по email

Cloud Enterprise

Выделенный регион, SSO, BYOK, договор и акты

По запросу

Всё из Cloud Pro
Выделенный регион / dedicated cluster
SSO / SAML, ролевая модель доступа
BYOK (свой ключ шифрования)
Гибкая политика хранения данных
Приоритетная поддержка, расширенный SLA
Юр.договор, акты, ЭДО

Снимите первичный разбор алертов с команды DevOps

Подключите облако за 5 минут — посмотрим, как AI-аналитик разбирает ваши реальные алерты.

Подключить cloudРазвернуть self-hosted