Платформа
Возможности платформы
Единый портал для полного контроля безопасности вашей инфраструктуры
Дашборд в реальном времени
Полная картина безопасности с визуализацией алертов, метрик SLA (MTTA/MTTR), покрытия MITRE ATT&CK и трендов угроз
Управление инцидентами
Полный цикл от алерта до закрытия инцидента с таймлайном событий, задачами для клиента и детальными рекомендациями
Граф расследования
Интерактивная визуализация связей между алертами, IOC, хостами и техниками MITRE ATT&CK с GPU-ускорением
IOC и Threat Intelligence
Автоматическое извлечение и обогащение индикаторов компрометации: IP, домены, хеши, URL через VirusTotal, AbuseIPDB
AI-аналитика
ИИ-анализ алертов с оценкой критичности, автоматическим вердиктом, рекомендациями и генерацией истории атаки
Плейбуки реагирования
Отработанные сценарии реагирования по методологии PICERL: фишинг, ransomware, brute force, вредоносное ПО
Скролльте, чтобы исследовать платформу
Дашборд SOC
Ваш SOC в одном экране — 24/7
Критические инциденты, SLA-метрики, тренды угроз и рекомендации аналитиков — всё обновляется в реальном времени. Руководитель ИБ видит полную картину за секунды, а не часы
События безопасности
Ни одно событие не останется без внимания
Единый поток событий с MITRE-тегами, SLA-таймерами и мгновенной корреляцией. Аналитик тратит секунды на триаж вместо минут
AI-аналитика
AI восстанавливает полную историю атаки
Автоматический Kill Chain анализ, вердикт True/False Positive и рекомендации по реагированию — за секунды, а не часы ручного разбора
MITRE ATT&CK
Покрытие угроз по мировому стандарту
Тепловая карта тактик и техник показывает реальное покрытие вашей инфраструктуры. Видны слепые зоны и приоритеты для усиления защиты
SLA метрики
Прозрачная эффективность SOC в цифрах
MTTA, MTTR, процент соответствия SLA по каждому уровню критичности. Факты для руководства вместо субъективных отчётов
Корреляция
Правила корреляции превращают шум в инциденты
Автоматическая группировка событий по Kill Chain, IOC и пороговым значениям. Каждый инцидент создаётся с полным контекстом для быстрого реагирования
IOC & Observables
Вся Threat Intelligence в одном реестре
Автоматическое извлечение индикаторов из событий, проверка по фидам и базам репутации. Мгновенный вердикт и граф связей для каждого IOC
Граф расследования
Визуальная карта атаки — от индикатора до инцидента
Интерактивный граф связывает события, хосты, IOC и техники MITRE в единую картину. Аналитик видит всю цепочку атаки и находит скрытые связи за минуты
SOC Panel
Security Operations Center
Период событий24ч7д90д
LIVE
15:49:13
Критические
0
Высокие
0
0События
0Инциденты
Нарушено 0
Близко к SLA 0
В норме 0
По критичности
Критические3
Высокие65
Средние134
Низкие34
Информационные0
Тренд событий
Ransomware payload — C2 callback к 185.220.101.x
Data Exfiltration — 2.3 GB на внешний S3 bucket
Brute Force RDP — 847 неудачных попыток с 31.184.x.x
Privilege Escalation — svchost.exe → cmd.exe as SYSTEM
Lateral Movement — PsExec на DC01 с compromised host
Suspicious PowerShell — Base64 encoded payload
DNS Tunneling — аномальные запросы к *.darknet.xyz
Активные инциденты
Ransomware Kill Chain — SRV-FILE02
Data Exfiltration — WS-FIN-012
Lateral Movement — DC01
Brute Force RDP — DC01
DNS Tunneling — agent-fw01
Комментарии SOC
Хост SRV-FILE02 изолирован, начат анализ дампа памяти
IOC добавлены в блокировку на периметре (3 IP, 2 домена)
Ожидаем подтверждение от клиента на блокировку учёток
Обнаружена связь между C2 и DNS tunneling через darknet.xyz
Анализ логов AD: 847 неудачных попыток входа от admin
Рекомендации SOC
Изолировать SRV-FILE02 от сети
Сбросить пароли сервисных учёток AD
Обновить правила WAF для блокировки C2
Провести аудит прав доступа к файловым серверам
Заблокировать DNS-запросы к *.darknet.xyz
Статус событий
Открытые 83Закрытые 133
Топ хостов
1. SRV-FILE02 67
2. DC01 43
3. WS-FIN-012 31
4. agent-fw01 28
5. mail-gw01 15
Лента событий
15:49C2 beacon SRV-FILE02 → 185.220.x
15:47Файлы .encrypted обнаружены
15:45RDP brute force blocked DC01
15:42PsExec → DC01 from 10.0.12.55
15:40S3 upload 2.3GB WS-FIN-012
15:38DNS tunnel *.darknet.xyz detected
15:35PowerShell -enc payload WS-DEV-003
События
Live
0 событий
Поиск событий...
1ч
24ч
30д
Скрыть закрытые
Фильтры
Сбросить
Все поля
Без группировки
Только новыеСкрытыеДедупликация: 12 событий на странице содержат x31 объединённых событий
КритичностьЗаголовокХостMITRETagsСтатусВремяSLA
☐Критич.Ransomware — шифрование файлов .encrypted на SRV-FILE02SRV-FILE02T1486В работе12.02.20263м
☐Критич.C2 Beacon — исходящее подключение к 185.220.101.x:443SRV-FILE02T1071Новый12.02.20261м
☐ВысокийData Exfiltration — 2.3 GB upload на внешний S3 bucketWS-FIN-012T1567В работе12.02.20268м
☐ВысокийBrute Force RDP — 847 неудачных попыток с 31.184.x.xDC01T1110Новый12.02.20265м
☐ВысокийLateral Movement — PsExec на DC01 с 10.0.12.55DC01T1570Закрыт12.02.2026OK
☐СреднийPowerShell — Base64 encoded payload executionWS-DEV-003T1059Закрыт12.02.2026OK
☐НизкийDNS Tunneling — аномальные запросы к *.darknet.xyzagent-fw01T1071Закрыт12.02.2026OK
AI Attack Story
Kill Chain анализ инцидента
Прогресс Kill Chain
Первичный доступ
Выполнение
Закрепление
Повышение привилегий
Перемещение
5 из 14 стадий обнаружено
✨ История атаки
Краткое резюме
Атака началась с успешного захвата учётной записи пользователя git на хосте daz_gitlab, что привело к дальнейшему использованию украденных учётных данных для выполнения действий по эксплуатации системы.
Описание атаки
Первичный доступ (T1078): зафиксирован успешный SSH-вход под учётной записью git с нового внешнего IP, после чего выполнены подмена параметров хоста и сети, далее для закрепления добавлен новый ключ в ~/.ssh/authorized_keys.
Этапы Kill Chain (5)
1
Первоначальный доступ
▾2
Постоянство
▾3
Повышение привилегий
▾4
Обнаружение
▾5
Перемещение
▾Вектор доступа
SSH
Основная цель
CI/CD Pipeline
Цель атаки
Постоянный доступ
Покрытие MITRE ATT&CK
0 событийRecon0
Res. Dev0
Init Access0
Execution16
Persistence0
Priv Esc0
Def Evasion0
Cred Access67
Discovery0
Lat Move90
Collection51
C226
Exfil0
Impact0
События:01-199200-399400+
Повышение привилегий
163 события • 12 техник
Злоумышленник получает права администратора или SYSTEM. Эксплуатирует уязвимости, манипулирует токенами, использует украденные учётные данные.
T1878110
Действительные учётные записи
T1876.00248
Доменные учётные записи
T1156.00248
Pass the Hash
T1821.00148
RDP
T182137
Удалённые сервисы
T111536
Данные буфера обмена
T153136
Удаление доступа к учётным записям
T1543.00320
Службы Windows
T1653.0054
Задача планировщика
Дашборд SLA
7 дней30 дней90 дней
Общее соответствие
0.7%
Событий закрыто в рамках SLA
MTTA
30м
Среднее время реакции
MTTR
60м
Среднее время закрытия
Всего закрыто
0
из 1161 событий
Динамика MTTR
Объём событий
Критический
0.5%
Всего событий24
Закрыто21
Среднее время8м 42с
Порог SLA15м
Высокий
0.2%
Всего событий378
Закрыто345
Среднее время38м 15с
Порог SLA1ч
Средний
0.3%
Всего событий135
Закрыто130
Среднее время1ч 47м
Порог SLA4ч
Низкий
0.5%
Всего событий624
Закрыто621
Среднее время6м 12с
Порог SLA1д
✨
Правила корреляции
Автоматическая группировка событий и создание инцидентов
0 группБиблиотека шаблоновСоздать правило
0
Всего правил
0
Активных
Все типыТолько активные
Ransomware Kill Chain
Detects ransomware attack pattern: initial access → execution → defense evasion → impact (file encryption indicators).
Sev: 3ExecutionDefense EvasionImpact
Credential Dumping (Mimikatz / LSASS)
Detects credential dumping tools: LSASS memory access, SAM database extraction, DCSync, or Kerberoasting.
T1003T1003.001T1003.003mimikatzlsass
Data Exfiltration Indicators
Detects potential data exfiltration: large data transfers, unusual DNS queries, or cloud storage uploads.
T1048T1048.001T1041exfiltration
Brute Force Attack Detection
Detects brute force attempts by monitoring failed authentication events followed by a successful login.
T1110T1110.001bruteauthentication_fail
Malware Campaign Шаблонное
Groups alerts with the same malicious file hash.
🔎
IOC & Observables
Индикаторы компрометации и артефакты
0 вредоносных
0 не проверено
0 IOC / 1224 всего
Поиск по значению, описанию...
IP Address
Все вердикты
Вредоносные
Подтверждённые IOC
ТипЗначениеСтранаВердиктTLPОбнаруж.
IP185.220.101.45🇩🇪ВредоносныйTLP:RED5
Domaindarknet.xyz🇺🇸ВредоносныйTLP:RED4
SHA256e3b0c44298fc1c14...ВредоносныйTLP:RED2
IP158.94.211.67🇺🇸ВредоносныйTLP:RED7
Domainc2.malware.host🇷🇺ВредоносныйTLP:RED3
Emailadmin@darknet.xyzВредоносныйTLP:AMBER1
IP84.88.11.6🇪🇸ПодозрительныйTLP:AMBER2
MD55d41402abc4b2a76...ВредоносныйTLP:RED1
URLhttp://31.184.x.x/payload.exe🇷🇺ВредоносныйTLP:RED2
IP91.92.248.18🇧🇬ВредоносныйTLP:AMBER1
Domainupdate.svchost.xyz🇳🇱ПодозрительныйTLP:AMBER5
IP45.133.1.72🇳🇱ПодозрительныйTLP:AMBER1
SHA1aaf4c61ddcc5e8a2...ВредоносныйTLP:RED1
IP1.3.3.1🇦🇺БезопасныйTLP:GREEN5
IP172.68.2.5🇩🇪ВредоносныйTLP:RED1
Domainpayload.exploit-kit.cc🇷🇺ВредоносныйTLP:RED2
SHA2567b4e8a1c3f9d2e5b...ПодозрительныйTLP:AMBER1
IP203.0.113.42🇨🇳ПодозрительныйTLP:AMBER3
ip
TLP:RED
✕
185.220.101.45
🌐 IP Information
↻ Обновить
🇩🇪
Germany
Network for Tor-Exit traffic.
95%
🛡 Известный вредоносный IP
🕑 SOC Auto Analysis
⚠ Tor Exit Node
ISP
Network for Tor-Exit traffic.
Тип
Fixed Line ISP
Домен
for-privacy.net
Хостнеймы
tor-exit-45.for-privacy.net
38
Репортов
19
Репортеров
18.02.2026
Последний
🕐 24ч: 3 7д: 12
Категории атак
Web App Attack (13)
Brute Force (12)
Port Scan (9)
Bad Web Bot (8)
Web Spam (6)
Hacking (4)
SSH (3)
DDOS Attack (1)
Open Proxy (1)
Exploited Host (1)
Страны репортеров
🇺🇸 US (14)
🇩🇪 DE (9)
🇦🇺 AU (5)
🇹🇷 TR (4)
🇮🇳 IN (1)
🇫🇮 FI (1)
🇨🇿 CZ (1)
🇫🇷 FR (1)
🇮🇩 ID (1)
🇧🇾 BY (1)
Abuse контакты
abuse@for-privacy.net
Источник: Cortex (URLhaus) • 18.02.2026, 19:42:44
🛡 Вердикт аналитика
👁 Обнаружения: 5
🖨
Investigation Graph
Визуализация связей инцидента
Инцидент #72
Подробный
Компакт.
Кейсы
Выбрать
Windows Machine
IT-ADMIN-PC
IT-ADMIN-PC
T1078 Valid Accounts
T1543 Scheduled Task
Brute Force
Detected
Detected
Suspicious
Outbound C2
Outbound C2
DNS Resolve
darknet.xyz
darknet.xyz
PowerShell
Encoded Cmd
Encoded Cmd
158.94.211.67
c2.malware.host
T1059
Execution
Execution
T1071
App Layer Proto
App Layer Proto
Critical
Событие
[Insider] Windows: Многочисленные неудачные попытки входа
Детали
ИсточникWindows Event Log
Event ID4625
Аккаунтadmin
Попыток847
IP источника185.220.101.34
Связи (12)
IT-ADMIN-PC
SRV-FILE02
158.94.211.67
darknet.xyz
T1078 Valid Accounts
T1110 Brute Force
Техники MITRE (3)
Перейти к инциденту
Интерфейс платформы
Реальные экраны SOC-платформы T.Hunter
Дашборд Security Operations Center
Киоск-режим с метриками SLA, графиком событий, активными инцидентами и рекомендациями SOC в реальном времени
