SOQCHI.uz
Запросить пилот
capabilities

17 возможностей, которые закрывают периметр

Полный технический разбор того, что система собирает, как агрегирует и что показывает аналитику. Без маркетинговых обобщений.

Stealth

Скрытый Windows-агент

Полностью невидимый для пользователя сервис. Регистрируется в services.msc как обычная системная служба, без окна, без иконки в трее, без процесса с очевидным именем. Авто-старт при загрузке ОС.

  • Размер бинарника ≈ 4 МБ, потребление RAM < 40 МБ
  • Деплой через MSI / Inno Setup / GPO / SCCM
  • Подписан Authenticode — не вызывает SmartScreen

Скриншоты и захват экрана

Снимки рабочего стола в JPEG q=60 с настраиваемой частотой. Поддерживается multi-monitor: каждый дисплей идёт отдельным кадром.

  • Интервал 60–300 секунд (политика)
  • Локальная очередь при потере связи
  • S3 / Azure Blob / on-premise MinIO

Анализ буфера обмена

Реал-тайм детекция чувствительных данных по regex и словарям: номера карт PAN (с Luhn-валидацией), ИНН/ПИНФЛ, СВИФТ-коды, IBAN, email, ссылки на файлообменники, пароли и API-токены.

  • Маскирование значения (хеш SHA-256, последние 4 символа)
  • Свои словари и regex через политики
  • Гранулярность по группам AD / OU
Policy

USB-устройства и носители

Подписка на Win32_DeviceChangeEvent через WMI. Учёт каждой флешки по VID/PID/Serial. Политики: разрешить чтение, запретить запись, полная блокировка, белый список.

  • Карантин файла, скопированного на USB
  • Журнал на стороне сервера, не на хосте
  • Алерт в SOC за < 5 секунд

Сетевой мониторинг

Каждые 60 секунд агент снимает все ESTABLISHED-соединения и идентифицирует процесс. На бэке домены классифицируются по категориям.

  • Авто-флаг risk=high для file-share доменов
  • GeoIP-обогащение
  • Корреляция с буфером и скриншотом

Процессы и приложения

Снимок top-процессов каждые 30 секунд: CPU%, RAM, путь к exe, командная строка, родительский процесс. Знаемые «опасные» приложения отмечаются автоматически.

  • Хэш SHA-256 каждого нового бинарника
  • Алерт при запуске бинаря из %TEMP%
  • Свои сигнатуры через UI политик

Печать и принтеры

Перехват Win32_PrintJob: имя документа, количество страниц, принтер, пользователь и время. Опционально — сохранение спула в PDF.

  • Алерт при печати > N страниц вне рабочих часов
  • Запись на сетевой принтер с домена / IP

Браузер и активное окно

Через GetForegroundWindow + GetModuleBaseName определяется текущее окно и его заголовок. По заголовкам выявляется URL для Chrome, Edge, Firefox, Opera.

  • Топ доменов / категорий за смену
  • Время в «развлекательных» категориях
  • Время на корп-приложения

Идентификация пользователя

Привязка событий к доменной учётке через GetUserNameEx. Не обманывается переключением пользователя или RDP — каждый сеанс трекается отдельно.

  • Интеграция с AD / LDAP / Keycloak
  • Группы и роли импортируются автоматически
AI-ready

Скоринг риска

Каждое событие получает risk-score 0–100 на основе политик и поведенческих эвристик. Топ-N рисковых хостов всегда на главной консоли.

  • Веса политик настраиваются
  • История скоринга по сотруднику
  • Тренды и аномалии за 24 ч / 7 д

Cross-search и палитра

Ctrl+K в консоли — единый поиск по хостам, инцидентам, пользователям, политикам. Аналитик находит нужное событие за 2 секунды.

  • Полнотекстовый поиск по тексту буфера
  • Фильтры по тегам и метаданным

Инциденты и SLA

Любая аномалия становится инцидентом со статусом. Назначение аналитика, заметки, история действий, экспорт отчёта в PDF — всё внутри консоли.

  • Ack / resolve / false-positive
  • Email/Telegram-нотификации
  • Аудит-лог всех действий аналитика

Защита канала

HTTPS с pinning сертификата. Агент аутентифицируется X-Agent-Token. Аналитик — JWT + refresh-token + опциональный TOTP.

  • TLS-терминация на nginx/caddy
  • Подпись бинарника Authenticode
  • Реверс-прокси к консоли возможен
Sovereign

On-premise хранение

Никакой телеметрии «домой» — все данные остаются в вашем периметре. PostgreSQL для метаданных и MinIO для скриншотов.

  • Air-gapped развёртывание
  • Backup и репликация средствами СУБД
  • Никаких внешних SaaS-зависимостей

Ролевая модель

Разграничение прав: аналитик-наблюдатель / аналитик-расследование / администратор политик / аудит. Каждое действие в консоли логируется отдельно.

  • Интеграция с AD/SSO для ролей
  • Принцип «4-х глаз» для критических действий

Политики и шаблоны

Готовые шаблоны политик: «банковская тайна», «персональные данные», «коммерческая тайна», «удалённый доступ». Применяются по группам AD/OU.

  • Версионирование политик
  • A/B-тест политик на подгруппе

API и интеграции

REST API + WebSocket для интеграции в SIEM (Splunk, ELK, ArcSight), SOAR, тикетные системы. Webhooks для критичных инцидентов.

  • Syslog-экспорт CEF
  • Webhook → Telegram / Email / MS Teams
roadmap

Над чем работаем сейчас

Q1 2026

OCR в скриншотах

Поиск по тексту внутри JPEG-кадра. Локальная модель Tesseract или PaddleOCR.

Q1 2026

Поведенческие аномалии

Сравнение «обычного дня» сотрудника с текущим. Снижение false-positive.

Q2 2026

Email/Outlook коллектор

Перехват вложений и body. SMTP-trap для Exchange.

Q2 2026

macOS-агент

Бета для рабочих станций дизайнеров и руководства.

Q3 2026

Linux-агент

Для серверов баз данных и АРМ DBA.

▸ cta

Хотите увидеть всё это в действии?

Запросите демо — менеджер покажет конкретные коллекторы и инциденты на нашем стенде.

Запросить демо Цены