Перейти к содержимому

Решения · NetFlow & Threat Hunting

Neutrino | Foresight — видимость сетевого трафика и threat hunting

Промышленная NetFlow-аналитика для крупных корпоративных сетей. Сбор потоков, обогащение, инвентаризация активов, аудит сегментации, обнаружение угроз по TI-фидам. Без агентов на конечных хостах. Identigy внедряет и сопровождает Neutrino | Foresight как партнёр вендора.

Оставить заявку
О продукте

Что такое Neutrino

Платформа сетевой видимости и аналитики трафика. Один продукт — несколько ролей.

Neutrino — система мониторинга трафика и NetFlow-аналитики: собирает данные из источников NetFlow, IPFIX, sFlow и SNMP, нормализует их и превращает в готовые для аналитики события. Один и тот же поток данных одновременно отвечает на вопросы сетевого инженера («где узкое место»), SOC-аналитика («кто общается с известным вредоносным узлом») и CISO («работает ли наша сегментация так, как мы её описали в политике»).

В отличие от классических SIEM, Neutrino специализируется на сетевой телеметрии — это позволяет работать с большими объёмами трафика без лицензирования по событиям в секунду и без потери исторической глубины.

Identigy выступает интегратором и партнёром Neutrino: мы помогаем спроектировать сбор телеметрии, развернуть платформу в вашем контуре, интегрировать её с существующими SIEM и SOC-процессами и сопровождаем эксплуатацию.

Возможности

Что умеет Neutrino

Ключевые функции платформы — без маркетинговых обобщений.

Функциональные блоки

  1. Сбор сетевой телеметрии

    Приём потоков NetFlow v5/v9, IPFIX, sFlow и SNMP-метрик с маршрутизаторов, коммутаторов и сетевых устройств без агентов на конечных хостах.

  2. Обогащение и нормализация данных

    DNS-разрешение, геолокация, классификация приложений, группировка по бизнес-владельцам. Сырые потоки превращаются в готовые для аналитики события.

  3. Инвентаризация активов в реальном времени

    Автоматическое обнаружение хостов и сервисов в сети по их трафику. Видимость без CMDB-ручника и без агентов на машинах.

  4. Мониторинг пропускной способности

    Дашборды по интерфейсам, направлениям, приложениям. Обнаружение аномалий и узких мест до обращений пользователей в L1.

  5. Анализ QoS и DSCP

    Контроль фактической маркировки трафика и поведения политик качества обслуживания. Подходит для критичных приложений: VoIP, видео, банковские транзакции.

  6. Аудит политик сегментации (ACL)

    Проверка фактического трафика против правил сегментации между зонами. Поиск разрешённых, но не задокументированных потоков и наоборот.

  7. Threat hunting и Threat Intelligence

    Автоматическое сопоставление трафика с TI-фидами, обнаружение коммуникаций с известными вредоносными узлами, ретроспективный поиск по индикаторам.

  8. Конструктор запросов и дашбордов

    Веб-интерфейс с гибкими фильтрами, экспортом событий и API. Аналитики не привязаны к преднастроенным отчётам.

Архитектура

На каком стеке построен Neutrino

Микросервисная архитектура на Java и Vue.js. Развёртывание — on-premises на отечественных и RHEL-совместимых дистрибутивах Linux. Мониторинг сети без зависимости от зарубежного ПО.

Frontend
Vue.js, TypeScript
Backend
Java, Spring, микросервисы
Шина данных
Apache Kafka
Хранилища
PostgreSQL (метаданные), ClickHouse (события)
Развёртывание
On-premises, Linux
Поддерживаемые ОС
Astra Linux, Альт Linux, РЕД ОС, RHEL-совместимые — импортозамещение без ограничений по ОС
Безопасность
TLS, OAuth 2.0 для доступа к API
Интеграции
Экспорт событий в SIEM, REST API, Yandex Cloud-совместимое развёртывание
Аудитория

Кому это полезно

Neutrino закрывает задачи разных ролей в крупной организации — одной и той же платформой данных.

Роли и сценарии

  1. Сетевые инженеры и архитекторы

    Видимость трафика без зеркалирования портов и развёртывания агентов. Диагностика инцидентов по фактам, а не по жалобам пользователей.

  2. SOC-аналитики

    Расширение телеметрии за пределы EDR: коммуникации устройств, аномалии исходящего трафика, ретроспектива по индикаторам компрометации.

  3. CISO и руководители ИТ

    Аудит фактической сегментации сети, прозрачность того, как используются дорогие каналы связи, доказательная база для regulatory-проверок.

  4. Инженеры эксплуатации

    Capacity planning по реальным данным, контроль SLA внутренних и партнёрских сервисов, объективная картинка для планирования закупок оборудования.

Подход Identigy

Как мы внедряем Neutrino

Внедрение Neutrino — это не только установка ПО, но и работа с данными: правильно настроенный сбор и обогащение определяют качество всей дальнейшей аналитики.

Этапы проекта

  1. Discovery и оценка

    Опрос текущей телеметрии, схема сети, инвентарь источников NetFlow/sFlow/SNMP. Оценка ожидаемого объёма событий — основа для sizing коллектора и хранилища.

  2. Пилот

    Развёртывание Neutrino на ограниченном сегменте сети. Проверка достоверности данных, тонкая настройка обогащения, утверждение целевой архитектуры.

  3. Продакшен-внедрение

    Раскатка на полный периметр, интеграция с существующими SIEM и тикет-системами, обучение сетевой команды и SOC.

  4. Сопровождение

    Поддержка по SLA, регулярные пересмотры правил обогащения, расширение покрытия по мере роста инфраструктуры.

Что дальше

Смежные услуги и решения

Куда обычно смотрят дальше — соседние практики и платформы той же инженерной команды.

Цена

Стоимость зависит от объёма телеметрии

Коммерческая модель Neutrino | Foresight зависит от объёма обрабатываемых NetFlow-записей и глубины хранения событий. Лицензирование «по событиям в секунду», как у классических SIEM, отсутствует.

После короткого discovery (схема сети, состав источников телеметрии, ожидаемый объём) мы готовим коммерческое предложение в течение одного-двух рабочих дней.

Прямой контакт по проекту: info@identigy.ru .

Что включает запрос

  • Краткое описание текущей сетевой инфраструктуры
  • Источники NetFlow / IPFIX / sFlow, если уже включены
  • Целевой горизонт хранения событий (3 / 6 / 12+ месяцев)
  • Куда нужно отдавать события (SIEM, тикет-система, дашборды)
Запросить расчёт
FAQ

Частые вопросы

Что такое NetFlow-аналитика и зачем она нужна?

NetFlow — протокол сбора телеметрии о сетевых потоках: кто с кем общается, по какому порту, сколько данных передаётся. NetFlow-аналитика — это платформа, которая собирает такие потоки с маршрутизаторов и коммутаторов, нормализует их и превращает в структурированные события для анализа. В отличие от DPI (глубокой инспекции пакетов), NetFlow не требует зеркалирования трафика и не нагружает сетевые устройства. Результат: видимость всего, что происходит в сети — в реальном времени и ретроспективно — без агентов на конечных хостах.

Как работает threat hunting на сетевом трафике?

Threat hunting по NetFlow — это активный поиск признаков компрометации в исторических данных о трафике, а не только реакция на срабатывание алертов. Платформа сопоставляет сетевые потоки с Threat Intelligence-фидами: если хост в вашей сети обращался к известному вредоносному IP или домену — это фиксируется для ретроспективного разбора. Кроме того, аналитики могут вручную строить запросы: искать аномалии в поведении хостов, нетипичные коммуникации между сегментами, нехарактерные объёмы исходящего трафика. Всё это — без расшифровки самого трафика.

Чем мониторинг сети на NetFlow отличается от SIEM?

SIEM собирает логи от источников — серверов, приложений, средств защиты — и коррелирует их. NetFlow-мониторинг сети работает с телеметрией уровня сети: он видит коммуникации устройств, которые не генерируют логи (IoT, принтеры, сетевое оборудование), и обнаруживает аномалии трафика до того, как они отразятся в системных журналах. Neutrino не заменяет SIEM — он его расширяет: события NetFlow-платформы экспортируются в SIEM для совместной корреляции. Для SOC это дополнительный слой видимости там, где EDR и логи молчат.

Работает ли Neutrino на отечественных ОС?

Да. Neutrino | Foresight разворачивается on-premises на Astra Linux, Альт Linux и РЕД ОС, а также на RHEL-совместимых дистрибутивах. Это делает его полноценным решением для импортозамещения в части мониторинга сети: не требует иностранных ОС, облачных сервисов или зарубежной инфраструктуры. Стек платформы — Java, PostgreSQL, ClickHouse, Kafka — также работает на отечественных Linux-дистрибутивах без дополнительных лицензий.