Решения · NetFlow & Threat Hunting
Neutrino | Foresight — видимость сетевого трафика и threat hunting
Промышленная NetFlow-аналитика для крупных корпоративных сетей. Сбор потоков, обогащение, инвентаризация активов, аудит сегментации, обнаружение угроз по TI-фидам. Без агентов на конечных хостах. Identigy внедряет и сопровождает Neutrino | Foresight как партнёр вендора.
Оставить заявкуЧто такое Neutrino
Платформа сетевой видимости и аналитики трафика. Один продукт — несколько ролей.
Neutrino — система мониторинга трафика и NetFlow-аналитики: собирает данные из источников NetFlow, IPFIX, sFlow и SNMP, нормализует их и превращает в готовые для аналитики события. Один и тот же поток данных одновременно отвечает на вопросы сетевого инженера («где узкое место»), SOC-аналитика («кто общается с известным вредоносным узлом») и CISO («работает ли наша сегментация так, как мы её описали в политике»).
В отличие от классических SIEM, Neutrino специализируется на сетевой телеметрии — это позволяет работать с большими объёмами трафика без лицензирования по событиям в секунду и без потери исторической глубины.
Identigy выступает интегратором и партнёром Neutrino: мы помогаем спроектировать сбор телеметрии, развернуть платформу в вашем контуре, интегрировать её с существующими SIEM и SOC-процессами и сопровождаем эксплуатацию.
Что умеет Neutrino
Ключевые функции платформы — без маркетинговых обобщений.
Функциональные блоки
-
Сбор сетевой телеметрии
Приём потоков NetFlow v5/v9, IPFIX, sFlow и SNMP-метрик с маршрутизаторов, коммутаторов и сетевых устройств без агентов на конечных хостах.
-
Обогащение и нормализация данных
DNS-разрешение, геолокация, классификация приложений, группировка по бизнес-владельцам. Сырые потоки превращаются в готовые для аналитики события.
-
Инвентаризация активов в реальном времени
Автоматическое обнаружение хостов и сервисов в сети по их трафику. Видимость без CMDB-ручника и без агентов на машинах.
-
Мониторинг пропускной способности
Дашборды по интерфейсам, направлениям, приложениям. Обнаружение аномалий и узких мест до обращений пользователей в L1.
-
Анализ QoS и DSCP
Контроль фактической маркировки трафика и поведения политик качества обслуживания. Подходит для критичных приложений: VoIP, видео, банковские транзакции.
-
Аудит политик сегментации (ACL)
Проверка фактического трафика против правил сегментации между зонами. Поиск разрешённых, но не задокументированных потоков и наоборот.
-
Threat hunting и Threat Intelligence
Автоматическое сопоставление трафика с TI-фидами, обнаружение коммуникаций с известными вредоносными узлами, ретроспективный поиск по индикаторам.
-
Конструктор запросов и дашбордов
Веб-интерфейс с гибкими фильтрами, экспортом событий и API. Аналитики не привязаны к преднастроенным отчётам.
На каком стеке построен Neutrino
Микросервисная архитектура на Java и Vue.js. Развёртывание — on-premises на отечественных и RHEL-совместимых дистрибутивах Linux. Мониторинг сети без зависимости от зарубежного ПО.
- Frontend
- Vue.js, TypeScript
- Backend
- Java, Spring, микросервисы
- Шина данных
- Apache Kafka
- Хранилища
- PostgreSQL (метаданные), ClickHouse (события)
- Развёртывание
- On-premises, Linux
- Поддерживаемые ОС
- Astra Linux, Альт Linux, РЕД ОС, RHEL-совместимые — импортозамещение без ограничений по ОС
- Безопасность
- TLS, OAuth 2.0 для доступа к API
- Интеграции
- Экспорт событий в SIEM, REST API, Yandex Cloud-совместимое развёртывание
Кому это полезно
Neutrino закрывает задачи разных ролей в крупной организации — одной и той же платформой данных.
Роли и сценарии
-
Сетевые инженеры и архитекторы
Видимость трафика без зеркалирования портов и развёртывания агентов. Диагностика инцидентов по фактам, а не по жалобам пользователей.
-
SOC-аналитики
Расширение телеметрии за пределы EDR: коммуникации устройств, аномалии исходящего трафика, ретроспектива по индикаторам компрометации.
-
CISO и руководители ИТ
Аудит фактической сегментации сети, прозрачность того, как используются дорогие каналы связи, доказательная база для regulatory-проверок.
-
Инженеры эксплуатации
Capacity planning по реальным данным, контроль SLA внутренних и партнёрских сервисов, объективная картинка для планирования закупок оборудования.
Как мы внедряем Neutrino
Внедрение Neutrino — это не только установка ПО, но и работа с данными: правильно настроенный сбор и обогащение определяют качество всей дальнейшей аналитики.
Этапы проекта
-
Discovery и оценка
Опрос текущей телеметрии, схема сети, инвентарь источников NetFlow/sFlow/SNMP. Оценка ожидаемого объёма событий — основа для sizing коллектора и хранилища.
-
Пилот
Развёртывание Neutrino на ограниченном сегменте сети. Проверка достоверности данных, тонкая настройка обогащения, утверждение целевой архитектуры.
-
Продакшен-внедрение
Раскатка на полный периметр, интеграция с существующими SIEM и тикет-системами, обучение сетевой команды и SOC.
-
Сопровождение
Поддержка по SLA, регулярные пересмотры правил обогащения, расширение покрытия по мере роста инфраструктуры.
Материалы и документы
Техническая документация ведётся вендором. Если вам нужны актуальные версии под NDA или подбор материалов под конкретный сценарий — напишите нам, пришлём напрямую.
Инструкция по установке
Системные требования, развёртывание агентов сбора, начальная конфигурация коллектора.
PDF · vendor docs · ≈ 83 КБ
Руководство администратора
Настройка источников, политик сбора, прав доступа, дашбордов, экспорта в SIEM.
PDF · vendor docs · ≈ 7 МБ
Описание процессов жизненного цикла
Релизный цикл, политика поддержки версий, процедуры обновления.
PDF · vendor docs · ≈ 229 КБ
Смежные услуги и решения
Куда обычно смотрят дальше — соседние практики и платформы той же инженерной команды.
Цена
Стоимость зависит от объёма телеметрии
Коммерческая модель Neutrino | Foresight зависит от объёма обрабатываемых NetFlow-записей и глубины хранения событий. Лицензирование «по событиям в секунду», как у классических SIEM, отсутствует.
После короткого discovery (схема сети, состав источников телеметрии, ожидаемый объём) мы готовим коммерческое предложение в течение одного-двух рабочих дней.
Прямой контакт по проекту: info@identigy.ru .
Что включает запрос
- Краткое описание текущей сетевой инфраструктуры
- Источники NetFlow / IPFIX / sFlow, если уже включены
- Целевой горизонт хранения событий (3 / 6 / 12+ месяцев)
- Куда нужно отдавать события (SIEM, тикет-система, дашборды)
Частые вопросы
Что такое NetFlow-аналитика и зачем она нужна?
NetFlow — протокол сбора телеметрии о сетевых потоках: кто с кем общается, по какому порту, сколько данных передаётся. NetFlow-аналитика — это платформа, которая собирает такие потоки с маршрутизаторов и коммутаторов, нормализует их и превращает в структурированные события для анализа. В отличие от DPI (глубокой инспекции пакетов), NetFlow не требует зеркалирования трафика и не нагружает сетевые устройства. Результат: видимость всего, что происходит в сети — в реальном времени и ретроспективно — без агентов на конечных хостах.
Как работает threat hunting на сетевом трафике?
Threat hunting по NetFlow — это активный поиск признаков компрометации в исторических данных о трафике, а не только реакция на срабатывание алертов. Платформа сопоставляет сетевые потоки с Threat Intelligence-фидами: если хост в вашей сети обращался к известному вредоносному IP или домену — это фиксируется для ретроспективного разбора. Кроме того, аналитики могут вручную строить запросы: искать аномалии в поведении хостов, нетипичные коммуникации между сегментами, нехарактерные объёмы исходящего трафика. Всё это — без расшифровки самого трафика.
Чем мониторинг сети на NetFlow отличается от SIEM?
SIEM собирает логи от источников — серверов, приложений, средств защиты — и коррелирует их. NetFlow-мониторинг сети работает с телеметрией уровня сети: он видит коммуникации устройств, которые не генерируют логи (IoT, принтеры, сетевое оборудование), и обнаруживает аномалии трафика до того, как они отразятся в системных журналах. Neutrino не заменяет SIEM — он его расширяет: события NetFlow-платформы экспортируются в SIEM для совместной корреляции. Для SOC это дополнительный слой видимости там, где EDR и логи молчат.
Работает ли Neutrino на отечественных ОС?
Да. Neutrino | Foresight разворачивается on-premises на Astra Linux, Альт Linux и РЕД ОС, а также на RHEL-совместимых дистрибутивах. Это делает его полноценным решением для импортозамещения в части мониторинга сети: не требует иностранных ОС, облачных сервисов или зарубежной инфраструктуры. Стек платформы — Java, PostgreSQL, ClickHouse, Kafka — также работает на отечественных Linux-дистрибутивах без дополнительных лицензий.