Biztonsági szoftvereink

Ha egy munkaállomás kompromittálódásának gyanúja merül fel, az ügyfél exportálja az összes Windows event logot, majd a LogStalker perceken belül feltárja a releváns anomáliákat, IoC-kat és a MITRE ATT&CK technikákat. Különösen hasznos incidens után: van mihez nyúlni, és gyorsan kiderül, mi történt. A kivizsgálás végezhető saját üzemeltetésű applikációval, de felhívható a cégünk is egyedi megállapodás keretében. Rust-alapú, többszálú .evtx motora – akár 5× gyorsabb a hagyományos eszközöknél, 4 000+ Sigma-szabállyal és 170+ natív detektálási szabállyal – modern webes felülettel, hierarchikus incidens-kezeléssel és beépített generatív AI elemzővel egészül ki. Percek alatt feldolgoz gigabájtnyi naplót, és csapatmunka-támogatással biztosítja, hogy az egész IR csapat ugyanazon az ügyön dolgozhasson – teljesen offline, a saját infrastruktúráján.

• Rust-alapú, többszálú .evtx motor – akár 5× gyorsabb feldolgozás, 4 000+ Sigma-szabály és 170+ natív detektálási szabály Critical/High/Medium/Low súlyozással, MITRE ATT&CK leképezéssel
• Beépített AI elemző (Ollama helyi / OpenAI felhő) – automatikus incidens-összefoglaló MITRE ATT&CK taktika-kontextussal, Base64 dekódolás és entrópia-elemzés, 5 perces timeout toleranciával
• Hierarchikus incidens-kezelés (Főügy → Vizsgálat → Elemzés) RBAC jogosultságokkal: Admin, Analyst és Viewer szerepkörök
• PowerShell ScriptBlock rekonstrukció – töredezett 4104-es eventek összeillesztése teljes scriptekké, automatikus IoC kinyerés (IP, domain, hash, fájlútvonal, registry kulcs)
• 9 típusú Stack Analysis – folyamatok, parancssorok, szolgáltatások, scheduled task-ok, felhasználók, számítógépek, belépések, DNS lekérdezések és IP-k frekvencia-alapú anomáliadetektálása
• 4 Timeline modul + folyamat szülő-gyermek fa rekonstrukció – belépési események, gyanús folyamatok, scheduled task-ok és USB-eszköz csatlakozások időrendi elemzése
• GeoIP térkép (MaxMind ASN/város/ország) + VirusTotal IP/domain/hash ellenőrzés, MITRE ATT&CK Navigator heatmap export, interaktív Plotly/Folium vizualizáció, AgGrid táblázatkezelés
• Alapértelmezett HTTPS auto-cert generálással, audit napló minden felhasználói műveletről, többnyelvű felület (HU / EN), Velociraptor vállalati integráció

A StaticDocLab a mindennapos beérkező fájlok gyors, automatizált statikus elemzésére készült – egy extra védelmi vonalat jelent, amellyel minden beérkező dokumentum, archívum vagy melléklet kockázatossági szint szerint kerül besorolásra, mielőtt bárki megnyitná. Django-alapú, helyi üzemeltetésű platform PE binárisok, PDF dokumentumok, Office fájlok (Word, Excel, PowerPoint), email mellékletek (.eml, .msg) és archívumok (ZIP, RAR, 7z, TAR) mélyreható vizsgálatához – sandbox futtatás nélkül. A YARA szabálymotor, entrópia-analízis, VBA makróemuláció (ViperMonkey), CAPA és FLOSS deep scan kombinációja automatikusan MITRE ATT&CK keretrendszerbe helyezi a találatokat, és Safe/Low/Medium/High/Critical kockázati besorolással látja el minden elemzett fájlt. Az eredmények PDF, JSON és CSV formátumban exportálhatók, REST API-n keresztül integrálhatók más rendszerekbe.

• PE/EXE/DLL/SYS mélyelemzés – szekció analízis, import/export táblák, entrópia, gyanús API hívások, UPX packer detektálás, digitális aláírás hitelesítés; deep scan: CAPA képességdetektálás + FLOSS obfuszkált string dekódolás MITRE ATT&CK leképezéssel
• PDF mélyelemzés – JavaScript és OpenAction detektálás (pdfid + pypdf), beágyazott fájlok extrakciója, URL kinyerés annotációkból, malicious pattern keresés (Base64, shell parancsok, obfuszkált URL-ek), entrópia elemzés
• Office / OLE / RTF elemzés – VBA makró teljes emulációja ViperMonkey-val (shell parancsok, fájlírás detektálása), XLM makró (Excel 4.0) azonosítás, VBA Stomping detektálás (forráskód vs. p-code eltérés), RTF objektumok kinyerése
• Email elemzés (.eml, .msg) – fejléc és metaadat analízis, csatolmányok rekurzív vizsgálata, IOC-k (IP, domain, URL) automatikus kinyerése a levéltörzsből
• YARA szabálymotor – egy kattintásos frissítés 10+ GitHub forrásból (Neo23x0, Yara-Rules projekt), egyéni .yar/.yara szabályok feltöltése, Safe / Low / Medium / High / Critical súlyozott kockázati besorolás
• Threat Intelligence – AlienVault OTX + AbuseIPDB IOC reputáció ellenőrzés, VirusTotal API v3 hash-alapú online ellenőrzés, felhasználói API kulcskezelés a webfelületen
• Linux ELF elemzés + archívum kezelés – szekciók, szimbólumok, dinamikus függőségek; ZIP/RAR/7z/TAR rekurzív bontás jelszópróbálgatással (infected, virus, password…), Zip Bomb védelem (max 100 MB / 50 fájl)
• Export és REST API – PDF riport (Executive Summary + Technical Details), JSON és CSV export, token-alapú REST API Swagger dokumentációval, elemzési előzmények SQLite adatbázisban, duplikált SHA256 hash felismerés

A HeaderGuard-nak egyszerűen odaadhatsz egy teljes e-mailt a levelező kliensedből (EML export, nyers forrás bemásolása) vagy csak a nyers fejlécsort – az elemzés mindkét esetben ugyanolyan átfogó. A hagyományos emailkliensek a fejlécek 99%-át elrejtik, az ingyenes online elemzők egyszerű szöveges kivonatot adnak – automatikus threat intelligence nélkül, kampányszintű korreláció nélkül. A HeaderGuard mindezeket egyetlen, Docker-alapú platformon egyesíti: True Origin IP felderítéstől az AlienVault OTX APT attribution elemzésig, SPF/DKIM/DMARC/ARC hitelesítési ellenőrzéstől, homoglyph detektálástól az Ollama AI pszicho-lingvisztikai elemzésig és kampányszintű Case Management-ig.

• Automatikus True Origin IP – Bottom-up traversal, privát IP kiszűrés (RFC 1918), MaxMind GeoLite2 geolokalizáció és interaktív világtérkép
• SPF + DKIM + DMARC + ARC hitelesítés egyszerre – DNS live lookup, fejléc auth-eredmény vs. valódi DNS rekord inkonzisztencia detektálás
• Homoglyph / Unicode Spoofing Detektor – 60+ konfuzábilis karakterpár, Levenshtein-távolság alapú márka-összevetés (OTP, NAV, Google, PayPal...), IDN/Punycode, vegyes írásrendszer detektálás
• Threat Intelligence Integráció – VirusTotal (csatolmányok + URL-ek), AbuseIPDB (IP reputáció), PhishTank (phishing URL adatbázis), AES-256-GCM titkosított API kulcstárolás
• AlienVault OTX APT Attribution – APT csoportok (pl. Fancy Bear, Lazarus), malware famíliák, MITRE ATT&CK technikák (pl. T1566 – Phishing) és kampánynevek
• Quishing (QR-Phishing) Detektor – PNG mellékletek automatikus QR dekódolása (max 15 MB), kinyert URL-ek VirusTotal + PhishTank csatornán
• AI Pszicho-Lingvisztikai Elemzés – Lokális Ollama LLM (llama3, PULI-LlumiX, mistral) valós idejű streaming, manipulációs technikák és BEC hangnem felismerése
• Időzítési Anomália + Kripto Tárca Detektor – Visszafelé futó timestamp és >2 órás szerverlépés detektálás; BTC/ETH tárcacímek regex kereséssel
• Case Management & Korreláció – Kampányszintű ügyek, interaktív node-gráf (IP, domain, URL, címzett), korrelációs jelentés, .hu és .gov célpont kiemelés

A webszerverek logjaiban rengeteg információ van elrejtve – de a hagyományos grep nem elég ahhoz, hogy észrevegyük a mintákat. A Grepsterrel vizuálisan látod a forgalmi trendeket, az anomáliákat és a gyanús IP-címeket, így olyan támadási jeleket is kiszűrhetsz, amelyeket greppel nem vennél észre. Dobd be az Apache, Nginx vagy Tomcat logjait, és másodpercek alatt megvan az elemzés – konfigurálás nélkül. Go és Rust alá építettük, ClickHouse-ban tárolja az adatokat, így több százmillió sort is képes feldolgozni 100ms alatt.

• Go/Rust alapú parser – 650,000+ sor/másodperc feldolgozási sebesség, alacsony szintű párhuzamosított I/O motor a extrém teljesítményért
• ClickHouse analitikai adatbázis – oszlop-orientált OLAP adatbázis, több millió soros lekérdezések < 100ms alatt, ~8:1 tömörítési arány
• Zéró-konfigurációs felismerés – automatikus Apache (Combined/Common), Nginx, Tomcat és egyedi log formátum felismerés, nincs szükség sémák kézi beállítására
• Ügy-alapú Case Management – logok projektekbe szervezése, különböző incidensek vagy alkalmazások adatainak elkülönített tárolása, rendezett archívum
• Apache ECharts vizualizáció – interaktív dashboard valós idejű forgalmi trendekkel, WebGL támogatás nagy sűrűségű adatokhoz
• IP és útvonal elemzés – gyanús IP címek azonosítása, leglátogatottabb oldalak, hibás kérések, státuszkód eloszlás
• BullMQ & Redis háttérfolyamatok – megbízható feladat-queue kezelés, gyorsítótárazás és valós idejű állapotkövetés
• Docker-alapú production-ready architektúra – API, Parser, UI és Adatbázis egy teljes stack megoldásban, bárhol futtatható