Centuria Labs · Security Operations Center

AEGIS Piattaforma di Threat Intelligence Universale

Un SOC di livello produzione che protegge qualsiasi dispositivo connesso — smartphone, tablet, Android Auto, Apple CarPlay, IoT, server. Un unico stack. Tutto sotto controllo.

↓ Esplora l'Architettura Centuria Labs →

aegis-orchestrator · live

$aegis status --all

✓ aegis-dns running [port 53]

✓ suricata running [af-packet]

✓ zeek running [nsm passive]

✓ apache+modsec running [OWASP CRS 4.22]

✓ fail2ban running

✓ auditd running

✓ shadowsocks running [3 ports]

✓ orchestrator running [:9096]

$aegis events --last 3

⚠ suricata ET SCAN Nmap SYN 192.168.x.x

dns BLOCKED malware-c2.ru → sinkhole

✗ fail2ban BAN 203.0.113.47 [ssh brute]

01 · Dispositivi Protetti

Se ha un IP,
AEGIS lo sorveglia.

AEGIS non è una piattaforma solo mobile. Il mobile è semplicemente il suo punto di forza principale. L'architettura è agnostica rispetto al dispositivo — qualsiasi cosa passi per il gateway è coperta dalla protezione SOC completa. Incluso il telefono in tasca, il tablet sulla scrivania e la tua auto in garage.

Android

Smartphone · Tablet

Blocco DNS di annunci e tracker. Traffico di rete ispezionato da Suricata e Zeek in tempo reale. Callback C2 sinkholati prima della connessione.

iOS / iPadOS

iPhone · iPad

Il traffico iOS è opaco per design — AEGIS lavora al perimetro di rete, non sul dispositivo. DNS sinkhole e IDS catturano ciò che l'OS non espone.

La Tua Auto

Android Auto · Apple CarPlay · OS veicolo

Le auto moderne sono superfici di attacco sempre connesse. AEGIS monitora ogni pacchetto dall'infotainment, dalla navigazione e dai canali di aggiornamento OTA del tuo veicolo.

Desktops

Windows · macOS · Linux

Workstation e laptop beneficiano della stessa copertura DNS sinkhole e IDS. Tentativi di movimento laterale e di esfiltrazione dati emergono nell'event stream.

IoT

Smart Home · Embedded · Industriale

I dispositivi che non possono proteggere se stessi. AEGIS è il loro unico livello di difesa — blocca botnet C2, hijacking degli aggiornamenti firmware e query DNS canaglia.

La tua auto è un
endpoint di rete.

Android Auto e Apple CarPlay trasformano il tuo veicolo in un'estensione della rete del tuo telefono. Ogni ricerca su mappa, streaming musicale e query all'assistente vocale è un pacchetto sulla tua rete — e un potenziale vettore di attacco.

I sistemi di infotainment a bordo eseguono varianti Linux, QNX o Android AOSP con cicli di aggiornamento minimi. I canali di aggiornamento OTA sono sempre più presi di mira. AEGIS monitora tutto passivamente, senza toccare il veicolo.

Instrada l'hotspot o la connessione tethered della tua auto attraverso il gateway AEGIS e ogni byte sarà soggetto allo stesso IDS, DNS sinkhole e rilevamento anomalie del tuo telefono.

Vettori di minaccia noti — a bordo veicolo

HIGH Hijack canale aggiornamento OTA DNS + Suricata
HIGH Callback C2 tramite app infotainment DNS sinkhole
MED Esfiltrazione dati Android Auto Zeek + Suricata
MED NTP / DNS canaglia su hotspot veicolo DNS intercept
MED Intercettazione sessione mirror CarPlay Zeek SSL log
INFO Tracking beacon mappa / telemetria DNS sinkhole
INFO Telemetria cloud assistente vocale Zeek HTTP log

02 · Architettura

Ogni livello
coperto.

Livello DNS

🛡️

AEGIS DNS

Resolver DNS sinkholing sulla porta 53. Blocca C2 malware noti, phishing e domini pubblicitari prima che qualsiasi pacchetto lasci il dispositivo. Blocklist personalizzate con log per ogni query.

IDS / IPS

⚡

Suricata

Ispezione approfondita dei pacchetti in modalità AF-packet passiva. Alert basati su signature, rilevamento anomalie di protocollo, estrazione file nel filestore e scansione ClamAV dei file catturati.

Monitor di Sicurezza di Rete

🔭

Zeek

NSM passivo su enp0s3. Registra transazioni HTTP, certificati TLS, query DNS, trasferimenti file e metadati di connessione. Rileva anomalie a livello di protocollo su tutti i flussi.

Web Application Firewall

🔒

ModSecurity

Apache + ModSecurity con OWASP Core Rule Set 4.22. Engine in modalità enforcement completa. Blocca SQLi, XSS, RFI, LFI e violazioni di protocollo. Stream di log JSONL parsato verso l'orchestratore.

Prevenzione Intrusioni

🚫

Fail2Ban

Ban IP automatico basato su errori di autenticazione, signature di port-scan e regole AEGIS personalizzate. Integrato con iptables per risposta in sub-secondo a campagne di brute-force.

Audit di Sistema

📋

Auditd

Sottosistema di audit del kernel Linux. Traccia accessi ai file, escalation di privilegi, esecuzioni di processi e system call. Trail di audit completo per analisi forense e reportistica di conformità.

03 · Funzionalità

Pensato per
gli operatori.

Stream di eventi unificato

Tutte le sorgenti — DNS, Suricata, Zeek, WAF, Fail2Ban, Auditd, Shadowsocks — confluiscono in un unico event bus normalizzato tramite l'orchestratore Rust. API singola, schema coerente.

Auto-Heal & Watchdog

Health check ogni 10 secondi. Qualsiasi servizio in errore viene riavviato automaticamente. Ripristino senza downtime senza intervento dell'operatore.

Motore Anti-DDoS

Iniezione dinamica di regole iptables per IP offensivi. Rilevamento basato su rate con soglie configurabili. Whitelist-aware per prevenire scenari di auto-ban.

Scansione File ClamAV

I file estratti da Suricata dal filestore di rete vengono automaticamente messi in coda per la scansione ClamAV. I rilevamenti di malware emergono immediatamente nell'event stream.

API REST + WebSocket

API REST completa e feed WebSocket in tempo reale. Pronto per la dashboard. Filtra eventi per sorgente, severità, categoria, IP o intervallo temporale.

Telemetria Proxy Shadowsocks

Istanza Shadowsocks a tre porte con log per connessione integrato nell'event bus. Correlazione del traffico tra utilizzo del proxy e anomalie di rete.

Event Stream — Feed Live LIVE

08:14:02aegis_dnsBLOCK tracking.malware-c2.ru → sinkhole [DENY]

08:14:05suricataALERT ET SCAN Nmap SYN 203.0.113.47 :22

08:14:06fail2banBAN 203.0.113.47 ssh-bruteforce

08:14:09zeekSSL cert mismatch 198.51.100.12 CN=*.evil.cc

08:14:11mod_securityBLOCK SQLi 192.0.2.88 [941100]

08:14:14aegis_dnsALLOW api.centurialabs.pl [PASS]

08:14:18suricataFILEINFO PDF extracted 10.0.0.8 → ClamAV queue

08:14:20systemHEALTH all services OK [8/8]

08:14:22zeekHTTP POST 198.51.100.9 /wp-login.php WEIRD

08:14:25mod_securityWARN XSS attempt 192.0.2.99 [score:6]

08:14:28aegis_dnsBLOCK cdn.adtrack.io → sinkhole [DENY]

08:14:31suricataANOMALY TCP stream gap 10.0.0.31

08:14:34systemANTIDDOS threshold check no new bans

08:14:37zeekNOTICE port scan 203.0.113.12 47 ports/5s

08:14:39fail2banBAN 203.0.113.12 portscan

04 · Stack Tecnologico

Componenti
di produzione.

Rust

Core Orchestratore

L'orchestratore AEGIS è scritto in Rust per astrazioni a costo zero, sicurezza della memoria e I/O asincrono ad alto throughput tramite Tokio.

Suricata

IDS / Estrazione File

Modalità AF-packet passiva sull'interfaccia principale. Output EVE JSON con filestore abilitato per la pipeline di scansione ClamAV.

Zeek

Network Security Monitor

NSM completo con stream di log conn, http, ssl, files, dns, weird e notice. Supporto script personalizzati per il rilevamento di protocolli specifici mobile.

ModSec

WAF — OWASP CRS 4.22

Apache2 + ModSecurity con OWASP CRS 4.22 in full enforcement. Tail JSONL parsato inviato all'orchestratore in tempo reale.

React

Dashboard SOC

Dashboard Vite + React che consuma le API REST e WebSocket dell'orchestratore. Tab per DNS, Suricata, Zeek, WAF, File e Report.

ClamAV

Scanner Antivirus

Integrato con il filestore di Suricata. I file catturati dal traffico di rete vengono messi in coda e scansionati in modo asincrono con i risultati che emergono nell'event stream.

Fail2Ban

Intrusion Prevention

Ban IP basato su pattern con backend iptables. Jail personalizzate per SSH, abuso HTTP e pattern di minacce specifici AEGIS.

iptables

Filtraggio Pacchetti

Configurato staticamente con regole persistenti. Iniezione dinamica dal motore anti-DDoS e Fail2Ban. Superficie di attacco minima — nessuna modalità NFQUEUE inline.

// DATA FLOW

aegis_dns ──┐

suricata ──┤

zeek ──┤ ORCHESTRATOR

mod_security ──┤ :9096

fail2ban ──┤

auditd ──┘

↓

monitor.rs health checks ×10s

heal.rs auto-restart

antiddos.rs dynamic ban

scanner.rs ClamAV queue

↓

REST API + WebSocket → Dashboard

05 · Orchestratore

Un binario.
Tutto connesso.

L'Orchestratore AEGIS è un singolo binario Rust che aggrega stream di log da ogni servizio di sicurezza, li normalizza in uno schema eventi unificato e li espone tramite REST e WebSocket.

Sorveglia anche l'intero stack — se un servizio si blocca, lo riavvia automaticamente. Se le anomalie di traffico superano le soglie, banna la sorgente a livello kernel.

Segue in coda tutte le sorgenti di log in modo concorrente con I/O asincrono
Normalizza allo schema AegisEvent (source, level, category, ts)
Loop di health check ogni 10 secondi su tutti gli 8 servizi
Il motore anti-DDoS inietta regole iptables DROP dinamicamente
Lo scanner ClamAV sorveglia il filestore di Suricata in modo asincrono
REST + WebSocket su 127.0.0.1:9096 — accessibile via tunnel

AEGIS Piattaforma di Threat Intelligence Universale

La tua auto è unendpoint di rete.

Ogni livellocoperto.

Pensato pergli operatori.

Componentidi produzione.

Un binario.Tutto connesso.

Parte di unecosistema più ampio.

La tua auto è un
endpoint di rete.

Ogni livello
coperto.

Pensato per
gli operatori.

Componenti
di produzione.

Un binario.
Tutto connesso.

Parte di un
ecosistema più ampio.