Centuria Labs · Security Operations Center

AEGIS Uniwersalna Platforma Threat Intelligence

Produkcyjne SOC chroniące każde podłączone urządzenie — smartfony, tablety, Android Auto, Apple CarPlay, IoT, serwery. Jeden stack. Wszystko pod nadzorem.

↓ Odkryj Architekturę Centuria Labs →
8
Aktywne usługi
7
Źródła zdarzeń
Zdarzenia / sek.
0
Ręczne restarty

01 · Chronione Urządzenia

Jeśli ma adres IP,
AEGIS to obserwuje.

AEGIS to nie tylko platforma mobilna. Mobile to jedynie jej pierwsza specjalizacja. Architektura jest niezależna od urządzenia — cokolwiek przechodzi przez bramę, podlega pełnej ochronie SOC. W tym telefon w kieszeni, tablet na biurku i samochód w garażu.

Android
Smartfony · Tablety
Pełne blokowanie reklam i trackerów na poziomie DNS. Ruch sieciowy inspekcjonowany przez Suricata i Zeek w czasie rzeczywistym. Callbacki C2 sinkholowane przed połączeniem.
iOS / iPadOS
iPhone · iPad
Ruch iOS jest z założenia nieprzejrzysty — AEGIS działa na obwodzie sieci, nie na urządzeniu. DNS sinkhole i IDS wychwytują to, czego OS nie eksponuje.
Twój Samochód
Android Auto · Apple CarPlay · OS pojazdu
Nowoczesne samochody są stale podłączonymi powierzchniami ataku. AEGIS monitoruje każdy pakiet z infotainmentu, nawigacji i kanałów aktualizacji OTA Twojego pojazdu.
Desktops
Windows · macOS · Linux
Stacje robocze i laptopy korzystają z tej samej ochrony DNS sinkhole i IDS. Próby ruchu bocznego i eksfiltracji danych pojawiają się w strumieniu zdarzeń.
IoT
Smart Home · Embedded · Przemysłowe
Urządzenia, które nie mogą się bronić same. AEGIS jest ich jedyną warstwą obrony — blokuje botnet C2, przejęcie aktualizacji firmware i fałszywe zapytania DNS.

Twój samochód jest
punktem końcowym sieci.

Android Auto i Apple CarPlay zamieniają Twój pojazd w rozszerzenie sieci telefonu. Każde wyszukiwanie na mapie, strumień muzyki i zapytanie do asystenta głosowego to pakiet w Twojej sieci — i potencjalny wektor ataku.

Systemy infotainment w pojazdach działają na wariantach Linux, QNX lub Android AOSP z minimalnymi cyklami aktualizacji. Kanały aktualizacji OTA są coraz częściej atakowane. AEGIS monitoruje to wszystko pasywnie, nie dotykając pojazdu.

Przekieruj hotspot lub połączenie tethering samochodu przez bramę AEGIS, a każdy bajt będzie podlegał temu samemu IDS, DNS sinkhole i wykrywaniu anomalii co Twój telefon.

Znane wektory zagrożeń — wewnątrz pojazdu
  • HIGH Przejęcie kanału aktualizacji OTA DNS + Suricata
  • HIGH Callback C2 przez aplikację infotainment DNS sinkhole
  • MED Eksfiltracja danych Android Auto Zeek + Suricata
  • MED Fałszywe NTP / DNS na hotspot pojazdu DNS intercept
  • MED Przechwycenie sesji mirror CarPlay Zeek SSL log
  • INFO Tracking beacon mapy / telemetrii DNS sinkhole
  • INFO Telemetria chmury asystenta głosowego Zeek HTTP log

02 · Architektura

Każda warstwa
zabezpieczona.

Warstwa DNS
🛡️
AEGIS DNS
Resolver DNS sinkholing na porcie 53. Blokuje znane C2 malware, phishing i domeny reklamowe zanim jakikolwiek pakiet opuści urządzenie. Niestandardowe listy blokad z logowaniem każdego zapytania.
IDS / IPS
Suricata
Głęboka inspekcja pakietów w trybie AF-packet pasywnym. Alerty oparte na sygnaturach, wykrywanie anomalii protokołów, ekstrakcja plików do filestore i skanowanie ClamAV przechwyconych plików.
Monitor Bezpieczeństwa Sieci
🔭
Zeek
Pasywny NSM na enp0s3. Rejestruje transakcje HTTP, certyfikaty TLS, zapytania DNS, transfery plików i metadane połączeń. Wykrywa anomalie na poziomie protokołu we wszystkich przepływach.
Web Application Firewall
🔒
ModSecurity
Apache + ModSecurity z OWASP Core Rule Set 4.22. Silnik w trybie pełnego egzekwowania. Blokuje SQLi, XSS, RFI, LFI i naruszenia protokołów. Parsowany strumień logów JSONL do orchestratora.
Zapobieganie Intruzjom
🚫
Fail2Ban
Automatyczne banowanie IP na podstawie błędów uwierzytelniania, sygnatur skanowania portów i niestandardowych reguł AEGIS. Zintegrowane z iptables dla odpowiedzi poniżej sekundy na kampanie brute-force.
Audyt Systemu
📋
Auditd
Podsystem audytu jądra Linux. Śledzi dostępy do plików, eskalacje uprawnień, wykonania procesów i wywołania systemowe. Pełny ślad audytu do analizy kryminalistycznej i raportowania zgodności.

03 · Funkcje

Zbudowane dla
operatorów.

Zunifikowany strumień zdarzeń
Wszystkie źródła — DNS, Suricata, Zeek, WAF, Fail2Ban, Auditd, Shadowsocks — zasilają jeden znormalizowany event bus przez orchestrator Rust. Jedno API, spójny schemat.
Auto-Heal & Watchdog
Health check co 10 sekund. Każda usługa, która ulegnie awarii, jest automatycznie restartowana. Odtwarzanie bez przestojów bez ingerencji operatora.
Silnik Anti-DDoS
Dynamiczne wstrzykiwanie reguł iptables dla ofensywnych IP. Wykrywanie oparte na wskaźniku z konfigurowalnymi progami. Świadomy listy białej, aby zapobiec scenariuszom auto-bana.
Skanowanie plików ClamAV
Pliki wyodrębnione przez Suricata z filestore sieciowego są automatycznie kolejkowane do skanowania ClamAV. Wykrycia złośliwego oprogramowania pojawiają się natychmiast w strumieniu zdarzeń.
REST + WebSocket API
Pełne REST API i feed WebSocket w czasie rzeczywistym. Gotowe do dashboardu. Filtruj zdarzenia według źródła, powagi, kategorii, IP lub zakresu czasowego.
Telemetria proxy Shadowsocks
Instancja Shadowsocks z trzema portami i logowaniem per-połączenie zintegrowanym z event bus. Korelacja ruchu między użyciem proxy a anomaliami sieci.
Strumień zdarzeń — Live Feed LIVE
08:14:02aegis_dnsBLOCK tracking.malware-c2.ru → sinkhole [DENY]
08:14:05suricataALERT ET SCAN Nmap SYN 203.0.113.47 :22
08:14:06fail2banBAN 203.0.113.47 ssh-bruteforce
08:14:09zeekSSL cert mismatch 198.51.100.12 CN=*.evil.cc
08:14:11mod_securityBLOCK SQLi 192.0.2.88 [941100]
08:14:14aegis_dnsALLOW api.centurialabs.pl [PASS]
08:14:18suricataFILEINFO PDF extracted 10.0.0.8 → ClamAV queue
08:14:20systemHEALTH all services OK [8/8]
08:14:22zeekHTTP POST 198.51.100.9 /wp-login.php WEIRD
08:14:25mod_securityWARN XSS attempt 192.0.2.99 [score:6]
08:14:28aegis_dnsBLOCK cdn.adtrack.io → sinkhole [DENY]
08:14:31suricataANOMALY TCP stream gap 10.0.0.31
08:14:34systemANTIDDOS threshold check no new bans
08:14:37zeekNOTICE port scan 203.0.113.12 47 ports/5s
08:14:39fail2banBAN 203.0.113.12 portscan

04 · Stack Technologiczny

Komponenty
produkcyjne.

Rust
Rdzeń Orchestratora
Orchestrator AEGIS jest napisany w Rust dla abstrakcji bez kosztów, bezpieczeństwa pamięci i wysokowydajnego asynchronicznego I/O przez Tokio.
Suricata
IDS / Ekstrakcja plików
Tryb pasywny AF-packet na głównym interfejsie. Wyjście EVE JSON z włączonym filestore dla pipeline skanowania ClamAV.
Zeek
Network Security Monitor
Pełny NSM ze strumieniami logów conn, http, ssl, files, dns, weird i notice. Obsługa niestandardowych skryptów do wykrywania protokołów specyficznych dla mobile.
ModSec
WAF — OWASP CRS 4.22
Apache2 + ModSecurity z OWASP CRS 4.22 w pełnym egzekwowaniu. Parsowany ogon JSONL przesyłany do orchestratora w czasie rzeczywistym.
React
Dashboard SOC
Dashboard Vite + React korzystający z REST i WebSocket API orchestratora. Zakładki dla DNS, Suricata, Zeek, WAF, Pliki i Raporty.
ClamAV
Skaner antywirusowy
Zintegrowany z filestore Suricata. Pliki przechwycone z ruchu sieciowego są kolejkowane i skanowane asynchronicznie z wynikami pojawiającymi się w strumieniu zdarzeń.
Fail2Ban
Intrusion Prevention
Banowanie IP oparte na wzorcach z backendem iptables. Niestandardowe więzienia dla SSH, nadużyć HTTP i wzorców zagrożeń specyficznych dla AEGIS.
iptables
Filtrowanie pakietów
Skonfigurowane statycznie z trwałymi regułami. Dynamiczne wstrzykiwanie przez silnik anti-DDoS i Fail2Ban. Minimalna powierzchnia ataku — brak trybu NFQUEUE inline.
05 · Orchestrator

Jeden plik binarny.
Wszystko połączone.

Orchestrator AEGIS to pojedynczy plik binarny Rust, który agreguje strumienie logów z każdej usługi bezpieczeństwa, normalizuje je do zunifikowanego schematu zdarzeń i eksponuje przez REST i WebSocket.

Nadzoruje również cały stack — jeśli jakakolwiek usługa ulega awarii, restartuje ją automatycznie. Jeśli anomalie ruchu przekraczają progi, banuje źródło na poziomie jądra.

  • Śledzi wszystkie źródła logów równolegle z asynchronicznym I/O
  • Normalizuje do schematu AegisEvent (source, level, category, ts)
  • Pętla health check co 10 sekund dla wszystkich 8 usług
  • Silnik anti-DDoS dynamicznie wstrzykuje reguły iptables DROP
  • Skaner ClamAV asynchronicznie monitoruje filestore Suricata
  • REST + WebSocket na 127.0.0.1:9096 — dostępne przez tunel

06 · Sieć Centuria Labs

Część
szerszego ekosystemu.