SecureVisio to polska platforma klasy SIEM z modułem UEBA, która łączy SIEM, SOAR, UEBA, zarządzanie podatnościami, zarządzanie ryzykiem, CMDB oraz BIA w jednym rozwiązaniu do wykrywania i reagowania na zagrożenia. Architektura oddziela tanie przechowywanie logów (Data Lake) od kosztownej analizy (NG-SIEM), a wielowarstwowy silnik AI (Machine Learning, Deep Value Learning, LLM i LRM) wskazuje realne zagrożenia wysokiego ryzyka i automatyzuje znaczną część pracy SOC. Platforma jest rozwijana w całości od podstaw od ponad 15 lat, bez zależności open source, dla dowolnego typu wdrożenia i skali.
Materiały o detekcji incydentów i reakcji z SecureVisio.
Wdrożenie i konfiguracja
Onboarding od A do Z
Wdrożenie SIEM, reguł, źródeł danych i automatyzacji.
Demo i testy
Pokaz i ocena wdrożenia
Pomożemy zorganizować demo i pilotaż.
Polski support
Bezpośredni kontakt z inżynierem
Bez różnic czasowych i językowych.
Co wyróżnia SecureVisio
01
Potężny silnik korelacyjny. Łączy informacje o zasobach, usługach, podatnościach i incydentach, aby natychmiast wykrywać poważne zagrożenia.
02
Pełen kontekst biznesowy. Dzięki natywnym CMDB i BIA widać pełną historię ataku: wpływ, właścicieli, zależności i wektor ataku.
03
Priorytetyzacja w oparciu o analizę ryzyka. Dynamiczny, dopasowany scoring kieruje uwagę na realne zagrożenia wysokiego ryzyka, a nie na szum.
04
Asystent AI i automatyzacje. AI tworzy podsumowania, rekomendacje oraz propozycje reguł i zapytań, a wbudowane automatyzacje obsługują do 99% działań, odciążając analityków.
05
Siedem rozwiązań w jednej platformie. SIEM, SOAR, UEBA, zarządzanie podatnościami, zarządzanie ryzykiem, CMDB i BIA (oraz IT GRC), bez zszywania wielu osobnych narzędzi.
06
Macierz ryzyka zgodna z ISO 27005. Poziom ryzyka liczony jako iloczyn prawdopodobieństwa zagrożenia i krytyczności zasobu, w przejrzystym, konfigurowalnym modelu.
07
Architektura Data Lake + NG-SIEM. Tanie przechowywanie logów jest oddzielone od kosztownej analizy. Dzięki temu firma zachowuje pełną historię zdarzeń, a koszt rośnie liniowo wraz z wolumenem danych, a nie skokowo.
08
Suwerenność danych. Platforma w pełni własnościowa (bez komponentów open source), rozwijana w Europie od ponad 15 lat, bez konieczności korzystania z zewnętrznych usług chmurowych dla AI, UEBA i SOAR. Moduł SOAR może przy tym działać w pełni bez połączenia z internetem.
09
Stworzone w Polsce, dowolna skala. Pełna automatyzacja, dowolny typ wdrożenia i skala, od mniejszych zespołów po duże organizacje. Platforma ma już 250+ klientów i partnerów.
10
Uznanie rynkowe. SecureVisio uznane za wiodącą firmę technologiczną w Europie Środkowej w programie Deloitte Technology Fast 50 2022.
Efektywny SOC wymaga nowego podejścia
Wyzwania tradycyjnego SOC
Trudna identyfikacja realnych zagrożeń. Klasyczne narzędzia z trudem oddzielają istotne incydenty od szumu.
Brak wiedzy o zasobach i procesach. Wiodącym narzędziom brakuje natywnego kontekstu o zasobach i krytycznych procesach biznesowych.
Rosnący wolumen danych i zagrożeń. Coraz więcej danych i zaawansowane ataki wymagają nowej klasy rozwiązań.
Brak automatyzacji i AI. Tradycyjne narzędzia nie mają odpowiednich automatyzacji ani wsparcia asystenta AI.
Odpowiedź SecureVisio
Kontekst z CMDB i BIA. Korelacja zasobów, usług, podatności i incydentów w jednym miejscu.
Priorytetyzacja według ryzyka. Dynamiczny scoring wskazuje realne zagrożenia wysokiego ryzyka.
Siedem rozwiązań w jednej platformie. SIEM, SOAR, UEBA, VM, zarządzanie ryzykiem, CMDB i BIA oraz IT GRC.
Asystent AI i automatyzacja. SVBot i automatyzacje obsługują do 99% działań w triażu incydentów.
Jak działa SecureVisio?
SecureVisio zbiera dane, wzbogaca je o kontekst biznesowy z CMDB i BIA, koreluje i priorytetyzuje zagrożenia według analizy ryzyka, a następnie wspiera decyzje asystentem AI i automatyzuje reakcję.
1
Zbieranie danych (SIEM)
Platforma gromadzi logi i zdarzenia z infrastruktury jako podstawę detekcji.
Silnik korelacyjny łączy zasoby, podatności i incydenty; priorytetyzacja wg modelu ryzyka zgodnego z ISO 27005.
4
Decyzje wspierane przez AI
Asystent AI dostarcza rekomendacje, podsumowania zagrożeń oraz analizę interaktywną (parsery, threat hunting).
5
Automatyczna reakcja (SOAR)
Dynamiczna orkiestracja, inteligentna reakcja (zapytania do Active Directory, blokowanie na zaporze) i adaptacja SVBota.
Architektura: Data Lake oddzielony od NG-SIEM
W klasycznym modelu przechowywanie i analiza danych to jeden, nierozdzielny system, a klient płaci najwyższą stawkę za każdą informację, także tę, której nigdy nie analizuje. SecureVisio rozdziela te dwie warstwy, dzięki czemu firma zachowuje pełną historię logów, a za zaawansowaną analizę NG-SIEM płaci tylko tam, gdzie faktycznie chroni to organizację. Pełny opis architektury: SecureVisio Architecture: A Scalable Data Lake, NG-SIEM, and High Availability by Design (materiał producenta, w j. angielskim).
Warstwa Data Lake (przechowywanie)
LogForwarder. Definiuje polityki retencji, odbiera, parsuje i kieruje logi do właściwych repozytoriów; ta sama porcja danych może trafić równolegle do kilku repozytoriów, a korelacja odbywa się dopiero na wybranym, kwalifikowanym ruchu.
LogStore. Zapisuje logi i buduje indeksy; przechowuje dane surowe (RAW) i znormalizowane, co pozwala łączyć zaawansowaną analitykę z wymogami dowodowymi i audytowymi.
Skalowanie poziome. Każdy kolektor obsługuje ok. 18 000 EPS, co przy odpowiedniej mocy obliczeniowej pozwala skalować się do ok. 11 TB danych dziennie.
Warstwy Hot / Warm / Cold. Najnowsze dane trafiają na najszybsze nośniki (Hot), dane historyczne o umiarkowanej częstotliwości dostępu na tańsze media (Warm), a archiwalne na najtańsze nośniki, wciąż dostępne do audytów i śledztw (Cold).
Warstwa NG-SIEM (analiza)
EventStore. Zapisuje zdarzenia bezpieczeństwa generowane przez silnik korelacji i inne moduły analityczne, co przyspiesza raportowanie i analizę incydentów.
AnomalyDetector. Prowadzi analizę anomalii metodami uczenia maszynowego (m.in. isolation forest, statystyka, wykrywanie rzadkich wartości) oraz analitykę behawioralną z profilowaniem użytkowników i zasobów (UEBA).
PolicyEngine. Silnik korelacji SIEM i UEBA, który dodatkowo automatycznie uzupełnia CMDB na podstawie napływających danych; reguły korelacyjne korzystają z kontekstu zasobów, podatności i ryzyka.
Collector Controller. Monitoruje stan platformy, kolektorów i agentów XDR, obsługuje aktualizacje oraz wysoką dostępność: wykrywa awarie, przełącza moduły na instancje zapasowe i udostępnia porty health-check.
Wydajność, wyszukiwanie i wysoka dostępność
Wydajność kolektora
ok. 18 000 EPS
Jeden Zone Collector.
Skalowanie
Liniowe, bez limitów
5 kolektorów ≈ 90 000 EPS.
Wolumen danych
do ok. 11 TB/dobę
Przy odpowiedniej mocy obliczeniowej.
Wyszukiwanie
ok. 10 s / tydzień logów
Gdy brak dopasowania w zakresie.
Prędkość vs skala
Bez spadku
90 000 EPS = ta sama prędkość co 10 000 EPS.
Wysoka dostępność
Active-active / active-passive
Dla kolektorów i agentów XDR.
Szybkie wyszukiwanie mimo niskiego kosztu przechowywania zapewniają: format kolumnowy (odczyt tylko potrzebnych kolumn), partycjonowanie czasowe (przeszukiwanie tylko właściwego zakresu), przetwarzanie równoległe na wielu węzłach oraz warstwa danych „Hot” na najszybszych nośnikach. Wysoką dostępność nadzoruje Collector Controller, który monitoruje stan kolektorów i agentów XDR, udostępnia porty health-check dla systemów monitorujących i zewnętrznych load balancerów oraz automatycznie przełącza ruch na instancje zapasowe, autonomicznie w ramach platformy lub przez zewnętrzny mechanizm load balancingu.
Zgodność regulacyjna, integralność danych i zbieranie logów
NIS2, DORA i rezydencja danych
Przechowywanie lokalne. Logi mogą być przechowywane w danym kraju lub regionie zgodnie z lokalnymi przepisami, podczas gdy wybrane kategorie zdarzeń (np. bezpieczeństwa) są replikowane centralnie do korelacji i obsługi incydentów.
Reguły LogForwardera. To one decydują, które logi pozostają lokalnie, a które trafiają do centralnej korelacji, bez utraty scentralizowanej widoczności.
Integralność i niezaprzeczalność. Logi w LogStore (pliki średnio ok. 300 MB) są kompresowane i zabezpieczone kryptograficznie funkcją skrótu oraz certyfikatem cyfrowym, co ma znaczenie przy audytach i postępowaniach dowodowych.
Zbieranie i parsowanie danych
Metody aktywne. Integracje API, Microsoft Security Event Log przez MSRPC, odczyt baz danych (ODBC), odczyt plików, poczta e-mail oraz agenci XDR SecureVisio.
Metody pasywne. Syslog (w tym szyfrowany TLS/SSL), Windows Event Forwarding, NetFlow/sFlow/IPFIX oraz webhooki.
Integracje inwentaryzacyjne. Zewnętrzne skanery podatności oraz narzędzia SNMP, LLDP, CDP i WMI automatycznie zasilają CMDB i moduł zarządzania podatnościami.
Formaty parsowania. CEF, Syslog (RFC 3164 i RFC 5424), struktura e-mail, wyrażenia regularne, LEEF, zapytania HTTP w formie URL, XML i JSON według struktury oraz klucz-wartość z definiowalnym separatorem.
SecureVisio SIEM, SOAR i UEBA - komponenty platformy
SIEM
Korelacja + AI
Detekcja z kontekstem z CMDB i analizą ryzyka.
SOAR
Triaż i reakcja
Zautomatyzowana orkiestracja działań.
UEBA
Analiza kontekstowa
Wykrywanie anomalii w zachowaniu użytkowników i encji.
Zarządzanie podatnościami
Ocena ryzyka real-time
Wsparcie kontekstem z CMDB i BIA.
Zarządzanie ryzykiem
Matryca ISO 27005
Ryzyko per system, profile, zależności i analiza skutków.
CMDB
Spis zasobów IT
Serwery, sieci i narzędzia cyber w jednym miejscu.
BIA
Kontekst biznesowy
Procesy, krytyczność i powiązania z zasobami IT.
Asystent AI
Rekomendacje
Podsumowania, propozycje reguł, parsery i threat hunting.
SVBot
Adaptacyjna automatyzacja
Uczy się decyzji analityków w triażu incydentów.
Wektor ataku
Ścieżki ataku
Dynamiczne ścieżki ataku dla zagrożeń.
Inteligentna reakcja
AD + zapora
Zapytania do Active Directory i blokowanie na lokalnej zaporze.
Machine Learning (ML). Podstawa silnika: modele uczenia maszynowego analizują wzorce zachowań we wszystkich napływających danych, wykrywając anomalie w czasie rzeczywistym i ucząc się, jak wygląda „normalność” dla danego środowiska.
02
Deep Value Learning. System uczy się wartości konkretnych zachowań i procesów: jakie procesy uruchamiają inne procesy, jakie połączenia sieciowe są typowe dla danego hosta czy z jakich lokalizacji geograficznych zwykle łączą się użytkownicy. Dzięki temu SecureVisio rozumie środowisko głębiej, a nie tylko dopasowuje powierzchniowe wzorce.
03
LLM (Large Language Models). Pełnią rolę „głosu analitycznego” platformy: podsumowują incydenty, wyjaśniają zdarzenia prostym językiem i generują zapytania na potrzeby threat huntingu.
04
LRM (Large Reasoning Models). Odpowiadają za decyzje o najwyższej stawce: oceniają, czy sytuacja wymaga głębszego dochodzenia, i wskazują kolejną najlepszą akcję w playbooku. Ze względu na czas przetwarzania są używane selektywnie, dopiero po tym, jak ML i Deep Value Learning odfiltrują i uporządkują dane według priorytetu.
Warstwy działają w ustalonej kolejności: najpierw ML wykrywa anomalie w czasie rzeczywistym, następnie Deep Value Learning sprawdza, czy oczekiwane zachowania faktycznie wystąpiły, dalej LLM podsumowuje sytuację i proponuje zapytania śledcze, a na końcu, tylko gdy sytuacja jest wystarczająco złożona, LRM decyduje, jaką akcję powinien podjąć playbook.
AI w playbookach i CMDB
AI Request w playbookach. Krok playbooka może zawierać zapytanie do AI o ocenę sytuacji; odpowiedź trafia do zmiennej, a playbook rozgałęzia się na jej podstawie. Jeśli na przykład AI uzna za prawdopodobną obecność złośliwych plików, playbook przechodzi do weryfikacji hashy i pogłębionej analizy plików, jeśli nie, pomija te kroki.
Automatyczne budowanie kontekstu. Akcje playbooków (np. Change Asset Parameter Value) automatycznie klasyfikują i wzbogacają zasoby w CMDB, a system może samodzielnie potwierdzić atrybut albo poprosić operatora o weryfikację.
Samodostrajanie. System monitoruje statystyki wyzwalania reguł i przy nadmiernej liczbie fałszywych trafień dla danego adresu IP lub konta automatycznie tworzy regułę wykluczenia.
Automatyczny dobór parserów i polityk. Dla nowego źródła logów system sam dobiera najlepiej dopasowany parser i stosuje odpowiednią politykę globalną, bez ręcznej konfiguracji.
Asystent AI i modele
Kontekstowy asystent. Dostępny w całym interfejsie i świadomy miejsca pracy operatora: inaczej wspiera w edytorze parserów, inaczej przy przeglądzie alertu. Podsumowuje incydenty, generuje zapytania do threat huntingu i pomaga tworzyć konfiguracje parserów na podstawie surowych próbek logów.
Modele lokalne i zewnętrzne. Możliwość uruchomienia własnego serwera AI on-premise (dane zostają w infrastrukturze klienta) lub integracji z modelami zewnętrznymi.
Anonimizacja danych. Przy przesyłaniu danych do modeli zewnętrznych wrażliwe pola są automatycznie anonimizowane, a użytkownik decyduje, które pola mają być anonimizowane.
UEBA bez limitu profili. Wcześniejsze ograniczenie do 10 profili zostało zniesione, więc organizacje definiują dowolną liczbę profili, z możliwością pojedynczej dezaktywacji lub wykluczenia z uczenia maszynowego.
SIEM i UEBA - możliwości detekcji i reakcji
Detekcja
Silnik korelacyjny. Łączy zasoby, usługi, podatności i incydenty, by natychmiast wykrywać poważne zagrożenia.
UEBA. Wykrywa anomalie w zachowaniu użytkowników i encji z analizą kontekstową.
Priorytetyzacja według ryzyka. Scoring wg krytyczności aktywów i zastosowanych zabezpieczeń.
Podsumowania AI. Asystent streszcza złożone dane o zagrożeniach w zwięzłe wnioski.
Reakcja
Dynamiczna orkiestracja. Zbiera kontekst, szybko reaguje na alerty i automatyzuje część reakcji.
Inteligentna reakcja. Od zapytań do użytkownika i Active Directory po blokowanie na lokalnej zaporze.
Ciągła adaptacja (SVBot). Obserwuje decyzje analityków i automatyzuje działania w triażu.
Rekomendacje. Konkretne zalecenia dotyczące incydentów i podatności.
Specyfikacja, licencjonowanie i wdrożenie
Klasa rozwiązania
SIEM · SOAR · UEBA
Plus VM, zarządzanie ryzykiem, CMDB, BIA, IT GRC.
Automatyzacja
Do 99% działań
SVBot i wbudowane automatyzacje.
Analiza ryzyka
Zgodna z ISO 27005
Macierz ryzyka per zasób.
Reakcja
AD + zapora
Integracja z Active Directory i zaporą sieciową.
Interfejsy
Advanced + Operator
Dla analityków SOC i standardowych operatorów.
Model licencji
Wieczysta / subskrypcja / MSSP
Pełna obsługa multi-tenancy.
Wdrożenie
On-premise, chmura, hybrydowo
SOAR może działać w pełni offline (air-gapped).
Czas wdrożenia
Już od 5 dni roboczych klienta
Model fixed-price, reszta po stronie SecureVisio/partnera.
Platforma dostarczana jest z gotowymi, predefiniowanymi regułami SIEM, playbookami SOAR, parserami i mechanizmami normalizacji, co upraszcza migrację z istniejących rozwiązań SIEM. Każdy alert jest w pełni możliwy do prześledzenia: widać dokładnie, jak i dlaczego dane zdarzenie zostało wygenerowane, bez działania typu „czarna skrzynka”. Dostępne są też usługi Managed SOC: SecureVisio jako usługa (SVaaS) lub wdrożenie on-premise.
Wdrożenie SecureVisio przez Net Complex
Pomożemy zaprojektować wdrożenie, podłączyć źródła danych, skonfigurować reguły detekcji, analizę ryzyka i automatyzacje SOAR. Wsparcie w języku polskim. Skontaktuj się z nami w sprawie demo i wyceny.
OXARI ITSM to modułowa platforma do zarządzania zgłoszeniami, zasobami IT oraz konfiguracją infrastruktury (CMDB). System umożliwia centralizację procesów IT, usprawnia obsługę incydentów i porządkuje pracę zespołów, zapewniając pełną kontrolę nad środowiskiem IT w organizacji.