● security platformSIEM · EDR · MITRE · MDR

Один центркибербезопасности.Без зоопарка

Не «security как service», и не Excel с открытыми инцидентами. SIEM, EDR, NGFW/IPS/WAF, DLP, threat intel, MITRE ATT&CK покрытие, IRP с автоплейбуками — связанная платформа. Один контекст, одна war-room, одна метрика MTTR. Дежурит наш SOC или ваш.

Сравнить тиры →Модули платформы

Community OSS · Enterprise · Managed SOC 24×7

SOC · MSK · live · стадия containment

active

EPS · live1,24M+15%

Alerts/24ч2 184+18,6%

Open inc5MTTR 18м

Coverage84%+5%

h3 sec live

SIEM 1.24M EPS · 90 дней горячих логовEDR на 1 842 endpointMITRE ATT&CK · 14 тактик · 84% coverageMTTD 4,2 мин · MTTR 18,4 минplaybook'и из коробки · IRPNGFW · IPS/IDS · WAF · DLPwar-room с AI commanderФЗ-152 · ФСТЭК · PCI DSS · ISO 27001MDR 24×7 · реальные инженеры

Зачем нам ещё одна security-платформа

SOC на 8 продуктах — это 8 биллингов, 8 моделей данных, 8 разных API. Аутсорсный MSSP — чёрный ящик. Мы попробовали взять лучшее из двух подходов.

альтернатива А

Сборка из 8 продуктов

Splunk + CrowdStrike + Palo Alto + Imperva + ...
Каждый — отдельный API, dashboard, биллинг
MITRE coverage руками в Excel-табличке
War-room в Slack без structured incident timeline
Compliance — отдельный консультант за деньги

h3llo · security

Единая платформа

SIEM, EDR, NGFW, IPS, WAF, DLP — одна консоль
MITRE ATT&CK покрытие автоматически из rule-feed
IRP с готовыми playbook'ами и AI incident commander
Compliance dashboard для ФЗ-152/ФСТЭК/PCI/ISO
1 модель данных, 1 биллинг, 1 SLA
MDR 24×7 опционально — наш SOC дежурит

альтернатива Б

Аутсорс MSSP

Чужие инженеры на дежурстве
Чёрный ящик: непонятно, что ловят и не ловят
MTTR медиана 1–4 часа в индустрии
Нет доступа к raw-логам и кастомизации rules
Vendor lock на годы

● модули платформы15 в одной консоли

SIEM, EDR, NGFW и ещё 12 — без переключения вкладок

Связанная модель данных: алерт из SIEM → инцидент с killchain → playbook → action item → compliance-control. Не 8 продуктов с интеграциями, а одна платформа с категориями.

Operations · live SOC

SOC обзор

Live-таймлайн событий, geo-map атак, KPI: EPS, alerts/24ч, MTTR, riskscore. Single pane of glass.

0224/7

MDR · live console

Чат с дежурным SOC-инженером + AI Atlas. Quick-actions: containment, isolation, blocklist push.

Инциденты

Killchain-таймлайн с MITRE-тэгами на каждом шаге. Связь алерт → инцидент → постмортем → action item.

SIEM

1,24M EPS · 90 дней hot-storage · ECS-format · ad-hoc query language. Saved hunts.

MITRE ATT&CK

14 тактик enterprise. Покрытие в %, hits за 30 дней, hot-techniques. Mapping из rule-engine автоматически.

IRP · Playbooks

Готовые playbook'и: ransomware, credential stuffing, BEC, supply-chain, web defacement. Запуск из инцидента в 1 клик.

Threat Intel

STIX 2.1 feed, MISP-совместимо. IOC matching на потоках. AI-агенты-охотники: beaconing, DGA, LOLBin.

Защита · по периметру и хостам

NGFW

Zone-based, app-id, TLS-decrypt опционально. Auto-rule generation из ML.

IPS / IDS

Suricata-style правила + наш ML-feed. Inline блокировка, MITRE-mapped signatures.

WAF

OWASP Top 10 coverage, anti-bot, custom rules для каждого сайта. Геоблокировка.

EDR

1 842 endpoint, process-tree analytics, behavior rules, isolation в 1 клик.

DLP

Классификация контента (PII, code, secrets), DLP policies на endpoint и в трафике.

Управление · risk + compliance

Vulnerability Mgmt

Continuous scan, CVE feed, exploit weather. Приоритизация по asset criticality + KEV.

Активы

Auto-discovery: облако, on-prem, endpoint. Inventory связан с инцидентами и compliance-controls.

Compliance

ФЗ-152 / ФСТЭК / PCI DSS / ISO 27001 / ГОСТ. Failed-controls — как инциденты, action items автоматом.

● MITRE ATT&CK14 тактик · live

Покрытие — не на бумаге, а в матрице

Каждый detection-rule mapped на технику. Тут — 5 тактик из 14 как preview, цифры — live coverage в %. Hot-техники подсвечены — там реальный поток за 30 дней.

tactic

technique 1

technique 2

technique 3

technique 4

technique 5

technique 6

technique 7

TA0001Initial Access

T119092%

T156696%

T107884%

T113378%

T119942%

T109156%

T120038%

TA0002Execution

T105990%

T120482%

T156970%

T161064%

T110648%

T112960%

T164840%

TA0006Cred Access

T111094%

T100378%

T155566%

T155272%

T155858%

T118752%

T160644%

TA0008Lateral

T102186%

T157076%

T153462%

T121074%

T108046%

T155058%

T156338%

TA0011C2

T107188%

T157382%

T109074%

T156876%

T121970%

T109562%

T157250%

coverage ≥ 80%базовое покрытиеhot — есть реальный потокПолная матрица 14×6 — в кабинете →

● use cases

Кому это нужно

01 / regulated

Регулируемые рынки

Банки, госсектор, телеком. Compliance dashboard'ы на ФЗ-152/ФСТЭК/PCI/ГОСТ из коробки. Air-gapped install опционально.

02 / cloud-native

Cloud-native команды

K8s/serverless workloads, OTel логи, CI/CD-инциденты. EDR-агенты для контейнеров и VM'ок, eBPF-телеметрия.

03 / mid-soc

Команды без SOC

Нет 24×7 на дежурстве? Тир Managed SOC: наш SOC дежурит, вы получаете ready-to-act инциденты в Slack.

04 / hybrid

Гибридная инфраструктура

On-prem серверы + облако h3llo + третьи провайдеры. Универсальный SIEM-collector + единая модель данных.

● 3 тира

Community · Enterprise · Managed SOC

Community — полная платформа до 100K EPS. Enterprise — без лимитов и air-gapped. Managed SOC — наш SOC дежурит 24×7, MTTD ≤ 5 мин.

Community

Self-hosted платформа без MDR. Полный SIEM/EDR/NGFW/IPS/WAF/DLP, MITRE покрытие, IRP. До 100 000 EPS.

0 ₽ · до 100K EPS · до 200 endpoint

SIEM до 100K EPS
EDR до 200 endpoint
NGFW · IPS · WAF · DLP
MITRE покрытие · базовые playbook'и
Compliance dashboard'ы
Community поддержка (Discord)

Скачать на GitHub →

популярный

Enterprise

Self-hosted без лимитов. Air-gapped, RBAC/ABAC, SSO, audit log с tamper-evidence, custom playbook builder, threat intel feeds.

от 240 000 ₽ / мес · 1M EPS · 1 000 endpoint

SIEM от 1M EPS · 90 дней hot
EDR от 1 000 endpoint
Air-gapped install
RBAC/ABAC · SSO + SCIM
Custom playbook builder
Premium TI feeds
24×7 саппорт продукта

Поговорить →

Managed SOC

Всё из Enterprise + наш SOC дежурит 24×7. MTTD ≤ 5 мин (медиана), MTTR ≤ 20 мин по типовым инцидентам.

от 480 000 ₽ / мес · 24×7 SOC

Всё из Enterprise
L1/L2/L3 SOC дежурит 24×7
Tier-1 ответ ≤ 60 секунд
MTTR ≤ 20 мин по типовым
Threat hunting каждую неделю
Quarterly risk review
Персональный SOC manager

Подключить SOC →

● материалыбесплатно

Гайды и кейсы по SOC и detection

Реальные практики SOC-команды h3llo и наших Managed-клиентов. Без воды и маркетинга.

Все материалы →

Гайд · 32 стр

MITRE ATT&CK coverage с нуля

Как мерять покрытие и не врать себе

Methodology, маппинг rule-engine на техники, hot-techniques, как находить дыры. С формулами и примерами.

PDF~30 мин→

Чек-лист · PDF

28 пунктов перед запуском SOC

Чек-лист готовности SOC к 24×7

Roster, эскалация, runbook'и, MTTD цели, on-call ротации. Что обязательно настроить до day-1.

12 стр~18 мин→

Кейс · банк

Splunk → h3llo за 8 недель

Кейс банк-клиента: миграция SIEM

1.2 ТБ/день логов, 14 источников, без перерыва SOC-операций. Что переписывали в детектах, во что инвестировали.

кейс~25 мин→

Гайд · 24 стр

Playbook против ransomware

Готовый playbook на каждый этап kill-chain

Containment, eradication, recovery. С реальными pre-conditions и успехами/провалами из 18 кейсов.

PDF~30 мин→

Бенчмарк · 2025

MTTR медианы по индустрии

MTTD/MTTR/MTTC: что нормально, что нет

Цифры из Verizon DBIR, M-Trends, наших Managed SOC клиентов. Где именно теряется время.

отчёт~20 мин→

Шаблоны · GitHub

Detection-as-Code репозиторий

200+ Sigma-правил с MITRE-маппингом

Open-source detection-rules под наш SIEM. Регулярные коммиты, поддержка community-contrib.

репо200+ rules→

● quickstart

Запустить SOC за день

Установка платформы, подключение источников, включение 500+ детекторов с MITRE-маппингом, настройка эскалации. От нуля до production-grade SOC.

Скачать Community →

Установить collector

helm install h3llo-sec h3llo/security · 1 команда. Поддерживает любой приёмник (syslog, OTLP, ECS).

Подключить источники

Cloud (CloudTrail/Audit), on-prem (Wazuh/agent), сеть (NetFlow), приложения. Auto-discovery делает 80%.

Включить детекторы

500+ rules из коробки с MITRE-mapping. h3 sec rules enable --all или выборочно по тактикам.

Настроить эскалацию

Slack/Telegram/PagerDuty + war-room runbook'и. AI commander создаёт incident timeline сам.

● faq

Что обычно спрашивают

Это XDR, SIEM или что вообще?

Это full-stack security platform: SIEM (1.24M EPS), EDR на хостах, NGFW/IPS/WAF в periметре, DLP, vulnerability management, MITRE ATT&CK покрытие, IRP с автоматическими playbook'ами, threat intel и compliance-репорты — в одной консоли с одной моделью данных.

А MDR (managed detection & response) — есть?

Да. На тире Managed SOC — наш SOC дежурит 24×7. MTTD ≤ 5 мин (медиана), MTTR по типовым инцидентам ≤ 20 мин. Реальные инженеры в war-room, не голосовое меню.

Что покрывается из MITRE ATT&CK?

Все 14 enterprise tactics. По 4–6 техник в каждой с реальной телеметрией: coverage в %, hits за 30 дней, hot-techniques подсвечиваются. Полная матрица — в кабинете, на странице — preview.

На каких фреймворках можно отчитываться?

Готовые контролы и dashboard'ы: ФЗ-152 / ФСТЭК, PCI DSS 4.0, ISO 27001/27017, ГОСТ Р 57580, SOC 2, GDPR-ready (для AM/RS-регионов). Failed-controls трекаются как обычные инциденты.

Можно интегрировать свой SIEM / EDR / TI feed?

Да. SIEM — accept Splunk HEC, ECS, OTLP-logs. EDR — мы ставим свой агент, но альт-интеграция с CrowdStrike/SentinelOne/Carbon Black работает (через коннекторы). TI — STIX 2.1 feed, MISP-совместимо.

А air-gapped / on-prem можно?

Можно. Enterprise-тир ставится в ваш периметр, обновления — через offline-bundle. SOC dashboard, MITRE данные, ML-модели — всё локально. Типовое развёртывание — за 1 день.