Tirreno

Обзор

Что это за сервис

Tirreno — открытая платформа Security Analytics, которая помогает командам безопасности собирать и нормализовать телеметрию, коррелировать события из разнотипных источников, обнаруживать угрозы в реальном времени, проводить расследования и поддерживать процессы SOC. За счёт open source-архитектуры Tirreno снижает зависимость от вендора, упрощает интеграции и позволяет масштабировать решение в соответствии с нагрузкой и требованиями к хранению данных.

Зачем и для чего это нужно (Use cases)

• Современный data lake безопасности и аналитика поверх логов, сетевой и конечной телеметрии.
• Обнаружение и реагирование на угрозы: от компрометации учётных записей и lateral movement до утечки данных и ransomware.
• Threat hunting и форензика: интерактивные запросы по большим объёмам данных, создание гипотез и проверка сценариев.
• Непрерывный мониторинг облака и контейнерных сред (IaaS, PaaS, Kubernetes) на предмет мисконфигураций и подозрительной активности.
• Соответствие требованиям: аудит действий, контроль политик и подготовка отчётности для стандартов вроде ISO 27001, SOC 2, PCI DSS.
• Интеграция с существующим SIEM/SOAR-ландшафтом или постепенная модернизация SOC.

Ключевые функции и особенности

Открытая архитектура и масштабирование

• Open source-модель, прозрачная логика детектов и отсутствие жёсткой привязки к поставщику.
• Горизонтальное масштабирование, разделение горячего/тёплого/холодного хранения и гибкие политики ретеншна.
• Резервирование и отказоустойчивость для критичных процессов.

Сбор и нормализация телеметрии

• Интеграция с типовыми источниками: системные и приложенческие логи, сетевые сенсоры, EDR/NDR/IDS, аудит облаков и IAM.
• Поддержка открытых форматов и стандартов телеметрии, нормализация и обогащение событий контекстом (списки репутаций, гео, инвентарь активов).

Корреляция, правила и MITRE ATT&CK

• Конструктор правил и корреляций, поддержка сигнатурного и поведенческого подхода.
• Маппинг техник и тактик на MITRE ATT&CK, единая терминология для аналитиков.
• Риск-скоринг, подавление шумов, дедупликация и приоритезация алертов.

Threat Hunting и аналитика

• Гибкий язык запросов по большим объёмам событий для построения гипотез и быстрых проверок.
• Визуализация временных рядов, графовых связей и таймлайнов инцидентов.
• Шаблоны охоты и переиспользуемые плейбуки для повторяемости процессов.

Инциденты, оповещения и оркестрация

• Реалтайм-алертинг, маршрутизация по каналам и SLO для обработки.
• Кейсы, таймлайны, назначение исполнителей и совместная работа аналитиков.
• Интеграции с ITSM/тикетингом и SOAR-инструментами через API и вебхуки.

Развертывание и поддержка миссион-критичных сред

• Гибкие модели: on‑prem, частное облако, гибридные сценарии и изолированные (air‑gapped) контуры.
• Доступны кастомные решения для организаций с повышенными требованиями к надёжности и соответствию.
• Можно обсудить с экспертами варианты развертывания и архитектуры под вашу инфраструктуру и регуляторику.

Кому может быть полезно

• Командам SOC средних и крупных предприятий, которым нужен контролируемый TCO и масштабируемость.
• Организациям с критичной инфраструктурой, в том числе в финансовом секторе, телекомах, промышленности и госсекторе.
• MSSP/MDR‑провайдерам, строящим сервисы поверх открытой и расширяемой аналитической платформы.
• Инженерам и аналитикам безопасности, практикующим threat hunting и нуждающимся в прозрачных детектах и мощном поиске.

Почему стоит рассмотреть Tirreno

• Открытость и расширяемость: легче проверять, адаптировать и развивать детекты под конкретные риски.
• Масштаб и производительность: платформа проектируется для работы с большим объёмом событий и разнородной телеметрией.
• Гибкость интеграций: подключение существующих источников, пайплайнов данных и инструментов реагирования.
• Операционная эффективность: снижение шума, автоматизация рутины и фокус на действительно важных инцидентах.