🛰 Novi modul — travanj 2026

NDR za poslužitelje

Agent-based Network Detection & Response s procesnim kontekstom

Aegis NDR za poslužitelje nadzire odlazni mrežni promet s točno onog mjesta gdje on nastaje — iz samog poslužitelja. Bez SPAN-porta, TAP uređaja ili pasivnog sensora. Otkriva komunikaciju s C2 infrastrukturom, malware hostovima i anonimnim VPS-ovima na temelju ne samo IP-a nego i procesa, korisnika i komande koja je pokrenula konekciju.

28 000+

Maliciozna IP u TI bazi

Javnih threat intel feedova

1 500+

Spamhaus DROP netblocks

<60s

Od konekcije do alarma

💡 Što je NDR — i kako se razlikuje od EDR i SIEM?

NDR (Network Detection and Response) je kategorija sigurnosnih alata koja se fokusira na mrežno ponašanje — tko s kim komunicira, po kojim portovima, koji proces je inicirao konekciju.

Klasični NDR obično znači pasivnog sensora na SPAN portu ili TAP-u — sluhom snima svaki paket, bez utjecaja na poslužitelje. Aegis NDR je drukčiji pristup: lagani agent u samom poslužitelju izvještava o odlaznim konekcijama. Gubite mogućnost inspekcije enkriptiranih paketa (jer ne gledate payload), ali dobivate nešto što paketni sensor ne može — koji konkretan proces i korisnik je pokrenuo svaku konekciju. Zato ovo zovemo agent-based NDR s EDR kontekstom.

Aegis NDR je hibrid EDR+NDR: lagani agent na svakom poslužitelju bilježi odlazne konekcije zajedno s procesom, korisnikom i komandom koja ih je pokrenula, a kolektor u realnom vremenu provjerava svaku konekciju prema threat intelligence bazi. Tako dobivate mrežnu vidljivost NDR-a + procesni kontekst EDR-a u jednom modulu.

SIEM: što se dogodilo u logovima

NDR: tko s kim komunicira sada

EDR: što rade procesi na endpointu

Aegis: sve troje u jednoj platformi

⚙ Kako Aegis NDR radi

Agent na svakom poslužitelju kontinuirano prati odlazne mrežne konekcije — destinaciju, port, proces koji je pokrenuo vezu, korisnika i komandnu liniju. Radi bez dodatnog hardvera, bez span-porta, bez TAP uređaja.
Optimizirani prijenos — agent šalje samo promjene u odnosu na prethodni snimak. Mali mrežni otisak, maksimum konteksta.
Provjera prema threat intelligence — svaka nova konekcija se odmah uspoređuje s bazom od 28 000+ malicioznih IP adresa i 1 500+ mrežnih raspona (Spamhaus DROP/EDROP). Rezultat u realnom vremenu.
Alarm + blokiranje — pogodak threat intel-a generira alarm visoke važnosti (MITRE ATT&CK T1071). Administrator iz alarm panela može pokrenuti blokadu; komanda ide preko kolektora do agenta. Zaštitni mehanizam sprječava slučajno blokiranje vlastitih servisa. Akciju preporučamo verificirati na određenom poslužitelju prije računanja na punu blokadu.
Baseline learning — 7 dana nakon instalacije agent uči što je normalno za taj nod. Nakon 7 dana, svaki novi odredišni IP/port/proces trigera Aegis New Destination alarm — tako hvatate i dostupno-neopisanu malware koja još nije u javnim feedovima.
Live World Map — Leaflet mapa s dark basemapom, zelene točke = nodovi, plave = destinacije, crvene = TI hitovi. Lukovi povezuju izvor i cilj u real-timeu.

Ključne mogućnosti Aegis NDR-a

🔬

Outbound Flow Monitor

Svaka konekcija obilježena je poslužiteljem, procesom koji ju je otvorio, korisničkim računom i komandnom linijom. Konzolidacija po jedinstvenoj kombinaciji odredišta i procesa.

🎯

6 TI Feedova + Spamhaus

URLhaus, ThreatFox, FeodoTracker (abuse.ch), CINS Army, Binary Defense, Greensnow. Plus Spamhaus DROP/EDROP netblocks. Hourly refresh.

🌐

Vizualni pregled

Karta svijeta i tablica flow-ova u istom prozoru. Pomaze brzo razumijevanje — koji poslužitelj, koja destinacija, koliko puta. Dodatni sloj, ne zamjena za procesne detalje.

🚫

Blokada jednim klikom

Administrator pokreće blokadu komunikacije s alarm panela. Komanda se izvršava na poslužitelju preko kolektora, uz zaštitni sloj koji sprječava slučajno blokiranje vlastite infrastrukture. Preporuča se verifikacija nakon svake block akcije na pojedinim poslužiteljima.

📈

Baseline Learning (7 dana)

Platforma prvih 7 dana uči što je normalan promet na vašim poslužiteljima. Nakon toga, svaka nova destinacija se signalizira — tako hvatate nepoznatu zlonamjernu infrastrukturu koja još nije u javnim feedovima.

🏢

Per-Tenant / Per-Node gating

Globalni prekidač, uključivanje po tenantu i po pojedinom poslužitelju. Idealno za MSSP partnere koji naplaćuju modul kao dodatnu uslugu.

👤

Process Context Drill-Down

Klik na konekciju otvara detaljan prikaz — koji je korisnik pokrenuo proces, kada je konekcija započela, koliko je jedinstvenih instanci procesa vidjeno i koja je komandna linija pokrenuta.

📋

Custom IOC upload

Vlastite liste indikatora kompromisa po tenantu (IP + port + opis). Jednostavan CSV uvoz. Vaši alarmi se jasno razlikuju od javnih threat intel pogodaka.

🔗

SIEM integration

NDR alarmi dolaze u isti tok kao svi ostali sigurnosni događaji — jedan slučaj, jedan dashboard, jedan timeline. Integracija s incident case sustavom, email/webhook obavijestima, MITRE mapiranjem.

🔍 Što NDR otkriva prije SIEM-a

Cobalt Strike / Metasploit C2

Beacon calls na poznate C2 domene hvataju se iz ThreatFox / FeodoTracker feedova prije prvog malware payloada.

Crypto-mining payload

Mining poolovi na sumnjivim portovima (3333, 4444, 5555) iz CINS/Greensnow fedova — alarm u roku minuta.

Data exfiltration

Nakon što platforma nauči vaš normalan promet, svaka nova destinacija (posebno anonimni VPS hosting) odmah se signalizira — prije nego što napadač započne iznosi podatke.

Rootkit / kernel driver

Konekcija iz operativnog sustava prema javnom internetu bez jasnog legitimnog razloga — karakterističan potpis naprednih kompromisa koje EDR sam ne vidi.

Compromised supply chain

Legitimna aplikacija iznenada počne kontaktirati novu destinaciju nakon nadogradnje — NDR to signalizira, čak i kad antivirus šuti.

Insider tool install

Korisnik instalira alat za udaljeni pristup (AnyDesk, TeamViewer ili sl.) — NDR ga vidi u trenutku prvog poziva prema vendoru, neovisno o tome je li proces u antivirus listi.

Zaštite svoj mrežni promet — bez novog hardvera

Aegis NDR radi preko postojećeg Aegis agenta — bez span-porta, bez TAP uredjaja, bez dodatne licence. Samo upalite modul i za 7 dana imate kompletan baseline vašeg normalnog outbound prometa.

Vidi cijene → Zatraži demo