¶ 2.1. Основные подсистемы и модули
Серверная часть программного обеспечения, реализующая:
- API для взаимодействия веб-интерфейса и внешних систем;
- бизнес-логику управления активами, угрозами, событиями и отчетами;
- фоновые задачи мониторинга и сканирования (воркеры Celery);
- планирование задач (Celery beat);
- хранение и обработку данных в PostgreSQL;
- индексирование и поиск по данным в OpenSearch;
- интеграции с внешними источниками и сервисами.
Пользовательский веб-интерфейс, реализующий:
- аутентификацию и работу пользователей в соответствии с ролями;
- управление активами и объектами мониторинга;
- просмотр угроз, событий, карточек объектов и аналитики;
- поиск и фильтрацию;
- формирование отчетов и выгрузок;
- управление настройками и интеграциями (в пределах прав пользователя).
Опциональные и вспомогательные компоненты (в зависимости от конфигурации поставки):
- opentaxii — обмен индикаторами/наборами данных по стандарту TAXII;
- tg-bot-leak-check — уведомления/проверки через Telegram-бот (если используется);
- website-rating-map — вычисление/визуализация рейтингов/оценок веб-ресурсов (если используется);
- утилиты обслуживания и административные CLI-скрипты.
- создание и ведение реестра цифровых активов;
- группировка активов и настройка параметров мониторинга;
- хранение индикаторов (IOC) и связей между объектами;
- регистрация угроз, событий, инцидентов и их статусов;
- назначение атрибутов и классификаций объектам (категории, теги, приоритеты).
- выявление признаков фишинга на основе мониторинга доменов и сертификатов;
- обнаружение публикаций об утечках данных в открытых источниках и закрытых площадках;
- поиск упоминаний бренда и активов в соцсетях и мессенджерах;
- регулярное обновление перечня источников мониторинга.
- полнотекстовый поиск по событиям/объектам и результатам мониторинга;
- фильтрация и сортировка по атрибутам (времени, типу, критичности и др.);
- аналитика по состоянию активов и динамике угроз;
- формирование отчетов по выбранным критериям и периодам;
- экспорт результатов (формат определяется конфигурацией и интерфейсом).
- формирование рекомендаций по обработке обнаруженных угроз;
- подготовка карточек инцидентов с описанием и предлагаемыми действиями.
- поддержка различных типов активов (домены, IP, email, URL, ASN, названия, псевдонимы и др.);
- подключение и настройка источников данных мониторинга;
- настройка правил уведомлений по каналам email/SMS/push (в зависимости от поставки).
- анализ текстовых данных для выявления признаков угроз;
- генерация пояснений и рекомендаций по результатам анализа;
- возможность отключения внешних ИИ‑интеграций без потери базовой функциональности.
- обмен данными по стандарту TAXII (при включении компонента);
- отправка уведомлений по электронной почте (SMTP);
- использование S3-совместимого хранилища для размещения файлов/артефактов (без привязки к AWS);
- подключение внешних API (OSINT-источники и др.) при наличии учетных данных;
- опциональная интеграция с внешними LLM-провайдерами (OpenAI-совместимые, DeepSeek, Яндекс и др.) для вспомогательной аналитики текста (при включении).
Программное обеспечение «Киберразведка» предназначено для мониторинга и аналитики киберугроз и цифровых рисков, включая сбор данных из внешних источников, обработку, поиск, корреляцию и формирование отчетности.
ПО не выполняет функции средства защиты информации (СЗИ), не осуществляет криптографическую защиту информации и не предназначено для разработки или производства СЗИ. Использование ПО направлено на повышение осведомленности пользователя о рисках и поддержание процессов управления киберрисками и реагирования.