16 Funktionen

Was ein einzelnes SIEM tun solltealles.

Korrelations-Engine, KI-Analyse, Jagdassistent, Untersuchungsmodus, E-Post-Sicherheit, Forensische Pakete, Webhooks, 5651-Konformität – die komplette SIEM-Suite für Unternehmen. Einfache Installation, umfassende Analyse, revisionssichere Berichte.

01 · Vorfallmanagement

5 Ereignisse statt 100 Alarme.

Rohalarme sind ein Albtraum. Derselbe Angreifer wird an einem Tag in 20 verschiedenen Mustern gefangen. Unser Vorfall Builder gruppiert auf intelligente Weise zusammengehörige Alarmezu bedeutungsvollen Ereignissenverwandelt.

  • 5 Clustering-Regeln: Gleiches /24-Subnetz, gleicher Zielport, gleiche src_ip, einzelne kritische Warnung, laufendes Ereignis
  • Zugriffsstatus: blockiert / teilweise / kompromittiert – Risiko auf einen Blick
  • Läuft alle 3 Minuten: Es fügt dem laufenden Vorfall neue Alarme hinzu und schaltet diejenigen automatisch aus, die 30 Minuten lang inaktiv bleiben.
  • KI-Zusammenfassung: „Was ist passiert? Wie ist es passiert? Was soll ich tun?“ — Türkischer Bericht in 3 Sätzen
Aktive Vorfälle son 1 saat · 5 olay
Koordinierter Angriff auf Port 6855 – 25 IPs
🔴kritisch 🛡 blockiert 34min 184.000 Versuche
Port Scan — 198.51.100.22
🟠hoch 🛡 blockiert 17 Häfen 🇳🇱
Permanenter Scan – 203.0.113.45
🟡mittel 🛡 blockiert 61 Leugner 🇧🇬
02 · Korelasyon Motoru

Über 20 Angriffsmuster, fertig.

Es ist sinnlos, jedes Protokoll einzeln anzusehen. Korrelations-Engine im Firewall-, E-Post- und Windows-Verkehr erkennt Verhaltensmuster – Port-Scanning, SMTP-Brute, Passwort-Spray, Zugriff außerhalb der Geschäftszeiten und mehr.

  • Scannen alle 5 Minuten: 60-Minuten-Fenster, 3000 Protokollverarbeitungskapazität
  • Mehrstufiges Compositing: 4 Muster von derselben IP → einzelner Kampagnenalarm (KI-verifiziert)
  • Panelden FP: Falsch positiv kennzeichnen → KI-Feedback; Intelligente Filter für E-Post-Rauschen
  • Benutzerdefinierte Regel + Profil: Schwellenwertmultiplikatoren mit Mieterprofil (Hotspot etc.); SQL-Korrelationsregeln
  • Cooldown: Dasselbe Ereignis wurde 30 Minuten lang nicht erneut ausgelöst – kein Alarm-Spam
Aktive Muster 20+ bereit
port_scan
persistent_scan
multi_stage_attack
brute_force_chain
credential_stuffing
password_spray
auth_failed_burst
smtp_auth_brute
protocol_sweep
inbound_spam_flood
outbound_spam_abuse
rdp_chain
lateral_movement
after_hours_access
Traffic_anomalie
unmöglich_reisen
03 · MITRE ATT&CK Mapping

Jedes Ereignis ist eine Todeskette.

MITRE ATT&CK ist das weltweite Standard-Framework zur Klassifizierung von Cyber-Angriffen. Welche Taktik und Technik jedem Vorfall entspricht – automatisch wird markiert und in Ihren Bericht aufgenommen.

  • 12 Muster → MITRE-Mapping fertig montiert
  • Mit 21 technischen Samen, Fügen Sie ganz einfach neue Techniken hinzu
  • Wird automatisch in Berichte aufgenommen – kann in Audits verwendet werden
Angriff auf Port 6855 MITRE-Mapping
Taktik:
TA0001Erster Zugriff TA0007Entdeckung
Techniken:
T1190Nutzen Sie die öffentlich zugängliche App T1595Aktives Scannen T1046Erkennung von Netzwerkdiensten
Zeitleiste:
12:01:03
persistent_scan Erkennung – 203.0.113.45
12:01:47
multi_source ausgelöst – 3 Subnetze
12:03:12
Vorfall eröffnet — INC-0075
12:35:00
Auto-resolved — 30dk durgun
04 · Geräteunterstützung

Ihre Firewall wird bereits unterstützt.

Unterstützt sofort einsatzbereit die gängigsten Firewalls im Unternehmens- und KMU-Markt. Sie können jedes Gerät abhören, auf dem Syslog-Senden aktiviert ist – benutzerdefinierte Parser mit 99,9 % Parse-Erfolg.

  • Automatisches Parser-Routing: erkennt den Gerätetyp und leitet ihn an den richtigen Parser weiter
  • 99,9 % Paketerfolg in Produktionsumgebungen
  • Adaptiver Parser: unbekanntes Format → learned → Genehmigung durch das Gremium → Werbung (z. B. pfSense slug)
  • Post und Windows: Plesk, MailEnable, hMailServer, Windows AD/RDP-Ereignisparser
Unterstützte Geräte out-of-the-box
FortiGate 99.9%
MikroTik 99.9%
WatchGuard 100%
Sophos bereit
MailEnable bereit
hMail/Plesk bereit
pfSense / OPNsense gelernt→Förderung
# MikroTik-Schnellinstallation:
/system-Protokollierungsaktion hinzufügen
  name=oxisec target=remote
  remote=oxisec.com remote-port=5514
05 · Sicherheit – 2FA

Zweistufige Verifizierung integriert.

Ein Passwort allein reicht nicht mehr aus. Google Authenticator, Microsoft Authenticator, Authy oder 1Password – alles funktioniert. RFC 6238-Standard.

  • Kompatibel mit allen Authentifikatoren (TOTP standart)
  • 10 kurtarma kodu: Melden Sie sich mit Backup-Codes an, falls Ihr Telefon verloren geht
  • Brute-Force-Schutz: 5 Fehler in 15 Minuten → Konto gesperrt
  • Audit-Protokoll: Jeder Login-Versuch wird protokolliert (IP, User-Agent, Uhrzeit)
2FA-Setup ~2 Minuten
Benutzer:
Administrator@acme-corp.example
Geheimnis (manuelle Eingabe):
JBSW Y3DP EHPK 3PXP
2FA aktiviert — Jeder Eintrag ist geschützt
06 · Multi-Tenant-SaaS

Bereit für MSSP und Agenturen.

Ein Panel, mehrere Kunden. Jeder Kunde sieht seine eigenen Daten, Sie verwalten jeden einzelnen. Ideal für Sicherheitsdienstleister.

  • Mieterisolation: Auf DB-Ebene geraten die Daten nie durcheinander
  • Role-based access: Superadmin / MieterAdministrator / Analyst / Betrachter
  • Planverwaltung: Unterschiedliche Limits pro Mandant (Log/Monat, Aufbewahrung etc.)
  • Mieterwechsel: Sofortiger Wechsel vom Header in derselben Sitzung
Kunden 8 aktive Mieter
Solarkraftwerk Anadolu Energy 12.680 log/s
Anadolu Energie RES 20.232 log/s
Bosporus Hotel 1.368 log/s
Lale Resort 271 log/s
Egemen Tur 240 log/s
07 · Compliance

KVKK- und ISO 27001-freundlich.

Wenn die Prüfer etwas wollen – wir sind schon bereit. Protokollaufbewahrungsfristen, Hash-Signaturen, Benutzeraktionsprotokolle, Zugriffskontrollen – alles ist Standard.

  • 5651 uyumlu log saklama: Bis zu 2 Jahre, Hash-signiert, revisionssicher
  • Audit-Protokoll: Jede Benutzeraktion wird aufgezeichnet (IP, Zeit, Detail)
  • Monatlicher automatischer Bericht: MTTR, Anzahl der Ereignisse, Compliance-Checkliste
  • Datenschutz: Daten bleiben vor Ort, sogar KI ist lokal (Ollama)
Kompatibilitäts-Frameworks Checkliste
KVKK
Türkei
ISO 27001
International
5651
Log Saklama
GDPR
AB
✓ ISO 27001 A.12.4 Ereignisprotokollierung
„Für Systeme, Benutzeraktivitäten und Sicherheitsereignisse Protokollaufzeichnungen müssen aufbewahrt werden“ —Bereit.
09 · NEU – Jagd-KI-Assistent

Fragen Sie auf Türkisch, die KI wird antworten.

Der schwierigste Teil von SIEM: den richtigen Filter schreiben. Unser KI-Assistent,Sie fragen in natürlicher SpracheFragesatz Konvertiert es in einen SIEM-Filter. Sprachgedächtnis – erinnert sich an die vorherige Frage.

  • Sprachgedächtnis: „SSH-Versuche aus Russland“ → „Die aggressivsten davon?“ – erinnert sich an den Kontext
  • Beweisprotokolle: Es heißt nicht „Ich habe diesen Filter angewendet“ – das Beispiel zeigt 3 Protokolle und erklärt, worauf es hinweist
  • Schnelle Aktion: Nebeneinander angeordnete Schaltflächen „🔬 Suchen“ / „🚫 Blacklist“ / „✅ Zulassungsliste“ für die IP-Antwort
  • Isolierte KI-Engine: Hunt A.I. läuft auf einer separaten Ollama-Instanz – der Assistent ist auch dann schnell, wenn die Pipeline ausgelastet ist
💬 Jagd-KI-Chat son 3 mesaj
Siz
Gibt es fehlgeschlagene SSH-Versuche aus Russland?
🤖 KI
Ja, 247 Versuche gefunden. Filter: src_country=RU + dst_port=22 + Aktion=deny
🔬 Suche nach der aktivsten IP 🚫 Setzen Sie sie alle auf die schwarze Liste
Siz
Setzen Sie den Aktivsten auf die schwarze Liste(erinnert sich an den vorherigen Kontext)
10 · NEU – Untersuchungsmodus

7-stufige automatische Recherche.

Das Prüfen einer IP dauert im normalen SIEM mehr als 10 Minuten. Unser Untersuchungsmodus ist nur einen Klick entfernt7 parallele Abfragenführt aus + KI erzeugt Urteil: Zulassungsliste? Hat Intel eine Bedrohung? Welche Mieter wurden angegriffen? geografischer Standort?

  • 7 parallele Schritte: Zulassungsliste, Alarmverlauf, Verkehrsstatus, betroffene Mieter, Verhaltensmuster, BedrohungsInformationen, geografisch
  • KI-Urteil: gutartig | verdächtig | bösartig | unbekannt – Vertrauenswert + konkrete Empfehlungen
  • Für IP und Benutzer: „Was macht diese IP?“ oder „Ist dieser Benutzer verdächtig?“
🔬 IP-Recherche 203.0.113.45 · 3.2s
Kontrolle der Zulassungsliste: nicht auf der Liste
🚨
Verlaufsalarm (7g): 12 Alarme (maximal: kritisch)
⚠️
Verkehr (24h): 247 blockiert, 0 akzeptiert
📡
Betroffener Mieter: Anadolu Energie, Bosporus
🔴
Bedrohung Intel: MissbrauchIPDB 87/100
🌍
Geographisch: Niederlande, DigitalOcean
Urteil: BÖSLICH (95 % Sicherheit)
→ Lassen Sie sich sofort auf die schwarze Liste setzen und die entsprechende Firewall-Regel wird ausgelöst
11 · NEU – E-Post-Sicherheitsanalysen

Wer sendet an wen – Sofortansicht.

Entscheidend für Hosting und Windows-Mailserver: Plesk/Postfix,hMailServerund den MailEnable-Verkehr visuell überwachen. Banner-Sweep, SMTP-Brute-Force, Anzeichen einer Kontokompromittierung – alles wird automatisch erkannt.Ausgehender SpamSeien Sie sich dessen bewusst, bevor Sie beginnen.

  • Absender → Domainfluss: Welche Adresse sendet E-Mails an welche Domain – gewichteter visueller Balken
  • Multi-IP-Warnung: Kompromittierungsindikator, wenn derselbe Benutzer von mehr als 3 verschiedenen IPs sendet 🚨
  • Banner-Sweep-Erkennung: Erfasst SMTP-Erkennungsangriffe von Botnets in Echtzeit
  • Live-Feed: Die letzten 30 E-Post-Bewegungen pulsieren animierter Fluss mit LIVE-Badge
  • hMail AWStats: Zusammenfassendes Verkehrsprotokoll (Absender/Empfänger/SMTP-Code) – für Umgebungen mit hohem E-Post-Volumen
📧 E-Post-Verkehr ● LIVE
Absender Domain Post
Info@firma.example@gmail.com
247
sales@firma.example@outlook.com
142
Administrator@firma.example 🚨@unknown-domain.xyz1.2K
🚨 Administrator@Senden des Kontos von 3 verschiedenen IPs – Verdacht auf Kompromittierung
12 · NEU – Forensische Pakete

Archiv als Gerichtsbeweis.

Wenn ein Vorfall abgeschlossen ist, gehört er zu diesem Ereignis.alle Protokolle, Alarme, Zeitleistein einer einzigen signierten Datei archiviert. HMAC-SHA256-Signatur – wenn sie geändert wird, ist sie sofort erkennbar. Sie werden als Beweismittel vorgelegt, wenn das Gericht dies verlangt.

  • HMAC-SHA256-Signatur: Datenintegrität garantiert – keine Änderungsmöglichkeit
  • Automatisches Bundle: Wird automatisch generiert, wenn jeder Vorfall abgeschlossen wird – keine manuelle Arbeit
  • 5651 + KVKK uyumlu: Gesetzliche Aufbewahrungsfrist (2 Jahre) unterstützt
  • Enthaltene E-Post-Protokolle: Für Plesk-Kunden werden auch E-Post-Kommunikationsprotokolle signiert und archiviert.
📦 Bundle #4892 2,4 MB · Signiert
Olay: Verteilter SSH-Angriff
Dauer: 14:23 → 15:47 (1s 24dk)
Angreifer: 12 verschiedene IPs, 1547 Versuche
Hedef: Anadolu Energie-Firewall
Inhalt:
✓ 1547 Protokolldatensätze (CSV)
✓ 23 Alarme + KI-Zusammenfassungen (JSON)
✓ Zeitleistengrafik (PNG)
✓ MITRE TTP-Karte
🔒 HMAC-SHA256
a8f3c9d2...e7b4f1a9
✓ Verifiziert – Integrität gewahrt
13 · NEU – Auto-Modus-KI

Selbstoptimierendes SIEM.

Wenn der Auto-Modus aktiviert ist, ändert sich das System je nach Gerätetyp.56 bereit Regelpaketautomatisch installiert. KI erkennt, ob beim Auslösen des Alarms ein falsch positives Ergebnis vorliegt. entscheidet – filtert unnötige Benachrichtigungen heraus.

  • Gerätetyp automatisch: Plesk → 25 Regeln, FortiGate/Sophos → 30, MikroTik → 23, Keenetic → 13
  • Dynamischer Schwellenwert: KI lernt „normalen“ Datenverkehr für jeden Mieter und aktualisiert Schwellenwerte
  • FP-Filter: Alarm unterdrückt, wenn die KI eine Wahrscheinlichkeit von 60+ % falsch positiv einschätzt – keine unnötigen Meldungen
  • Ein-Klick ein/aus: Separates Umschalten für jedes Gerät auf der Geräteseite
⚡ Auto-Mode Durumu 3 Geräte · 12 Mieter
Anadolu Energie Firewall 🤖 Auto ✓ · 25 kural
Lale Resort Plesk 🤖 Auto ✓ · 25 kural
Bosphorus MikroTik 🤖 Auto ✓ · 23 kural
📊 Son 24 saat:
1.247 Alarmeproduziert
389 Alarme (31 %)Von K.I. als FP gefiltert
→ Es werden Ihnen nur sinnvolle angezeigt
14 · NEU – Webhook und Automatisierung

Slack, Teams, n8n, Ihr eigenes SOAR.

Wenn ein kritischer Alarm ausgelöst wird – sendet HTTP POST an jedes gewünschte System. Gehen Sie zum Slack/Teams-Kanal, öffnen Sie ein Jira-Ticket, senden Sie die Bestellung an die Firewall-API, das Backup auslösen.HMAC-signiert, einschließlich Wiederholungslogik.

  • 7 Veranstaltungstypen: Alert.created, Alert.kritisch, Vorfall.created/resolved, Auto_mode.blocked_ip, Correlation.detected
  • HMAC-SHA256-Signatur: Der Kunde erkennt betrügerische Anfragen – die Integrität der Nutzlast ist garantiert
  • Automatischer Wiederholungsversuch: 1 s → 5 s → 30 s exponentielles Backoff – kein Verlust bei vorübergehendem Netzwerkausfall
  • Testversand + Lieferprotokoll: „Ist er gekommen oder nicht?“ Keine Fragen – alle Aufsätze werden geprüft
🪝 Webhook Payload unterzeichnet 
POST https://hooks.slack.com/...
X-OxiSec-Signatur: sha256=a8f3...
Content-Type: application/json

{
  "event": „alarm.kritisch“,
  „Zeitstempel“: "2026-05-09T08:30:00Z",
  „Mieter_ID“: 11,
  "data": {
    "Titel": "SSH Brute Force",
    "Schwere": "kritisch",
    „source_ip“: "203.0.113.45",
    "tenant_name": „Anadolu Energie“
  }
}
15 · v6 Platform

Live-Dashboard und SOC-Stream.

Live-Alarmbanner mit SSE, MITRE-Heatmap, Weltkarte und anpassbaren Widgets im Hauptfenster. Regeldichtestatistik und Abschluss mit FP auf der Korrelationsseite.

  • SOC-Posteingang — Regel + Korrelationsalarme; Schließen/FP-Tasten
  • Live-Alarm-Stream — Echtzeit-Update für Dashboard und SOC
  • MITRE-Heatmap — taktische/technische Dichte auf einen Blick
  • Regelassistent + Backtest – voreingestelltes, Probelauf- und Korrelations-Backtesting
  • Öffentliche KI-Berichte · Live-Angriffskarte
Dashboard v6● LIVE
🔴 3 neue Kritischen· letzte 60 Sek
🗺 Weltkarte · Quellland
📊 MITRE-Heatmap TA0043 intensiv
16 · NEU — Fall- & Entitätsanalyse

Vom Vorfall zum Fall, von der IP zur vollständigen Timeline.

Im SOC ist die Arbeit nicht beendet, nur weil der Vorfall abgeschlossen ist.FälleDas Modul verwaltet SLA, Zuweisung und Audit-Trail.Asset-ZeitleisteKombiniert Protokoll, Alarm und Korrelation für eine einzelne IP oder einen einzelnen Benutzer.

  • Falllebenszyklus — offen → untersuchend → gelöst → geschlossen; Warnung wegen SLA-Verletzung
  • Forensisches Paket verbindet sich automatisch mit dem geschlossenen Koffer
  • Zeitleiste der Entität – Letzte 7 Tage für 203.0.113.45: Protokoll + Warnung + MITRE auf einem Bildschirm
CASE-2026-0042SLA 4s
👤 Zugeteilt von: Ayşe K. · Priorität: Hoch
🔗 3 Vorfälle · 12 Alarme verbunden
📎 Forensisches Paket bereit · signiert
17 · NEU — Sigma, API & Runbook

Gemeinschaft-Regeln Importieren, Automatisierung nach außen anbinden.

Sigma YAML wird in Sekundenschnelle in eine OxiSec-Regel umgewandelt. Lesen Sie Alarme und führen Sie Hunt-Abfragen mit der REST-API aus. Der Runbook-Katalog bietet vorgefertigte SOAR-Vorlagen – schrittweise Interventionsabläufe, die sich vom Webhook unterscheiden.

  • Sigma Import — YAML laden, simulieren, speichern (Starter+)
  • REST-APIalerts:read, hunt:query Bereichsschalter (Geschäft+)
  • Runbook-Katalog – MikroTik-Hindernis-, Benachrichtigungs- und Eskalationsvorlagen
Sigma → OxiSecImport
Titel: SSH Brute ForceProtokollquelle:Produkt: LinuxErkennung:
  Zustand:Auswahl→ OxiSec-Verbindungsregel ✓
18 · NEU — SNMP & Multi-Standort

Netzwerkgesundheit und standortbasierte Sichtbarkeit

Nicht nur Protokolle – CPU, Speicher, Portstatus von Switches und Routern. Für MSSP und MehrzweigstrukturenMieterstandorteund Frankfurt, Virginia und Istanbul werden separat gruppiert; Die Angriffskarte spiegelt automatisch geschützte Gebiete wider.

  • SNMP-Abfrage – CPU, Betriebszeit, Schnittstelle aktiv/inaktiv
  • Gerät_offline Muster – automatischer Alarm, wenn die Protokollierung unterbrochen wird
  • Mieterfilialen — Gerätestandort + Filialcode; MSSP-Kundentrennung
Zweige3 Standorte
🇹🇷 TR-Center · 8 Geräte
🇩🇪 DE-FRA · 3 Geräte
🇺🇸 US-VIR · 2 Geräte · SNMP OK
19 · Adaptiver Parser

Lernen Sie unbekannte Protokollformate kennen und werden Sie befördert.

Es gibt keinen separaten Syslog-Port. Nicht erkannte ProtokollegelerntEs sammelt sich phasenweise an; Nach der Genehmigung durch das Gremium werden die Regeln wirksam. Sobald es stabil ist, wird es zum offiziellen Gerätetyp heraufgestuft (z. B. pfsense).

  • Faz A: KI-Lernen + Panel-metrics + Genehmigung
  • Faz B: Slug-Upgrade + Geräteregistrierung – Parser lädt Engine in ca. 2 Minuten
  • Auch wenn das Lernen ausfällt Genehmigte/Beförderungsregeln funktionieren (Bootstrap)
learned → pfsenseFörderung

1. Generische Analyse
2. KI-Schwanz (5+ Log)
3. Kural learned
4. Genehmigung des Gremiums + Werbung
5. Erscheint in der Gerätetypliste

All diese Funktionen – starten Sie kostenlos.

Keine Kreditkarte erforderlich. Einrichtung in 15 Minuten, erster Bericht noch am selben Tag.

Eröffnen Sie ein kostenloses Konto Siehe Pläne