Nachweise aus Telemetrie
Jeder Befund ist in einer Telemetrie-Quelle und Technik-Zuordnung verankert. Responder und Auditoren können jede Aussage bis zu ihrer Herkunft zurückverfolgen - nicht bis zur Erinnerung eines Modells.
Kontrollierter Lauf - Wiedergabe
Live - ohne Anmeldung
Alarme unter Ihren Kontrollen triagieren.
Sehen Sie, wie ein Responder die Eindämmung freigibt.
Ein kontrollierter SOC-Triage-Lauf, vollständig wiedergegeben: quellenbelegte Nachweise aus Telemetrie, deterministische Erkennungsprüfungen und dann ein menschliches Freigabe-Gate, an dem ein Responder die Eindämmung freigibt - die Eindämmungsaktion bleibt bis zur Freigabe in der Vorschau.
Schreibgeschützte Wiedergabe eines illustrativen Laufs - keine Eingaben, keine Produktionszugänge.
- Telemetrie-belegte Nachweise mit Zitaten
- Ein menschliches Freigabe-Gate, dem die Eindämmung gehört
- Ein manipulationssicheres Nachweispaket
- Selbst gehostet, in der EU gehostet - unter Ihren Kontrollen
Autonomes SOC-Triage
run_9f12ccsoc-triage/v3
Lauf empfangenstatus
Telemetrie-Nachweise extrahiertnode
Erkennungsregeln getroffennode
Lateral-Movement-Richtlinien-Auslösernode
Bedrohungsscore 74/100 - hochnode
Menschliches Freigabe-Gateapproval
Ein echter kontrollierter Lauf, unten vollständig wiedergegeben - endet mit einer menschlichen Eindämmungsfreigabe und einem prüfbaren Nachweispaket.
Bereit - bitte abspielen
Lauf empfangen
Telemetrie-Aufnahme & Nachweisextraktion
Deterministische Erkennungsprüfungen
Richtlinien-Auslöser-Prüfungen
Bedrohungsbewertung
Menschliches Freigabe-Gate
Nachweispaket erfasst
Prüfung abgeschlossen
Sehen Sie einen kontrollierten Lauf, von Anfang bis Ende
Acht Ereignisse, genau so, wie die Plattform sie aufgezeichnet hat - von der Aufnahme bis zu einem menschlichen Freigabe-Gate, dem die Eindämmung gehört. Nichts wird über das hinaus simuliert, was Sie hier sehen.
status - seq 1
Lauf empfangen
Ein Endpunkt-Alarm mit hohem Schweregrad wurde zur kontrollierten Triage eingereicht. Der Lauf wird gegen den Flow soc-triage/v3 registriert und beginnt unter den Kontrollen des Workspace - jeder Schritt ab hier wird erfasst.
GegenstandEndpunkt-Alarm mit hohem Schweregrad
Flowsoc-triage/v3
Lauf-IDrun_9f12cc
RegionEU
node - seq 2
Telemetrie-Aufnahme & Nachweisextraktion
Der Alarm und seine Telemetrie wurden geparst und quellenbelegte Nachweise extrahiert - jeder Befund trägt ein Zitat zurück zur Telemetrie-Quelle, aus der er stammt.
Prozessbaum - verdächtiger Skript-Interpreter gestartet
Netzwerkverbindungen zu einem externen Befehlshost
Technik-Zuordnung - Befehls- und Skript-Interpreter
node - seq 3
Deterministische Erkennungsprüfungen
Regelbasierte Erkennungsprüfungen liefen gegen die Alarm-Telemetrie. Die Gutartig-Prüfungen bestanden - aber ein Treffer auf bösartige Ausführung, von dem das Gate später abhängt, treibt das Ergebnis.
Endpunkt-Agent gesund und meldend
Kein genehmigtes Wartungsfenster aktiv
Erkennung bösartiger Ausführung getroffen
node - seq 4
Richtlinien-Auslöser-Prüfungen
Workspace-Richtlinien wurden gegen die extrahierten Nachweise ausgewertet. Ein Richtlinien-Auslöser feuerte bei der lateralen Bewegung.
Betroffener Host außerhalb der Stufe kritischer Assets
Laterale Bewegung in Richtung eines privilegierten Hosts beobachtet
node - seq 5
Bedrohungsbewertung
Die Befunde wurden zu einem zusammengesetzten Bedrohungsscore kombiniert. Der Score ist hoch, daher wird der Lauf an einen menschlichen Responder weitergeleitet statt automatisch eingedämmt.
74/ 100Hoch
0 - niedrig60 - Prüfschwelle100 - hoch
Über der Prüfschwelle von 60 -> an ein menschliches Freigabe-Gate weitergeleitet. Es wird keine Eindämmung automatisch angewendet.
approval - seq 6
Menschliches Freigabe-Gate
Eindämmungsautorisierung
gate: containment-authorization
Ein Responder hat den Lauf geprüft und am Gate die Eindämmung freigegeben. Die Host-Isolierungsaktion bleibt in der Vorschau - ein Probelauf - bis zu dieser Freigabe, und erst dann wird der Host isoliert.
Bestätigte bösartige Ausführung - MITRE T1059
Laterale Bewegung in Richtung eines privilegierten Hosts
output - seq 7
Nachweispaket erfasst
soc-triage_run_9f12cc.packetsha256:9f12...cc31
Entscheidung
FREIGEGEBEN
Host-Isolierung nach Freigabe ausgelöst. Eindämmung nur auf den betroffenen Endpunkt beschränkt.FREIGEGEBEN
Gründe
Bestätigte bösartige Ausführung - MITRE T1059
Laterale Bewegung in Richtung eines privilegierten Hosts
Nachweise (quellenbelegte Zitate)
Prozessbaum und Ausführungskette edr-trace 9f12
Verbindungen zu externem Befehlshost netflow 2026-06-18
Technik-Zuordnung mitre T1059
Einmalig in ein manipulationssicheres, anhängendes Audit-Ledger geschrieben - Entscheidung, Responder, Gründe und Nachweise.
done - seq 8
Prüfung abgeschlossen
Abgeschlossen mit einer erfassten, prüfbaren menschlichen Entscheidung
Der Lauf endete genau dort, wo es die Governance verlangte: ein Mensch entschied, die Entscheidung wird protokolliert, und es gibt ein Nachweispaket, das jeder später prüfen kann. Die Eindämmung blieb in der Vorschau, bis ein Mensch sie freigab.
ErgebnisEindämmung am menschlichen Gate freigegeben
Entschieden vonSOC-Responder
Nachweispaketrun_9f12cc
Erfasste Ereignisse8 von 8
Was gerade passiert ist
Drei Governance-Momente, in einem Lauf.
Die Wiedergabe ist keine Chatbot-Demo. Es ist die Control Plane bei der Arbeit: Verankerung, Gating und Nachweis - die Teile, nach denen ein Regulierer fragt.
Ein menschliches Gate, dem die Eindämmung gehört
Ein hoher Bedrohungsscore wird an einen Responder weitergeleitet, nicht an eine automatische Eindämmung. Hier hat der Responder die Host-Isolierung freigegeben - und die Aktion blieb bis zu dieser Freigabe in der Vorschau. Nichts wird ohne sie isoliert.
Ein manipulationssicheres Nachweispaket
Die Entscheidung, der Responder, die Gründe und die zitierten Nachweise werden einmalig in ein anhängendes Audit-Protokoll geschrieben. Monate später können Sie genau belegen, warum dieser Host eingedämmt wurde.
Für regulierte Teams gebaut - dafür ausgelegt, unter Ihren Kontrollen zu laufen
Selbst gehostet
EU-AI-Act-Kontrollen
DSGVO-Kontrollen
Audit-Protokoll
Datensouveränität
PrivateFlow ist unter keinem Compliance-Rahmenwerk zertifiziert. Die Kontrollen sind darauf ausgelegt, die Compliance-Vorbereitung zu unterstützen. Dieser Lauf ist ein illustratives, synthetisches Beispiel.
Sehen Sie es mit Ihren eigenen Daten
Führen Sie das mit Ihren eigenen Alarmen aus.
Wir richten einen kontrollierten Piloten mit Ihren eigenen Daten ein - zuerst Sandbox, keine Produktionszugänge erforderlich. Sie entscheiden, was die Gates tun.