NeroCore AIOps Control Plane
Управляемая среда над серверами, сетями, AD/DNS/DHCP, backup и мониторингом. Source of Truth, AIOps-рекомендации, approval-gates, controlled execution, verify+rollback. AI работает в advisory-режиме по умолчанию.
Control plane над существующими SIEM, EDR, backup-системами, ITSM и мониторингом — не их замена. Решение проверено на собственном инфраструктурном контуре. У клиента адаптируются коннекторы, регистры и approval-процессы.
В типичной компании 50–500 человек инфраструктура работает, потому что её знает один-два администратора. Когда они в отпуске, идёт болезненная зависимость от их памяти. Когда они уходят — пропадают часы восстановления контекста. Когда нужно объяснить аудитору состояние backup или права на сервере — собирается ad-hoc отчёт за неделю.
Решения принимаются по памяти и по устаревшим схемам в Visio
Алертов сотни, но непонятно — что критично для бизнеса, а что фон
Высокий риск ошибочной команды, простоя и отсутствия rollback
Уход человека превращается в операционный и ИБ-риск
NeroCore AIOps Control Plane — это операционная система управления инфраструктурой: не набор скриптов и не разовый аудит. Она собирает факты, нормализует их в Source of Truth, показывает текущее состояние с привязкой к бизнес-импакту, формирует рекомендации и — при явном approval — выполняет изменения по управляемому процессу.
Узел управления, Source of Truth, валидация регистров, runbooks, change workflow, evidence boundary
Current state, business impact, weak spots, recommendations, freshness, approval actions
Готовые пакеты для AD/DNS/DHCP, mail, backup, RouterOS/WAN/Wi-Fi, virtualization, RDS
Backup registry, restore drill registry, freshness, AD System State path, evidence
Базовый слой телеметрии и метрик доменов, готовность к покрытию target
Секреты вне Git/docs/RAG, raw reports не индексируются, approved summaries проходят secret-scan
Клиент решает, какой уровень включать. По умолчанию активен L1–L2: только observe и recommend. L3 включается только под конкретные домены и после явного approval ответственного. L4 — для узкого allowlist операций, согласованного заранее.
Разрешено: Плановые non-mutating snapshots, backup verification, drift-отчёты по согласованным регистрам
Пример: Ежедневный backup verification, проверка свежести AD System State, freshness регистров inventory
Разрешено: Read-only сбор телеметрии и состояния, формирование dashboard и weak spots без действий
Пример: Сбор inventory AD/DNS/DHCP, состояние backup, статус сертификатов, drift-факты
Разрешено: Формирование рекомендаций с обоснованием, evidence и предложенным safe next action
Пример: Рекомендация очистить stale DNS-запись после подтверждения evidence; рекомендация ротации сертификата
Разрешено: Запуск approved процедур после явного approval ответственного лица. Каждый apply имеет precheck, controlled execute, verify и rollback
Пример: Запуск approved AD System State backup или точечный DNS cleanup после согласования
Разрешено: Автоматическое выполнение узкого класса операций в рамках заранее согласованного allowlist, с обязательным аудитом и алертом владельцу
Пример: Авто-ротация ключей по графику, авто-очистка stale записей по правилам, согласованным заранее
7 регистров: inventory, service catalog, network, access, backup, change, state. Machine-readable, версионируется, проверяется владельцем.
Текущее состояние, business impact, weak spots, рекомендации, freshness данных, approval actions с проверяемым следом.
Read-only сборщики по согласованным доменам. Baseline reports без вмешательства в production.
План доведения доменов до target-state: какие метрики, какие пакеты, какие условия активации L3/L4 автономности.
Operator-friendly процедуры с precheck, apply, verify, rollback. Evidence-пакет на каждое значимое изменение.
Карта владельцев, ролей, autonomy-уровней по доменам, политика секретов и raw logs, ограничения AI.
Лестница продажи и внедрения. Каждый следующий этап опирается на результаты предыдущего и не требует обязательства идти дальше.
Read-only диагностика, risk map, executive map, compatibility validation, P0/P1 roadmap, экономическая модель
Разворачивание SoT (7 регистров), dashboard, L0 collectors, approval workflow, базовые runbooks, первые domain packs
AD/DNS/DHCP, mail, backup, RouterOS/WAN/Wi-Fi, virtualization, RDS, edge — каждый домен как отдельный пакет
Drift review, отчёты, change packets, roadmap coverage growth, security governance, business reviews
Production = пакет готов, отработан на собственной инфраструктуре. Pilot = пакет проходит финальную доводку у клиентских интеграций. Adapter on demand = специфическое оборудование подключается через adapter pack без изменения базовой архитектуры.
Inventory, privileged groups, LDAPS/certs, drift, offboarding checks, stale-records
AD System State, Postgres logical+physical PITR, Keycloak realm export, restore drill registry
Inventory почтовых ящиков, групповые политики, безопасность транспорта
Inventory оборудования, версии прошивок, allowlist сегментов, мониторинг каналов
Inventory ВМ, состояние, использование ресурсов, snapshots, привязка к сервисам
Политики доступа, smartcard через PC/SC, raw USB allowlist, no SSH в prod по умолчанию
Inventory устройств, состояние, права, поддержка через adapter pack
Безопасность встроена в продукт, а не добавлена слоем сверху. Ниже — конкретные риски и контроли.
Утечка credentials или raw logs
Секреты вынесены из Git/docs/RAG; raw reports не индексируются; approved summaries проходят secret-scan
Снижается риск компрометации при работе с AI, подрядчиками и отчётами
Неверное изменение production
Approval-gate, precheck, controlled execute, verify, rollback. Любое изменение имеет владельца и audit trail
Меньше простоев и понятная ответственность
Избыточные привилегии и забытые service accounts
Least privilege, обязательная привязка прав к доменам, регулярная offboarding-проверка
Снижается риск постоянных админских прав и долгоживущих учётных записей
Зависимость от памяти одного администратора
Source of Truth, runbooks и governance делают знания контура воспроизводимыми
Операционный контроль не зависит от занятости или ухода ключевого человека
Иллюзия здоровья инфраструктуры
Dashboard показывает business impact и weak spots, а не только зелёные галочки
Руководитель видит реальные узкие места до того, как они становятся инцидентом
Атаки на терминалы и thin-client
Smartcard через PC/SC, allowlist для USB, drive mapping вместо raw storage, no SSH в prod по умолчанию
Меньше attack surface на рабочих местах и в RDP-контурах
Control Plane — это слой управления и доказательства. Он работает с вашим существующим SIEM, EDR, backup-системой, ITSM и мониторингом, не подменяя их. Если у вас уже есть Zabbix, Wazuh, Veeam, Jira Service Management — они остаются и интегрируются.
- — Не заменяем SIEM/EDR/backup/ITSM. Control plane работает над ними.
- — Не выполняем production-изменения без явного approval и привязки к процедуре с rollback.
- — Не обещаем «полностью автономное управление». L4 включается только для узкого согласованного allowlist.
- — Не индексируем raw logs и секреты в AI/RAG. В AI попадают только sanitized approved summaries.
- — Не подменяем штатного администратора в первый месяц. Reality Check и Sprint строятся вокруг существующей команды.
Начните с Reality Check — 5–10 рабочих дней
На входе: согласованный scope (домены, оборудование, контуры доступа). На выходе: risk map, executive map, P0/P1 roadmap, экономическая модель, compatibility validation. Полностью read-only, без вмешательства в production. После Reality Check у вас есть понимание, нужен ли Sprint и какие domain packs приоритетны. Решение продолжать — за вами.
