Monsys volgt je Linux- en Windows-servers, scant elke npm/pip/composer/go-dependency tegen OSV.dev, fingerprintet elke draaiende binary en zet honeypots klaar die direct oplichten zodra iemand ze raakt. In een typische omgeving zien we binnen 90 seconden honderden CVE-matches — vaak meerdere CRITICAL waarvan de operator niet wist dat ze in productie liepen. Tijd tussen detectie en fix: minuten, geen weken.
Drie verschillen die rechtstreeks in het audit-rapport van je klant landen.
Lockfiles van npm, pip, composer, go en gem worden per project gescand tegen OSV.dev. Container-images apart via Trivy hub-side — geen extra software op de klant-host. Process DNA detecteert wanneer een running binary stilletjes vervangen wordt.
Drempels met duration ('CPU >85% voor 1u'), per-container regels, maintenance windows voor upgrades. Honeypot canaries (gefakete AWS keys, GPG, Kube config, GitLab runner tokens) triggeren onmiddellijk een Critical incident. Geen alert-spam.
Hub gehost in België door GoTrust BV. Detectie draait op de host — alleen geaggregeerde signalen gaan upstream, nooit ruwe loglijnen. Self-host kan ook: één Docker-compose stack, 5 MB Rust-agent.
Genereer een token in de hub, plak de regel in je terminal, en de agent meldt zich aan. Geen poorten openzetten, geen yaml-bestanden.
Probeer gratis →Eén Rust binary, vier categorieën aan signalen. Allemaal lokaal verwerkt; alleen aggregaten gaan naar de hub.
CPU, RAM, schijf, netwerk, load average elke 15s naar TimescaleDB. 90 dagen retentie standaard. Per-NIC traffic-sparklines, per-disk groei + 'days until full' projectie.
Pakketten + services + containers + open poorten + local users + sudo-regels + SSH-keys (alleen fingerprint) + password policy uit /etc/shadow + lsblk-tree + DMI-hardware + NICs + filesystem findings (SUID/SGID/world-writable/orphaned).
10+ canary-paden met realistische credentials: AWS, SSH, Kube, Docker auth, GitLab runner, Postgres pgpass, GPG private key, Grafana token, WordPress config. Lees-actie = direct Critical via inotify.
SHA256 fingerprint van elk top-process binary. Baseline TOFU bij eerste observatie; afwijking = Critical. Manifest-aware rebaseline: legitieme auto-updates triggeren geen false-positives.
Eén 5 MB statisch-gelinkte Rust binary (musl libc, zero glibc dependencies → werkt op RHEL/Alma/Rocky 8+9, Fedora, Debian 11+12, Ubuntu 18.04+ tot 24.04, Alpine 3.10+, SUSE/SLES, Oracle Linux, Amazon Linux). Draait als systemd-service of via StartServiceCtrlDispatcher (Windows). Scope-locked sudoers voor enkel emergency + self-update. Ed25519 payload-signing met TOFU-pinning op de hub.
Postgres Row Level Security per tenant, explicit tenant_id WHERE op alle queries (defence-in-depth). Owner / Admin / Operator / Viewer rollen. Elke schrijfactie naar audit_log met user/IP/payload (secrets gescrubt).
OS-pakketten, container-images en application-dependencies — alle drie automatisch gescand, gekoppeld aan je servers, met fix-versie en risk score.
apt, rpm, winget en wmic worden door de agent uitgelezen. De hub matcht tegen NVD + EPSS (exploit-waarschijnlijkheid) en kent een risk score toe. Internet-exposed processen krijgen 1.5× extra.
Agents rapporteren image-namen. De hub draait Trivy server-side tegen elke unieke image. Klant-machine heeft geen Trivy nodig, geen root-access — gewoon `docker ps` output volstaat.
package-lock.json, yarn.lock, requirements.txt, composer.lock, Gemfile.lock en go.sum worden geparset. Hub batch-queryt OSV.dev (gratis, EU-friendly) per (package, versie). 14 CRITICAL en 1.984 andere CVE's gevonden in onze testfleet.
We sturen GEEN lockfile-inhoud naar onze backend. Alleen geparste (pakket, versie) tuples — zelfde info die `npm ls` aan iedereen met shell-toegang geeft.
In een onlangs gemonitorde omgeving (Belgische MSP, ~10 productie-hosts met Node.js + Go diensten) ging de pipeline live om 16:47. Binnen 90 seconden had OSV.dev 1.998 matches teruggemeld — waarvan 14 CRITICAL die niemand kende. Allemaal gepatcht voor 17:00.
T+45s
OSV.dev batch-query → 1.000 (package, versie) tuples / request, severity genormaliseerd door de hub
T+5min
10.854 dependencies over 4 ecosystemen (npm / Go / Packagist / PyPI) — gelinkt aan project-path + risk_score
T+13min
Operator zag de fix-versie naast elke CVE; één `go get` + redeploy cycle. Auto-update rolt het verder.
Geen detectie-rapport van zes weken oud. Geen "we komen er volgende sprint op terug". De fix-versie staat naast de CVE, het playbook draait met één klik.
Twaalf bouwstenen die we al hebben gebouwd. Elk van deze functies kan je vandaag aanzetten op je eigen tenant.
Drempels met duration (CPU>85% voor 1u), per-container regels, fleet-aggregaten (≥3 prod-agents offline). Maintenance windows silencen álle alerts voor upgrades. 8 quick-start templates.
Per server: lineaire fit op 14 dagen CPU/mem/network + per-mount disk-groei. 'Days until ceiling' projectie met datum. Geen ML-pretentie, gewoon eerlijke regressie.
Z-score op laatste 15min vs 7-dagen baseline per agent per metric. |z| > 2.5 = afwijking. Klassieke statistiek, geen black-box ML — operator ziet meteen wat uit lijn is.
Elke POST/PUT/PATCH/DELETE met user/IP/method/path/resource. Read-only 'viewer' rol blokkeert schrijfacties. Belangrijke filter: /audit?resource_type=playbook scoped per tenant.
JSON action specs, admin-goedgekeurd, operator triggert vanuit alert. Hub signt Ed25519 emergency-token → agent verifieert + voert uit. Elke run logged in /audit met de nonce.
SHA256 hash van /proc/<pid>/exe op elk top-process. Afwijking = Critical alert — tenzij de nieuwe hash matcht met onze auto-update manifest. False-positives op release-deploys uitgesloten.
Gefakete AWS-keys, SSH key, Kube config, Docker auth, GitLab runner token, Postgres pgpass, GPG private key, Grafana token, WordPress config. Eén lees-actie = onmiddellijk Critical.
Agent + hub krijgen elk een release-manifest. Hub-side: 6h-poll, curl-download, sha256-verify, sudo-installer, atomic swap, systemd restart. Manifest-aware Process DNA accepteert de nieuwe hash automatisch.
Logo, accent-kleur, display naam — schrijf in /settings → Branding, klanten zien onmiddellijk hun eigen logo in de topbar. Backend valideert https-only voor logo URLs (geen javascript: XSS).
Browser-terminal via WebSocket — geen SSH- of RDP-poort nodig. Op Linux: `bash --restricted` als low-priv `monsys-console` user, zonder sudoers. Op Windows: PowerShell via ConPTY in een JEA-endpoint met ~60 whitelisted IR-cmdlets (geen Invoke-Expression, geen Remove-Item, geen privilege escalation). 15 min hard limit, TOTP + reden ≥20 tekens vereist. Elke keystroke onuitwisbaar gelogd met SHA256-seal.
Auto-gedetecteerde graaf (nodes + edges + zones). Generator → PNG/SVG/PDF met 4 layout-algoritmen, Mermaid-export. Alert-overlay: rood = critical, geel = warn, op elke node.
Eén klik op alert/log — lokale llama3.1:8b legt uit wat het betekent. NL/FR/EN antwoorden, eerste antwoord typisch <4s op CPU. Geen externe AI-provider, dus geen GDPR-vraagstukken.
Verbind je AWS, Azure, GCP, Hetzner, Proxmox, DigitalOcean, Scaleway, OVH of IONOS account. monsys.ai ontdekt elke 4 uur alle resources, koppelt ze aan je bestaande agents en flagt wat geen monitoring heeft.
EC2 · RDS · S3 · VPC · ELB · IAM
VMs · SQL · Storage · NSGs · VNets
GCE · Cloud SQL · GCS · Firewalls
Servers · Networks · Firewalls · Volumes
Self-hosted: VMs · LXC · Storage · Nodes
Droplets · Volumes · LBs · Managed DBs
Instances · SGs · Volumes · RDB
Instances · Networks · Failover IPs
Datacenters · Servers · Volumes · LANs
Eerlijke tradeoffs — geen marketing-blinkend. Per tool tonen we zowel wanneer monsys de betere keuze is als wanneer het tegenovergestelde geldt.
Een lokale llama3.1:8b legt uit wat de log betekent en of er actie nodig is. Geen externe AI provider — je data blijft op onze backend.
Geen yaml-jungle, geen agent-templates per OS — één commando per host.
Vul e-mail + wachtwoord in. Geen creditcard. Je krijgt direct een tenant en een dashboard-login.
In Settings → Agents typ je een hostnaam. We minten een token en geven je een one-liner. Op de doelserver: één curl-commando als root.
Binnen 30s zie je CPU/RAM/disk/network van de host in het Overview scherm. Alerts vuren op drempel-overschrijdingen vanaf het eerste metingmoment.
Vijf servers monitoren kost nul euro. Permanent. Vanaf de zesde server reken je €3 per server per maand — via Stripe of PayPal, maandelijks opzegbaar.