Open Source · Windows · Rust + Tauri

Cada conexión saliente. Con contexto.

Outbound Connections Monitor transforma una fotografía de red en evidencia útil: proceso, linaje, identidad, baseline, afinidad histórica y riesgo explicable para Threat Hunting.

  • Captura on-demand
  • Scoring explicable
  • Licencia MIT

OCM / SCAN ANALYSIS

COMPLETADO
CONEXIONES 24
REVISIÓN 03
RIESGO ALTO 01
powershell.exe PID 4820 · proceso observado
82 · ALTO

10.0.0.24:51842 203.0.113.42:443

FIRMA
No verificada
AFINIDAD
Destino nuevo
BASELINE
Candidate
REASON CODE LOLBIN_POWERSHELL + NEW_DESTINATION
Evidencia local Muestra conceptual · sin datos reales
LOCAL FIRST ZERO TRUST EXPLAINABLE RISK AUDITABLE BY DESIGN

Contexto forense, no ruido

De socket abierto a hipótesis investigable.

OCM conecta señales de red, proceso e identidad para que cada prioridad pueda explicarse, revisarse y auditarse.

01 / CAPTURE

Captura nativa bajo demanda

Obtiene una fotografía de conexiones TCP y UDP en Windows y la vincula con los procesos responsables.

02 / IDENTITY

Identidad verificable

Calcula SHA-256, comprueba firmas Authenticode y detecta cambios físicos del archivo para invalidar confianza obsoleta.

03 / LINEAGE

Linaje de ejecución

Aporta proceso padre, línea de comandos, usuario e instante de inicio para reconstruir el contexto real.

04 / BASELINE

Baseline prudente

Modela estados explícitos de confianza y exige señales o validación manual; nunca confía por repetición ciega.

05 / AFFINITY

Afinidad de red

Compara hostnames, dominios raíz, puertos y patrones con el histórico conocido de cada binario.

06 / RISK

Riesgo explicable

Combina señales que elevan y reducen riesgo, conserva reason codes y registra decisiones para una auditoría trazable.

Arquitectura mínima y auditable

Rust en el núcleo. Tauri en el puente.

OCM separa captura, enriquecimiento, confianza, afinidad, riesgo y persistencia en módulos explícitos. La interfaz se mantiene ligera con HTML5 semántico y JavaScript ESM.

Auditar el código fuente
  1. 01
    Collector + Enricher

    Captura y contexto nativo de Windows.

    RUST
  2. 02
    Trust + Affinity + Risk

    Decisiones explicables y revisables.

    CORE
  3. 03
    SQLite + Audit

    Estado persistido y trazabilidad.

    DATA
  4. 04
    Tauri 2 + Web UI

    Interfaz de escritorio ligera.

    DESKTOP

Principio de diseño

La repetición no equivale a confianza.

Si el archivo cambia, OCM no hereda una reputación antigua. Reabre la evaluación, conserva el histórico y exige una nueva decisión basada en evidencia.

  • 01 Identidad antes que nombre
  • 02 Evidencia antes que intuición
  • 03 Auditoría antes que opacidad

Respuestas directas

Preguntas frecuentes

Lo esencial para entender el alcance y el modelo de OCM.

01

¿Qué es Outbound Connections Monitor?

OCM es una aplicación Open Source para Windows que captura conexiones salientes bajo demanda y las relaciona con el proceso, su linaje, la identidad del archivo, la firma, el baseline y el historial de destinos. Su objetivo es convertir una conexión aislada en evidencia útil para Threat Hunting.

02

¿Por qué OCM utiliza Zero Trust?

Porque observar muchas veces un binario o un destino no demuestra que sea fiable. OCM conserva estados explícitos de confianza, revalida cuando cambia la identidad del archivo y explica las señales que elevan o reducen el riesgo.

03

¿Por qué OCM aporta más contexto que netstat?

netstat muestra el estado de red y puede asociar conexiones con procesos, pero OCM añade linaje, línea de comandos, usuario, hash, firma, baseline, afinidad histórica, riesgo explicable y persistencia. No reemplaza a netstat: convierte su fotografía técnica en una investigación trazable.

Código abierto. Evidencia abierta.

Investiga lo que sale de tu sistema.

Revisa la arquitectura, compila OCM y adapta el flujo a tus investigaciones.

Abrir GitHub