Эшелон «КОМРАД»

KOMRAD Enterprise SIEM — гибкая и масштабируемая система централизованного управления событиями информационной безопасности, поддерживающая широкий спектр источников событий.

KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий ИБ, выявлять инциденты ИБ и оперативно на них реагировать. Применение комплекса позволяет эффективно выполнять требования, предъявляемые регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия.  KOMRAD позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы (например, ГосСОПКА).

Особенности системы:

• Низкие требования к аппаратному обеспечению

•  Кроссплатформенность (Windows и Linux)

•  Визуальный конструктор правил

•  Встроенная возможность интеграции с системой ГосСОПКА

Технические характеристики:

•  сбор событий по протоколам Syslog, SNMP, SQL, FTP, SFTP, SSH, xFlow;

•  автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX;

•  возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий информационной безопасности;

•  поддержка Elastic Common Schemа;

•  широкий спектр поддерживаемых отечественных СЗИ;

•  предустановленные виджеты для визуального анализа данных;

•  хранилище событий на основе PostgreSQL c TimescaleDB;

•  визуальный конструктор правил фильтрации и корреляции событий;

•  возможность создания произвольных правил фильтрации событий на языке Lua;

•  возможность распределенной установки компонентов системы и масштабирования решения;

•  предустановленные правила корреляции;

•  управление инцидентами ИБ;

•  возможность интеграции с внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в CEF;

•  кроссплатформенность – поддерживаются следующие среды функционирования: Ubuntu 20.04 LTS, Astra Linux SE, Windows Server 2016, Windows Server 2019.

• Лог-менеджмент:

•  высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия;

•  нормализация — приведение событий к внутренней структуре события;

•  автоматическая индексация событий;

•  визуальный конструктор правил фильтрации событий;

•  возможность разработки кастомизированных правил фильтрации на языке Lua.

•  визуальный конструктор директив корреляции;

•  агрегация инцидентов;

•  уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и через по электронной почте;

•  выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты;

•  история генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование;

•  назначение ответственного.

Масштабирование:

• горизонтальное: установка на отдельные узлы в сети следующих компонентов системы – коллектор (сбор, фильтрация и нормализация событий), процессор (обработка и регистрация событий), хранилище (хранение событий), коррелятор (корреляция событий), главный узел (управления системой);

•  вертикальное: возможна передача инцидентов из KOMRAD Enterprise SIEM нижнего уровня в KOMRAD Enterprise SIEM верхнего уровня.

Средства аналитики и визуализации, отчеты:

•  отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.

•  создание дашбордов для управления активами;

•  формирование отчётов.

КОМРАД включен в единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО). Приказ Минкомсвязи России от 18.03.2016 №112.