КОМРАД


КОМРАД

Назначение

КОМРАД – гибкая и производительная система централизованного управления событиями информационной безопасности (SIEM), совместимая с отечественными средствами защиты информации.

Применение «КОМРАД» позволяет осуществлять централизованный мониторинг событий ИБ, выявлять и оперативно реагировать на инциденты ИБ, выполнить требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия. «КОМРАД» позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы.

Преимущества

  • визуальный интерфейс для создания правил корреляции событий;
  • возможность гибкой настройки и подключения нестандартных источников событий информационной безопасности;
  • предустановленные виджеты;
  • возможность масштабирования решения и создания системы мониторинга информационной безопасности любого масштаба;
  • широкий спектр поддерживаемых отечественных СЗИ;
  • оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности автоматизированной системы;
  • контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности;
  • предустановленные правила корреляции;
  • настраиваемые визуальные показатели состояния информационной системы для любого уровня сотрудников организации.
Функциональные возможности

Лог-менеджмент:
  • высокопроизводительный сбор событий позволяет осуществлять централизованный сбор событий в инфраструктуре масштаба предприятия;
  • нормализация — приведение журналов всех источников к единому фор-мату для упрощения их анализа;
  • хранение событий в исходном («сыром») и нормализованном виде; возможно использование исходных событий при проведении расследований инцидентов ИБ;
  • мониторинг событий в реальном времени позволяет анализировать события, как только они поступили в систему;
  • быстрый полнотекстовый поиск позволяет найти нужное событие среди миллионов похожих практически мгновенно;
  • фильтрация событий осуществляется при помощи удобного конструктора запросов к базе событий;
  • визуализация событий — представление анализируемых данных в виде графиков и диаграмм (линейные, столбчатые, круговые, радиальные и др.);
  • визуальное задание границ отображения данных — диаграмма событий позволяет задать точный временной интервал для отображения событий;
  • сохранение запросов — любой запрос к базе событий можно сохранить в системе для быстрого обращения к нему в повседневной работе;
  • экспорт — любую выборку событий можно сохранить в форматах PDF и CSV.
Корреляция событий:
  • формирование инцидентов — при обнаружении цепочек критичных событий безопасности формируется инцидент ИБ;
  • наглядные директивы корреляции — интуитивно понятный графический конструктор директив делает процесс создания директивы легким и доступным;
  • многоуровневая корреляция — возможность задания неограниченного количества уровней и правил в конструкторе директив;
  • поддержка методики шаблонов поведения — пакеты директив корреляции отражают возможную цепь событий (аномалий), которая соответствует модели реальной атаки;
  • настраиваемая система оповещений — возможность оповещения об инцидентах различными способами (всплывающие уведомления, электронная почта, выполнение пользовательских сценариев и др.);
  • управление инцидентами — автоматическое назначение группы ответственных за инцидент лиц, система статусов и меток, настройка видимости инцидентов.
Масштабирование:
КОМРАД_на пресс релиз.png
  • установка на отдельные узлы в сети следующих компонентов системы:
    • коллектор (модуль сбора, фильтрации и нормализации событий);
    • процессор (модуль хранения и обработки событий);
    • коррелятор (модуль корреляции событий);
    • главный узел (модуль управления системой);
  • управление всеми модулями системы с одного узла;
  • обеспечение буферизации событий информационной безопасности при отправке из модуля сбора в модуль хранения и обработки событий;
  • подключение нескольких модулей корреляции к одному хранилищу событий;
  • подключение нескольких модулей хранения и обработки событий к одному модулю корреляции;
  • подключение к модулю управления нескольких модулей хранения и обработки событий;
  • сквозной поиск событий в нескольких модулях хранения и обработки событий;
  • подключение нескольких модулей сбора, фильтрации и нормализации сообщений к одному модулю хранения и обработки событий.
Средства аналитики и визуализации, отчеты:
  • отображение событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.;
  • отображение данных по инцидентам в графическом формате;
  • конфигурирование и редактирование диаграмм;
  • создание и редактирование отдельных панелей с диаграммами;
  • создание и редактирование шаблонов диаграмм;
  • переход к выборке хранимых событий нажатием на диаграмму;
  • формирование отчётов по фильтрам (системным и пользовательским);
  • формирование отчётов из состава имеющихся шаблонов в системе: по событиям и инцидентам;
  • наличие оперативных графиков (дашбордов) по событиям и инцидентам;
  • экспорт данных и создание отчетов в формате PDF, CSV, HTML.

Скачать описание КОМРАД 003.png 
Скачать Руководство администратора 003.png    

Технические характеристики

  • сбор событий по протоколам Syslog (в том числе в формате CEF), Syslog-ng, SNMPv2, SNMPv3, HTTP, SQL, ODBC, WMI, FTP, SFTP, SSH, Netflow v5, v7;
  • производительность: 10 000 EPS на серверной платформе со следующими характеристиками: 2 CPU Intel Xeon E5 2640v4, ОЗУ: 64 Гбайт, HDD: 2 Тбайт.

Простота и удобство использования КОМРАД

Конструктор директив

Графический конструктор директив делает процесс работы с директивами корреляции простым и наглядным. Каждое правило директивы формируется при помощи графического конструктора запросов. Обновленный механизм наследования между правилами расширяет диапазон задач, решаемых с помощью модуля корреляции. Предусмотрено визуальное иерархическое разделение правил по уровням. Для удобного просмотра «большой» директивы реализована возможность свернуть правило.

1.jpg

Визуализатор событий

Средство для визуального анализа инцидента избавляет администратора ИБ от необходимости ручного анализа таблиц из тысяч событий при расследовании инцидента. Система позволяет пользователю построить визуальную модель совокупности событий и отследить развитие инцидента во времени.  Визуализация событий облегчает проведение анализа атаки и расследование инцидента. 

2.jpg

Конструктор запросов

Графический конструктор запросов позволяет строить запросы к базе событий любой сложности без единой строчки на языке сценариев. Запрос формируется из совокупности простых подзапросов, связанных логическими операциями «И» и «ИЛИ». Любой запрос можно сохранить в системе, задав ему название и описание.

3.jpg

Виджеты

В обновленной подсистеме визуализации теперь есть возможность строить графики и диаграммы для произвольной выборки событий и сохранять их в виджете. Виджет ― это интерактивный блок визуализации данных, отражающий динамику их изменения в системе. Каждый виджет имеет ряд параметров для гибкой настройки под конкретные потребности пользователя системы.

4.jpg

Контроль соответствия

Система позволяет осуществлять контроль соответствия требованиям различных нормативных актов и стандартов информационной безопасности.

5.jpg

Визуальное задание границ времени

Диаграмма распределения событий по времени позволяет быстро выявлять аномалии и уточнять временной интервал отображаемых событий. Выбрать интервал времени для отображения можно при помощи простых манипуляций мышью в интересующей области диаграммы. После выбора интервала график автоматически перестраивается, и таким образом распределение событий за выбранный интервал времени уточняется. 

6.jpg


Лицензии

Программа лицензирования обновленной SIEM-системы КОМРАД предусматривает три вида лицензий:

  • Base (развертывание на одном узле; поддерживаемые типы источников: syslog, ossec; включена техническая поддержка уровня "Стандарт" в течение 1 года).
  • All-in-one (развертывание на одном узле; включена техническую поддержку уровня "Стандарт" в течение 1 года).
  • Enterprise (возможность распределенной инсталляции и масштабирования; включены компоненты: Operation Center - 1 шт, Server -1 шт, Collector - 2 шт.; включена техническая поддержка уровня "Стандарт" в течение 1 года).

Сертификат

Минобороны России №3899, подтверждающий выполнение требований Приказа МО РФ, в том числе:
  • руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 2 уровню контроля (НДВ-2);
  • по соответствию реальных и декларируемых в документации функциональных возможностей.
ФСТЭК России №3498, подтверждающий выполнение требований:
  • руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий при выполнении указаний по эксплуатации, приведенных в формуляре на изделие.
КОМРАД включен в единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО). Приказ Минкомсвязи России от 18.03.2016 №112.

Свидетельство о государственной регистрации
  • свидетельство Роспатента о государственной регистрации программы для ЭВМ №2014613762 от 7 апреля 2014г.
Патент
  • патент на полезную модель "Устройство корреляции событий информационной безопасности" №166348 от 01 августа 2016г.