КОМРАД 4


Назначение

KOMRAD Enterprise SIEM

KOMRAD Enterprise SIEM — гибкая и масштабируемая система централизованного управления событиями информационной безопасности, поддерживающая широкий спектр источников событий.

KOMRAD Enterprise SIEM  позволяет осуществлять централизованный сбор  событий ИБ, выявлять инциденты ИБ и оперативно
на них реагировать. Применение комплекса позволяет эффективно  выполнять требования, предъявляемые
регуляторами к защите персональных данных, к обеспечению безопасности
государственных информационных систем и контролю критической информационной
инфраструктуры предприятия. КОМРАД позволяет отправлять данные о событиях и
инцидентах ИБ во внешние системы (например, ГосСОПКА).


KOMRAD Enterprise SIEM реализует следующие меры информационной безопасности:
  • сбор, запись и хранение информации о событиях безопасности;
  • обнаружение, идентификация и регистрация инцидентов;
  • информирование об инцидентах и реагирование;
  • хранение событий в течение необходимого срока;
  • управление активами;
  • просмотр и анализ информации о действиях пользователей;
  • передача инцидентов в ГОССОПКа.

Преимущества

Низкие требования     

Низкие требования
 к аппаратному обеспечению
Кроссплатформенность   
Кроссплатформенность (Windows и Linux)
Визуальный конструктор правил   
Визуальный конструктор правил
ГОССОПКА     
Встроенная возможность интеграции
 с системой ГосСОПКА

Технические характеристики

  • сбор событий по протоколам Syslog , SNMP, SQL, FTP, SFTP, SSH, xFlow;
  • автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX;
  • возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий информационной безопасности;
  • поддержка Elastic Common Schemа;
  • широкий спектр поддерживаемых отечественных СЗИ;
  • предустановленные виджеты для визуального анализа данных;
  • хранилище событий на основе PostgreSQL c TimescaleDB;
  • визуальный конструктор правил фильтрации и корреляции событий;
  • возможность создания произвольных правил фильтрации событий на языке Lua;
  • возможность распределенной установки компонентов системы и масштабирования решения;
  • предустановленные правила корреляции;
  • управление инцидентами ИБ;
  • возможность интеграции с внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в CEF;
  • кроссплатформенность - поддерживаются следующие среды функционирования: Ubuntu 20.04 LTS, Astra Linux SE, Windows Server 2016, Windows Server 2019.

Функциональные возможности

Лог-менеджмент:

  • высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия;
  • нормализация — приведение событий к внутренней структуре события. ;
  • автоматическая индексация событий;
  • визуальный конструктор правил фильтрации событий;
  • возможность разработки кастомизированных правил фильтрации на языке Lua
Менеджмент инцидентов:

  • визуальный конструктор директив корреляции;
  • агрегация инцидентов;
  • уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и через по электронной почте;
  • выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты;
  • история генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование;
  • назначение ответственного.
Масштабирование:
  • горизонтальное: установка на отдельные узлы в сети следующих компонентов системы:
- коллектор ( сбор, фильтрация и нормализация событий);
процессор ( обработка и регистрация событий);
хранилище (хранение событий);
коррелятор (корреляция событий);
главный узел (управления системой);
  • вертикальное: возможна передача инцидентов из KOMRAD Enterprise SIEM нижнего уровня в KOMRAD Enterprise SIEM верхнего уровня.

Средства аналитики и визуализации, отчеты:

  • отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.;
  • создание дашбордов для управления активами;
  • формирование отчётов.

Сертификат

Проводятся сертификационные испытания в системах сертификации ФСТЭК России и Минобороны России.

КОМРАД включен в единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО).
Приказ Минкомсвязи России от 18.03.2016 №112.