Назначение

KOMRAD Enterprise SIEM — гибкая и масштабируемая система централизованного управления событиями информационной безопасности, поддерживающая широкий спектр источников событий.

KOMRAD Enterprise SIEM  позволяет осуществлять централизованный сбор  событий ИБ, выявлять инциденты ИБ и оперативно на них реагировать. Применение комплекса позволяет эффективно  выполнять требования, предъявляемые регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия. КОМРАД позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы (например, ГосСОПКА).

Низкие требования к аппаратному обеспечению

Дистрибутив для Astra Linux, Ubuntu, ОС ОСнова

Визуальный конструктор правил

Встроенная возможность интеграции с системой ГосСОПКА

Функциональные возможности

Лог-менеджмент:

  •  высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия;

  •  нормализация — приведение событий к внутренней структуре события;

  •  автоматическая индексация событий;

  •  визуальный конструктор правил фильтрации событий;

  •  возможность разработки кастомизированных правил фильтрации на языке Lua.

Менеджмент инцидентов:

  •  визуальный конструктор директив корреляции;

  •  агрегация инцидентов;

  •  уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и через по электронной почте;

  •  выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты;

  •  история генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование;

  •  назначение ответственного.

Масштабирование:

  •  горизонтальное: установка на отдельные узлы в сети следующих компонентов системы – коллектор (сбор, фильтрация и нормализация событий), процессор (обработка и регистрация событий), хранилище (хранение событий), коррелятор (корреляция событий), главный узел (управления системой);

  •  вертикальное: возможна передача инцидентов из KOMRAD Enterprise SIEM нижнего уровня в KOMRAD Enterprise SIEM верхнего уровня.

Средства аналитики и визуализации, отчеты:

  •  отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.;

  •  создание дашбордов для управления активами;

  •  формирование отчётов.

Технические характеристики

  •  сбор событий по протоколам Syslog, SNMP, SQL, FTP, SFTP, SSH, xFlow;

  •  автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX;

  •  возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий информационной безопасности;

  •  поддержка Elastic Common Schemа;

  •  широкий спектр поддерживаемых отечественных СЗИ;

  •  предустановленные виджеты для визуального анализа данных;

  •  хранилище событий на основе ClickHouse;

  •  визуальный конструктор правил фильтрации и корреляции событий;

  •  возможность создания произвольных правил фильтрации событий на языке Lua;

  •  возможность распределенной установки компонентов системы и масштабирования решения;

  •  предустановленные правила корреляции;

  •  управление инцидентами ИБ;

  •  возможность интеграции с внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в CEF;

  •  поддерживаются следующие среды функционирования: Ubuntu 20.04 LTS, Astra Linux SE, ОС “ОСнова”.

Комплект поставки

Сертификат

ФСТЭК России №3385

Подтверждающий выполнение требований:

  •  руководящего документа «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (ФСТЭК России 2020) — по 4 уровню доверия и технических условиях НПЕШ.60010-0ЗТУ при выполнении указаний по эксплуатации, приведенных в формуляре НПЕШ.60010-0З 30.

Сертификат действителен до 13.01.2024.

Свидетельство о государственной регистрации

Свидетельство Роспатента о государственной регистрации программы для ЭВМ №2014613762 от 7 апреля 2014г.

Патент

Патент на полезную модель “Устройство корреляции событий информационной безопасности” №166348 от 01 августа 2016г.