KOMRAD Enterprise SIEM — гибкая и масштабируемая система централизованного управления событиями информационной безопасности, поддерживающая широкий спектр источников событий.
KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий ИБ, выявлять инциденты ИБ и оперативно на них реагировать.
Применение KOMRAD Enterprise SIEM позволяет эффективно выполнять требования, предъявляемые регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия.
KOMRAD Enterprise SIEM позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы (ГосСОПКА, Вышестоящий SIEM, SOAR и т.д.).
• сбор данных: сбор событий безопасности из различных источников
• нормализация данных: приведение данных к единому формату для удобства анализа
• корреляция событий: установление связей между различными событиями для выявления инцидентов
• анализ данных: возможность создавать запросы для выявления угроз по накопленным данным
• агрегация данных: процесс объединения однородных и повторяющихся данных о событиях безопасности или иных данных, получаемых в результате мониторинга ИБ
• фильтрация данных: выбор данных в соответствии с заданными критериями
• визуализация данных: представление данных в удобном для восприятия виде с помощью интерактивных панелей и графиков
• создание отчетов: генерация отчетов о состоянии безопасности для руководства и регуляторов
• использование ClickHouse в качестве БД для работы с событиями
• встроенные графические панели с возможностью кастомизации
• возможность использования Grafana для графического отображения информации (сборка, без телеметрии)
• возможность распределённой установки компонентов системы и масштабирования решения
• удаленная установка коллекторов в графическом интерфейсе
• пассивный сбор событий: Syslog, xFlow
• активный сбор событий: SNMP, SQL, File (SFTP). HTTP
• агентский сбор событий: Windows, SQLite, File (Local), eBPF
• возможность использования коллекторов в online и offline-режимах
• автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX, XML, JSON и т.д.
• возможность написания собственной логики нормализации с помощью регулярных выражений для подключения любых источников событий и приведения их событий к единому виду
• возможность использования эвристического анализа событий при составлении собственной нормализации
• поддержка Elastic Common Schemа и схемы событий ArcSight
• правила фильтрации составляются с помощью графического интерфейса
• возможность создания сложных правил фильтрации событий на языке Lua (опционально)
• фильтрация событий происходит на коллекторах и без ретроиндексации
• механизм контекстного поиска по событиям
• использование нескольких фильтров одновременно в рамках одного поиска
• маппинг на матрицы атак ФСТЭК России и MITRE
• расширенные возможности агрегации инцидентов
• наличие бесплатной экспертизы
• широкий спектр поддерживаемых отечественных СЗИ
• возможность передачи и обмена экспертизой через графический интерфейс
Свидетельство Роспатента о государственной регистрации программы для ЭВМ №2014613762 от 7 апреля 2014г.
Патент на полезную модель «Устройство корреляции событий информационной безопасности» №166348 от 01 августа 2016г.
Производительность 15 000 — 30 000 EPS при 200 поисковых фильтров и директив корреляции
Производительность 3 000 — 5 000 EPS при 200 поисковых фильтров и директив корреляции
Аппаратные платформы включены в ключевые отраслевые реестры:
Реестр промышленной продукции, произведенной на территории Российской Федерации (Минпромторг России)
Единый реестр российской радиоэлектронной продукции (Минпромторг России)
