Структура системы

KOMRAD Enterprise SIEM включает в себя подсистемы, которые разворачиваются на серверной части продукта, базы данных и службы сбора событий, устанавливаемые на некоторых типах источников событий информационной безопасности (узлы под управлением ОС Windows).

В зависимости от типа лицензии, компоненты могут размещаться как на одном сервере, так и на нескольких, что позволяет внедрять KOMRAD Enterprise SIEM в территориально-распределенных подразделениях с возможностью как централизованного управления, так и автономной работы подразделений при работе с инцидентами.

При автоматической установке с использованием инсталлятора архитектурная схема системы имеет вид:

Архитектура

Службы

Функционал KOMRAD Enterprise SIEM реализуется набором служб, разворачиваемых на серверной части, представлены в таблице ниже.

Table 1. Службы KOMRAD Enterprise SIEM
Подсистема Имя службы Описание

Коллекторы:

Syslog

komrad-syslog-collector.service

Агент журнала событий Windows (WMI)

Komrad WMI Agent

Файловый коллектор

komrad-file-collector.service

SQL

komrad-sql-collector.service

xFlow (sFlow, NetFlow v5/v9)

komrad-xflow-collector.service

SNMP

komrad-snmp-collector.service

HTTP

komrad-http-collector.service

Подсистема предназначена для сбора событий по различным протоколам и стандартам. Полученные события обрабатываются в соответствии с правилами нормализации

Процессор

komrad-processor.service

Подсистема предназначена для обогащения, фильтрации и индексации событий безопасности

Сервер

komrad-server.service

Подсистема предназначена для агрегирования действий других подсистем и маршрутизации уведомлений

Менеджер инцидентов

komrad-incident-manager.service

Подсистема предназначена для управления инцидентами

Диспетчер корреляции

komrad-correlation-dispatcher.service

Подсистема предназначена для управления директивами корреляции, которые отвечают за обнаружение, идентификацию и регистрацию инцидентов

Реактор

komrad-reactor.service

Подсистема предназначена для запуска скриптов реагирования на инцидент

Сканер

komrad-scanner.service

Подсистема предназначена для управления активами

Сервер авторизации

pauth-server.service

Подсистема предназначена для управления доступом к функционалу программного комплекса

Интеграционная шина

komrad-bus.service

Подсистема предназначена для передачи событий и прочей информации между подсистемами KOMRAD

Объектное хранилище

komrad-s3.service

Подсистема предназначена для резервного копирования и восстановления событий, инцидентов, правил корреляции и фильтров

Также для функционирования KOMRAD Enterprise SIEM требуется внешнее ПО, указанное в след. таблице:

Table 2. Внешнее ПО
Подсистема Имя службы Описание

СУБД PostgreSQL

postgresql.service

Подсистема предназначена для хранения настроек, инцидентов, директив, а также данных системы авторизации и активов

СУБД ClickHouse

clickhouse-server.service

Подсистема предназначена для хранения данных событий

Nmap


(является утилитой)

Подсистема обеспечивает выполнение функций по разнообразному настраиваемому сканированию IP-сетей, определение состояния объектов сканируемой сети (портов и соответствующих им служб)

Базы данных

При установке KOMRAD Enterprise SIEM создаются и используются базы данных, представленные в след. таблице.

Table 3. Базы данных KOMRAD Enterprise SIEM
Имя базы данных СУБД Описание

БД «komrad_events»

ClickHouse

База данных предназначена для хранения индексов событий, нормализованных и исходных событий

БД «komrad-preferences»

PostgreSQL

База данных предназначена для хранения обнаруженных, идентифицированных и зарегистрированных инцидентов и директив (правил) корреляции, а также для хранения настроек конфигурации коллекторов, плагинов, рассылок, конфигурации виджетов, ГосСОПКА, push-уведомлений, правил фильтров

БД «pauth-preferences»

PostgreSQL

База данных предназначена для хранения данных системы авторизации

БД «scanner»

PostgreSQL

База данных предназначена для хранения данных об активах