Структура системы
KOMRAD Enterprise SIEM включает в себя подсистемы, которые разворачиваются на серверной части продукта, базы данных и службы сбора событий, устанавливаемые на некоторых типах источников событий информационной безопасности (узлы под управлением ОС Windows).
В зависимости от типа лицензии, компоненты могут размещаться как на одном сервере, так и на нескольких, что позволяет внедрять KOMRAD Enterprise SIEM в территориально-распределенных подразделениях с возможностью как централизованного управления, так и автономной работы подразделений при работе с инцидентами.
При автоматической установке с использованием инсталлятора архитектурная схема системы имеет вид:
Службы
Функционал KOMRAD Enterprise SIEM реализуется набором служб, разворачиваемых на серверной части, представлены в таблице ниже.
| Подсистема | Имя службы | Описание | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Коллекторы:
|
Подсистема предназначена для сбора событий по различным протоколам и стандартам. Полученные события обрабатываются в соответствии с правилами нормализации |
|||||||||||||||
Процессор |
komrad-processor.service |
Подсистема предназначена для обогащения, фильтрации и индексации событий безопасности |
||||||||||||||
Сервер |
komrad-server.service |
Подсистема предназначена для агрегирования действий других подсистем и маршрутизации уведомлений |
||||||||||||||
Менеджер инцидентов |
komrad-incident-manager.service |
Подсистема предназначена для управления инцидентами |
||||||||||||||
Диспетчер корреляции |
komrad-correlation-dispatcher.service |
Подсистема предназначена для управления директивами корреляции, которые отвечают за обнаружение, идентификацию и регистрацию инцидентов |
||||||||||||||
Реактор |
komrad-reactor.service |
Подсистема предназначена для запуска скриптов реагирования на инцидент |
||||||||||||||
Сканер |
komrad-scanner.service |
Подсистема предназначена для управления активами |
||||||||||||||
Сервер авторизации |
pauth-server.service |
Подсистема предназначена для управления доступом к функционалу программного комплекса |
||||||||||||||
Интеграционная шина |
komrad-bus.service |
Подсистема предназначена для передачи событий и прочей информации между подсистемами KOMRAD |
||||||||||||||
Объектное хранилище |
komrad-s3.service |
Подсистема предназначена для резервного копирования и восстановления событий, инцидентов, правил корреляции и фильтров |
||||||||||||||
Также для функционирования KOMRAD Enterprise SIEM требуется внешнее ПО, указанное в след. таблице:
| Подсистема | Имя службы | Описание |
|---|---|---|
СУБД PostgreSQL |
postgresql.service |
Подсистема предназначена для хранения настроек, инцидентов, директив, а также данных системы авторизации и активов |
СУБД ClickHouse |
clickhouse-server.service |
Подсистема предназначена для хранения данных событий |
Nmap |
– |
Подсистема обеспечивает выполнение функций по разнообразному настраиваемому сканированию IP-сетей, определение состояния объектов сканируемой сети (портов и соответствующих им служб) |
Базы данных
При установке KOMRAD Enterprise SIEM создаются и используются базы данных, представленные в след. таблице.
| Имя базы данных | СУБД | Описание |
|---|---|---|
БД «komrad_events» |
ClickHouse |
База данных предназначена для хранения индексов событий, нормализованных и исходных событий |
БД «komrad-preferences» |
PostgreSQL |
База данных предназначена для хранения обнаруженных, идентифицированных и зарегистрированных инцидентов и директив (правил) корреляции, а также для хранения настроек конфигурации коллекторов, плагинов, рассылок, конфигурации виджетов, ГосСОПКА, push-уведомлений, правил фильтров |
БД «pauth-preferences» |
PostgreSQL |
База данных предназначена для хранения данных системы авторизации |
БД «scanner» |
PostgreSQL |
База данных предназначена для хранения данных об активах |