Структура программы

KOMRAD включает в себя подсистемы, которые разворачиваются на серверной части продукта, базы данных и службы сбора событий, устанавливаемых на некоторых типах источников событий информационной безопасности (узлы под управлением ОС Windows).

В зависимости от типа лицензии, компоненты могут размещаться как на одном сервере, так и на нескольких, что позволяет внедрять KOMRAD в территориально-распределенных подразделениях с возможностью, как централизованного управления, так и автономной работы подразделений при работе с инцидентами.

При автоматической установке с использованием инсталлятора архитектурная схема системы имеет вид:

Службы

Функционал KOMRAD реализуется набором служб, разворачиваемых на серверной части, представлены в таблице ниже.

Table 1. Службы KOMRAD

Подсистема

Имя службы

Описание

Коллекторы:

Syslog

komrad-syslog-collector.service

Агент журнала событий Windows (WMI)

Komrad WMI Agent

Файловый коллектор

komrad-file-collector.service

SQL

komrad-sql-collector.service

xFlow (sFlow, NetFlow v5/v9)

komrad-xflow-collector.service

SNMP

komrad-snmp-collector.service

HTTP

komrad-http-collector.service

Подсистема предназначена для сбора событий по различным протоколам и стандартам. Полученные события обрабатываются в соответствии с правилами нормализации

Процессор

komrad-processor.service

Подсистема предназначена для обогащения, фильтрации и индексации событий безопасности

Сервер

komrad-server.service

Подсистема предназначена для агрегирования действий других подсистем и маршрутизации уведомлений

Менеджер инцидентов

komrad-incident-manager.service

Подсистема предназначена для управления инцидентами

Диспетчер корреляции

komrad-correlation-dispatcher.service

Подсистема предназначена для управления директивами корреляции, которые отвечают за обнаружение, идентификацию и регистрацию инцидентов

Реактор

komrad-reactor.service

Подсистема предназначена для запуска скриптов реагирования на инцидент

Сканер

komrad-scanner.service

Подсистема предназначена для управления активами

Сервер авторизации

pauth-server.service

Подсистема предназначена для управления доступом к функционалу программного комплекса

Интеграционная шина

komrad-bus.service

Подсистема предназначена для передачи событий и прочей информации между подсистемами KOMRAD

Объектное хранилище

komrad-s3.service

Подсистема предназначена для резервного копирования и восстановления событий, инцидентов, правил корреляции и фильтров

Также для функционирования KOMRAD требуется внешнее ПО, указанное в след. таблице:

Table 2. Внешнее ПО
Подсистема	Имя службы	Описание
СУБД PostgreSQL	postgresql.service	Подсистема предназначена для хранения настроек, инцидентов, директив, а также данных системы авторизации и активов
СУБД ClickHouse	clickhouse-server.service	Подсистема предназначена для хранения данных событий
Nmap	– (является утилитой)	Подсистема обеспечивает выполнение функций по разнообразному настраиваемому сканированию IP-сетей, определение состояния объектов сканируемой сети (портов и соответствующих им служб)

Базы данных

При установке KOMRAD создаются и используются базы данных, представленные в след. таблице.

Table 3. Базы данных KOMRAD
Имя базы данных	СУБД	Описание
БД «komrad_events»	ClickHouse	База данных предназначена для хранения индексов событий, нормализованных и исходных событий
БД «komrad-preferences»	PostgreSQL	База данных предназначена для хранения обнаруженных, идентифицированных и зарегистрированных инцидентов и директив (правил) корреляции, а также для хранения настроек конфигурации коллекторов, плагинов, рассылок, конфигурации виджетов, ГосСОПКА, push-уведомлений, правил фильтров
БД «pauth-preferences»	PostgreSQL	База данных предназначена для хранения данных системы авторизации
БД «scanner»	PostgreSQL	База данных предназначена для хранения данных об активах