KOMRAD Enterprise SIEM

высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия

нормализация — приведение событий к внутренней структуре события

автоматическая индексация событий

визуальный конструктор правил фильтрации событий

возможность разработки кастомизированных правил фильтрации на языке Lua

визуальный конструктор директив корреляции

агрегация инцидентов

уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и по электронной почте

выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты

история генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование

назначение ответственного

горизонтальное: установка на отдельные узлы в сети следующих компонентов системы – коллектор (сбор, фильтрация и нормализация событий), процессор (обработка и регистрация событий), хранилище (хранение событий), коррелятор (корреляция событий), главный узел (управления системой)

вертикальное: возможна передача инцидентов из KOMRAD нижнего уровня в KOMRAD верхнего уровня

отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.

создание дашбордов для управления активами

формирование отчётов

сбор событий по протоколам Syslog, SNMP, SQL, FTP, SFTP, WMI, SSH, xFlow, HTTP

автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX

возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий информационной безопасности

поддержка Elastic Common Schemа

широкий спектр поддерживаемых отечественных СЗИ

предустановленные виджеты для визуального анализа данных

хранилище событий на основе ClickHouse

визуальный конструктор правил фильтрации и корреляции событий

возможность создания произвольных правил фильтрации событий на языке Lua

возможность распределенной установки компонентов системы и масштабирования решения

предустановленные правила корреляции

управление инцидентами ИБ

возможность интеграции с внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в CEF

поддерживаются следующие среды функционирования: Ubuntu 20.04 LTS, Astra Linux SE, ОС “ОСнова”

руководящего документа "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК России 2020) — по 4 уровню доверия и технических условиях НПЕШ.60010-04ТУ при выполнении указаний по эксплуатации, приведенных в формуляре НПЕШ.60010-04 30.