КОМРАД SIEM

высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия;

нормализация — приведение событий к внутренней структуре события;

автоматическая индексация событий;

визуальный конструктор правил фильтрации событий;

возможность разработки кастомизированных правил фильтрации на языке Lua.

визуальный конструктор директив корреляции;

агрегация инцидентов;

уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и по электронной почте;

выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты;

история генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование;

назначение ответственного.

горизонтальное: установка на отдельные узлы в сети следующих компонентов системы – коллектор (сбор, фильтрация и нормализация событий), процессор (обработка и регистрация событий), хранилище (хранение событий), коррелятор (корреляция событий), главный узел (управления системой);

вертикальное: возможна передача инцидентов из KOMRAD Enterprise SIEM нижнего уровня в KOMRAD Enterprise SIEM верхнего уровня.

отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.;

создание дашбордов для управления активами;

формирование отчётов.

сбор событий по протоколам Syslog, SNMP, SQL, FTP, SFTP, WMI, SSH, xFlow, HTTP;

автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX;

возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий информационной безопасности;

поддержка Elastic Common Schemа;

широкий спектр поддерживаемых отечественных СЗИ;

предустановленные виджеты для визуального анализа данных;

хранилище событий на основе ClickHouse;

визуальный конструктор правил фильтрации и корреляции событий;

возможность создания произвольных правил фильтрации событий на языке Lua;

возможность распределенной установки компонентов системы и масштабирования решения;

предустановленные правила корреляции;

управление инцидентами ИБ;

возможность интеграции с внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в CEF;

поддерживаются следующие среды функционирования: Ubuntu 20.04 LTS, Astra Linux SE, ОС “ОСнова”.

руководящего документа «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (ФСТЭК России 2020) — по 4 уровню доверия и технических условиях НПЕШ.60010-0ЗТУ при выполнении указаний по эксплуатации, приведенных в формуляре НПЕШ.60010-0З 30.