Аннотация​

KOMRAD SIEM 4.5 хранит события в ClickHouse (база komrad_events, таблица events), где пользовательские/расширенные поля чаще всего попадают в events.custom как “плоский” JSON‑словарь. Это удобно для ingestion и гибкости, но неудобно для последующего OLAP‑анализа: по одному JSON‑полю сложно строить быстрые срезы, сравнения “устройство/пользователь/время”, профили поведения и метрики качества телеметрии.

В этой статье мы показываем проверенный приём: нормализуем custom в пары атрибут–значение и кладём их в отдельную MergeTree‑витрину через Materialized View (безопасно, без POPULATE). На этой витрине решаем 3 практических кейса:

1. аномальные логины + браузерный fingerprint (включая Fingerprint.UserAgentData.*),
2. “невозможные” перемещения/резкая смена устройства,
3. бот/скрипт‑активность по UserAgent/TLS‑параметрам.

Аннотация​

Для пользователей KOMRAD SIEM результаты анализа имеют следующие практические следствия: В начале декабря 2025 года компания Jepsen, являющаяся де-факто отраслевым стандартом в области верификации распределенных систем, опубликовала результаты аудита NATS версии 2.12.1. Поскольку NATS выступает фундаментальным компонентом транспортного слоя (KOMRAD Bus) в архитектуре нашего SIEM-решения, мы считаем необходимым провести открытый технический разбор данного отчета. В настоящей статье рассматриваются методология тестирования, выявленные аномалии в подсистеме JetStream, а также архитектурные компромиссы между производительностью и строгой линеаризуемостью данных.

Представьте: ваша IT-инфраструктура растет. Сначала было уютно — пара серверов, один поток событий. Потом появился новый отдел со своими системами. Затем вы подключили облачные сервисы. И вот, вы уже сидите посреди бушующего океана логов, которые смешались в один неразборчивый поток. Знакомая головная боль?

Мы знаем, каково это. Именно поэтому мы подготовили новое подробное руководство, которое превратит хаос в порядок.

eBPF​

eBPF коллектор создает события KOMRAD, используя технологию eBPF - технологию, позволяющую запускать сторонний код в пространстве ядра (если говорить поверхностно). В сфере информационной безопасности и, в частности, продукта KOMRAD, это значит, что благодаря eBPF можно получать информацию о событиях ядра, сетевом взаимодействии и многое другое.

Попробуем разобраться с хронологией создания KOMRAD Enterprise SIEM.

Центр кибербезопасности провёл новое R&D исследование в отношении источника S-Terra IDS.

Попробуем разобраться что нового в KOMRAD Enterprise SIEM 4.5, чем он лучше.

На днях состоялось обновление документации для продукта KOMRAD. Спешим раскрыть все секреты касательно того, как это произошло.

На форме поддержки вышла статья про перевыпуск сертификатов. Тема важная, поэтому продублируем здесь.

Часто поступают запросы, связанные с падением сервисов или коллекторов через несколько месяцев после установки. В большинстве случаев это связано с сертификатами. Давайте разберёмся в чём дело.

Это корпоративный блог проекта KOMRAD Enterprise SIEM. Здесь мы делимся свежими новостями по проекту.