Перейти к основному содержимому
Версия: 4.5.X

Структура системы

KOMRAD Enterprise SIEM включает в себя подсистемы, которые разворачиваются на серверной части продукта, базы данных и службы сбора событий, устанавливаемые на некоторых типах источников событий информационной безопасности (узлы под управлением ОС Windows).

В зависимости от типа лицензии, компоненты могут размещаться как на одном сервере, так и на нескольких, что позволяет внедрять KOMRAD Enterprise SIEM в территориально-распределенных подразделениях с возможностью как централизованного управления, так и автономной работы подразделений при работе с инцидентами.

При автоматической установке с использованием инсталлятора архитектурная схема системы имеет вид:

singlenodearc

Службы

Функционал KOMRAD Enterprise SIEM реализуется набором служб, разворачиваемых на серверной части, представлены в таблице ниже.

Службы KOMRAD Enterprise SIEM
ПодсистемаИмя службыОписание
Коллекторы:
Syslogkomrad-syslog-collector.serviceПодсистема предназначена для сбора событий по различным протоколам и стандартам. Полученные события обрабатываются в соответствии с правилами нормализации
Агент журнала событий Windows (WMI)Komrad WMI-Agent
Файловый коллекторkomrad-file-collector.service
SQLkomrad-sql-collector.service
xFlow (sFlow, NetFlow v5/v9)komrad-xflow-collector.service
SNMPkomrad-snmp-collector.service
HTTPkomrad-http-collector.service
Процессорkomrad-processor.serviceПодсистема предназначена для обогащения, фильтрации и индексации событий безопасности
Серверkomrad-server.serviceПодсистема предназначена для агрегирования действий других подсистем и маршрутизации уведомлений
Менеджер инцидентовkomrad-incident-manager.serviceПодсистема предназначена для управления инцидентами
Диспетчер корреляцииkomrad-correlation-dispatcher.serviceПодсистема предназначена для управления директивами корреляции, которые отвечают за обнаружение, идентификацию и регистрацию инцидентов
Реакторkomrad-reactor.serviceПодсистема предназначена для запуска скриптов реагирования на инцидент
Сканерkomrad-scanner.serviceПодсистема предназначена для управления активами
Сервер авторизацииpauth-server.serviceПодсистема предназначена для управления доступом к функционалу программного комплекса
Интеграционная шинаkomrad-bus.serviceПодсистема предназначена для передачи событий и прочей информации между подсистемами KOMRAD
Объектное хранилищеkomrad-s3.serviceПодсистема предназначена для резервного копирования и восстановления событий, инцидентов, правил корреляции и фильтров

Также для функционирования KOMRAD Enterprise SIEM требуется внешнее ПО, указанное в следующей таблице:

Внешнее ПО
ПодсистемаИмя службыОписание
СУБД PostgreSQLpostgresql.serviceПодсистема предназначена для хранения настроек, инцидентов, директив, а также данных системы авторизации и активов
СУБД ClickHouseclickhouse-server.serviceПодсистема предназначена для хранения данных событий
Nmap
(является утилитой)
Подсистема обеспечивает выполнение функций по разнообразному настраиваемому сканированию IP-сетей, определение состояния объектов сканируемой сети (портов и соответствующих им служб)

Базы данных

При установке KOMRAD Enterprise SIEM создаются и используются базы данных, представленные в следующей таблице.

Базы данных KOMRAD Enterprise SIEM
Имя базы данныхСУБДОписание
БД «komrad_events»ClickHouseБаза данных предназначена для хранения индексов событий, нормализованных и исходных событий
БД «komrad-preferences»PostgreSQLБаза данных предназначена для хранения обнаруженных, идентифицированных и зарегистрированных инцидентов и директив (правил) корреляции, а также для хранения настроек конфигурации коллекторов, плагинов, рассылок, конфигурации виджетов, ГосСОПКА, push-уведомлений, правил фильтров
БД «pauth-preferences»PostgreSQLБаза данных предназначена для хранения данных системы авторизации
БД «scanner»PostgreSQLБаза данных предназначена для хранения данных об активах