Структура системы
KOMRAD Enterprise SIEM включает в себя подсистемы, которые разворачиваются на серверной части продукта, базы данных и службы сбора событий, устанавливаемые на некоторых типах источников событий информационной б�езопасности (узлы под управлением ОС Windows).
В зависимости от типа лицензии, компоненты могут размещаться как на одном сервере, так и на нескольких, что позволяет внедрять KOMRAD Enterprise SIEM в территориально-распределенных подразделениях с возможностью как централизованного управления, так и автономной работы подразделений при работе с инцидентами.
При автоматической установке с использованием инсталлятора архитектурная схема системы имеет вид:
Службы
Функционал KOMRAD Enterprise SIEM реализуется набором служб, разворачиваемых на серверной части, представлены в таблице ниже.
| Подсистема | Имя службы | Описание |
|---|---|---|
| Коллекторы: | ||
| Syslog | komrad-syslog-collector.service | Подсистема предназначена для сбора событий по различным протоколам и стандартам. Полученные события обрабатываются в соответствии с правилами нормализации |
| Агент журнала событий Windows (WMI) | Komrad WMI-Agent | |
| Файловый коллектор | komrad-file-collector.service | |
| SQL | komrad-sql-collector.service | |
| xFlow (sFlow, NetFlow v5/v9) | komrad-xflow-collector.service | |
| SNMP | komrad-snmp-collector.service | |
| HTTP | komrad-http-collector.service | |
| Процессор | komrad-processor.service | Подсистема предназначена для обогащения, фильтрации и индексации событий безопасности |
| Сервер | komrad-server.service | Подсистема предназначена для агрегирования действий других подсистем и маршрутизации уведомлений |
| Менеджер инцидентов | komrad-incident-manager.service | Подсистема предназначена для управления инцидентами |
| Диспетчер корреляции | komrad-correlation-dispatcher.service | Подсистема предназначена для управления директивами корреляции, которые отвечают за обнаружение, идентификацию и регистрацию инцидентов |
| Реактор | komrad-reactor.service | Подсистема предназначена для запуска скриптов реагирования на инцидент |
| Сканер | komrad-scanner.service | Подсистема предназначена для управления активами |
| Сервер авторизации | pauth-server.service | Подсистема предназначена для управления доступом к функционалу программного комплекса |
| Интеграционная шина | komrad-bus.service | Подсистема предназначена для передачи событий и прочей информации между подсистемами KOMRAD |
| Объектное хранилище | komrad-s3.service | Подсистема предназначена для резервного копирования и восстановления событий, инцидентов, правил корреляции и фильтров |
Также для функционирования KOMRAD Enterprise SIEM требуется внешнее ПО, указанное в следующей таблице:
| Подсистема | Имя службы | Описание |
|---|---|---|
| СУБД PostgreSQL | postgresql.service | Подсистема предназначена для хранения настроек, инцидентов, директив, а также данных системы авторизации и акт�ивов |
| СУБД ClickHouse | clickhouse-server.service | Подсистема предназначена для хранения данных событий |
| Nmap | – (является утилитой) | Подсистема обеспечивает выполнение функций по разнообразному настраиваемому сканированию IP-сетей, определение состояния объектов сканируемой сети (портов и соответствующих им служб) |
Базы данных
При установке KOMRAD Enterprise SIEM создаются и используются базы данных, представленные в следующей таблице.
| Имя базы данных | СУБД | Описание |
|---|---|---|
| БД «komrad_events» | ClickHouse | База данных предназначена для хранения индексов событий, нормализованных и исходных событий |
| БД «komrad-preferences» | PostgreSQL | База данных предназначена для хранения обнаруженных, идентифицированных и зарегистрированных инцидентов и директив (правил) корреляции, а также для хранения настроек конфигурации коллекторов, плагинов, рассылок, конфигурации виджетов, ГосСОПКА, push-уведомлений, правил фильтров |
| БД «pauth-preferences» | PostgreSQL | База данных предназначена для хранения данных системы авторизации |
| БД «scanner» | PostgreSQL | База данных предназначена для хранения данных об активах |