Структура системы
KOMRAD Enterprise SIEM включает в себя подсистемы, которые разворачиваются на серверной части продукта, базы данных и службы сбора событий, устанавливаемые на некоторых типах источников событий информационной безопасности (узлы под управлением ОС Windows).
В зависимости от типа лицензии, компоненты могут размещаться как на одном сервере, так и на нескольких, что позволяет внедрять KOMRAD Enterprise SIEM в территориально-распределенных подразделениях с возможностью как централизованного управления, так и автономной работы подразделений при работе с инцидентами.
При автоматической установке с использованием инсталлятора архитектурная схема системы имеет вид:
Службы
Функционал KOMRAD Enterprise SIEM реализуется набором служб, разворачиваемых на серверной части, представлены в таблице ниже.
Подсистема | Имя службы | Описание |
---|---|---|
Коллекторы: | ||
Syslog | komrad-syslog-collector.service | Подсистема предназначена для сбора событий по различным протоколам и стандартам. Полученные события обрабатываются в соответствии с правилами нормализации |
Агент журнала событий Windows (WMI) | Komrad WMI-Agent | |
Файловый коллектор | komrad-file-collector.service | |
SQL | komrad-sql-collector.service | |
xFlow (sFlow, NetFlow v5/v9) | komrad-xflow-collector.service | |
SNMP | komrad-snmp-collector.service | |
HTTP | komrad-http-collector.service | |
Процессор | komrad-processor.service | Подсистема предназначена для обогащения, фильтрации и индексации событий безопасности |
Сервер | komrad-server.service | Подсистема предназначена для агрегирования действий других подсистем и маршрутизации уведомлений |
Менеджер инцидентов | komrad-incident-manager.service | Подсистема предназначена для управления инцидентами |
Диспетчер корреляции | komrad-correlation-dispatcher.service | Подсистема предназначена для управления директивами корреляции, которые отвечают за обнаружение, идентификацию и регистрацию инцидентов |
Реактор | komrad-reactor.service | Подсистема предназначена для запуска скриптов реагирования на инцидент |
Сканер | komrad-scanner.service | Подсистема предназначена для управления активами |
Сервер авторизации | pauth-server.service | Подсистема предназначена для управления доступом к функционалу программного комплекса |
Интеграционная шина | komrad-bus.service | Подсистема предназначена для передачи событий и прочей информации между подсистемами KOMRAD |
Объектное хранилище | komrad-s3.service | Подсистема предназначена для резервного копирования и восстановления событий, инцидентов, правил корреляции и фильтров |
Также для функционирования KOMRAD Enterprise SIEM требуется внешнее ПО, указанное в следующей таблице:
Подсистема | Имя службы | Описание |
---|---|---|
СУБД PostgreSQL | postgresql.service | Подсистема предназначена для хранения настроек, инцидентов, директив, а также данных системы авторизации и активов |
СУБД ClickHouse | clickhouse-server.service | Подсистема предназначена для хранения данных событий |
Nmap | – (является утилитой) | Подсистема обеспечивает выполнение функций по разнообразному настраиваемому сканированию IP-сетей, определение состояния объектов сканируемой сети (портов и соответствующих им служб) |
Базы данных
При установке KOMRAD Enterprise SIEM создаются и используются базы данных, представленные в следующей таблице.
Имя базы данных | СУБД | Описание |
---|---|---|
БД «komrad_events» | ClickHouse | База данных предназначена для хранения индексов событий, нормализованных и исходных событий |
БД «komrad-preferences» | PostgreSQL | База данных предназначена для хранения обнаруженных, идентифицированных и зарегистрированных инцидентов и директив (правил) корреляции, а также для хранения настроек конфигурации коллекторов, плагинов, рассылок, конфигурации виджетов, ГосСОПКА, push-уведомлений, правил фильтров |
БД «pauth-preferences» | PostgreSQL | База данных предназначена для хранения данных системы авторизации |
БД «scanner» | PostgreSQL | База данных предназначена для хранения данных об активах |