KOMRAD Enterprise SIEM
Функциональные возможности
Управление событиями
- высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия
- нормализация — приведение событий к внутренней структуре события
- автоматическая индексация событий
- визуальный конструктор правил фильтрации событий
- возможность разработки кастомизированных правил фильтрации на языке Lua
Менеджмент инцидентов
- визуальный конструктор директив корреляции
- агрегация инцидентов
- уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и по электронной почте
- выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты
- история генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование
- назначение ответственного
Масштабирование
- горизонтальное: установка на отдельные узлы в сети следующих компонентов системы – коллектор (сбор, фильтрация и нормализация событий), процессор (обработка и регистрация событий), хранилище (хранение событий), коррелятор (корреляция событий), главный узел (управления системой)
- вертикальное: возможна передача инцидентов из KOMRAD нижнего уровня в KOMRAD верхнего уровня
Средства аналитики и визуализации, отчеты
- отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.
- создание дашбордов для управления активами
- формирование отчётов
Технические характеристики
- сбор событий по протоколам Syslog, SNMP, SQL, FTP, SFTP, WMI, SSH, xFlow, HTTP
- автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX
- возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий информационной безопасности
- поддержка
Elastic Common Schemа - широкий спектр поддерживаемых отечественных СЗИ
- предустановленные виджеты для визуального анализа данных
- хранилище событий на основе
ClickHouse - визуальный конструктор правил фильтрации и корреляции событий
- возможность создания произвольных правил фильтрации событий на языке Lua
- возможность распределенной установки компонентов системы и масштабирования решения
- предустановленные правила корреляции
- управление инцидентами ИБ
- возможность интеграции с внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в CEF
- поддерживаются следующие среды функционирования: Ubuntu 20.04 LTS, Astra Linux SE, ОС “ОСнова”
Сертификат
ФСТЭК России № 3498, подтверждающий выполнение требований:
- руководящего документа "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК России 2020) — по 4 уровню доверия и технических условиях НПЕШ.60010-04ТУ при выполнении указаний по эксплуатации, приведенных в формуляре НПЕШ.60010-04 30.
Сертификат действителен до 13.01.2024.
KOMRAD Enterprise SIEM включен в единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО).
Приказ Минкомсвязи России от 18.03.2016 №112