Эшелон KOMRAD Enterprise SIEM

KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор  событий ИБ, выявлять инциденты ИБ и оперативно на них реагировать. Применение комплекса позволяет эффективно  выполнять требования, предъявляемые регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия. KOMRAD позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы (например, ГосСОПКА).

KOMRAD Enterprise SIEM реализует следующие меры информационной безопасности:

• сбор, запись и хранение информации о событиях безопасности;
• обнаружение, идентификация и регистрация инцидентов;
• информирование об инцидентах и реагирование;
• хранение событий в течение необходимого срока;
• управление активами;
• просмотр и анализ информации о действиях пользователей;
• передача инцидентов в ГОССОПКа.

Преимущества

Низкие требования  к аппаратному обеспечению	Визуальный конструктор правил	Встроенная возможность интеграции  с системой ГосСОПКА

Технические характеристики

• сбор событий по протоколам Syslog, SNMP, SQL, FTP, SSH, xFlow;
• автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX; 
• возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий в информационной безопасности; 
• поддержка Elastic Common Schemа и схемы событий ArcSight; 
• широкий спектр поддерживаемых отечественных СЗИ;
• предустановленные виджеты для визуального анализа данных;
• хранилище событий на основе ClickHouse;
• визуальный конструктор правил фильтрации и корреляции событий;
• возможность создания более сложных правил фильтрации событий на языке Lua;
• возможность распределённой установки компонентов системы и масштабирования решения;
• предустановленные правила корреляции; управление инцидентами в ИБ;
• возможность интеграции со внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в формате CEF;
• выпуск пакетов экспертиз для выявления актуальных инцидентов в информационной безопасности;
• поддерживаются следующие среды функционирования: ОС Astra Linux Special Edition версии 1.6 update 6 и выше (update 6-10), Debian, версия 7, Ubuntu, версия 20, а также ОСОН «ОСнова», версия 2.

Функциональные возможности

Лог-менеджмент:

• высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия;
• нормализация — приведение событий к внутренней структуре события. ;
• автоматическая индексация событий;
• визуальный конструктор правил фильтрации событий;
• возможность разработки кастомизированных правил фильтрации на языке Lua

Менеджмент инцидентов:

• визуальный конструктор директив корреляции;
• агрегация инцидентов;
• уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и через по электронной почте;
• выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты;
• история генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование;
• назначение ответственного.

Масштабирование:

• горизонтальное: установка на отдельные узлы в сети следующих компонентов системы:

- коллектор ( сбор, фильтрация и нормализация событий);
- процессор ( обработка и регистрация событий);
- хранилище (хранение событий);
- коррелятор (корреляция событий);
- главный узел (управления системой);

• вертикальное: возможна передача инцидентов из KOMRAD Enterprise SIEM нижнего уровня в KOMRAD Enterprise SIEM верхнего уровня.

Средства аналитики и визуализации, отчеты:

• отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.;
• создание дашбордов для управления активами;
• формирование отчётов.