KOMRAD Enterprise SIEM

Применение KOMRAD Enterprise SIEM позволяет выполнять требования регуляторов к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры.

KOMRAD Enterprise SIEM поддерживает как установку на один сервер (all-in-one), так и распределённое развёртывание. Взаимодействие с источниками событий возможно по протоколам Syslog, SNMP, SQL, FTP, SFTP, SSH, xFlow. Для Windows разработан специальный WMI-агент.

События в форматах CEF, RFC 5424, RFC 3164, EVTX нормализуются автоматически, на случай нестандартного формата предусмотрен механизм разбора с помощью регулярных выражений (RE2).

Правила фильтрации и директивы корреляции создаются с помощью удобного визуального конструктора.

В качестве СУБД для хранения событий по информационной безопасности используется ClickHouse.

Возможности

Лог-менеджмент:

• Высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия;
• Нормализация — приведение событий к внутренней структуре события;
• Автоматическая индексация событий;
• Визуальный конструктор правил фильтрации событий;
• Возможность разработки кастомизированных правил фильтрации на языке Lua.

Менеджмент инцидентов:

• Визуальный конструктор директив корреляции;
• Агрегация инцидентов;
• Уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и через по электронной почте;
• Выполнение пользовательских сценариев реагирования (python, bash) на инциденты;
• История генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование;
• Назначение ответственного.

Масштабирование:

• Горизонтальное: установка на отдельные узлы в сети следующих компонентов системы:
  • коллектор ( сбор, фильтрация и нормализация событий),
  • процессор ( обработка и регистрация событий),
  • хранилище (хранение событий),
  • коррелятор (корреляция событий),
  • главный узел (управления системой).
  • Вертикальное: возможна передача инцидентов из KOMRAD Enterprise SIEM нижнего уровня в KOMRAD Enterprise SIEM верхнего уровня.

  Средства аналитики и визуализации, отчеты:

  • Отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.;
  • Создание дашбордов для управления активами;
  • Формирование отчётов.

  Преимущества KOMRAD Enterprise SIEM

  • Высокая производительность при минимальных требованиях к аппаратному обеспечению, возможность распределённой установки и масштабирования;
  • Интеграция со всеми отечественными СЗИ, интеграция API ГосСОПКА «из коробки», передача инцидентов в формате CEF в другие системы;
  • Визуальный графический интерфейс для создания фильтров и правил корреляции;
  • Управление инцидентами;
  • Обучение специалистов на базе собственного учебного центра.

  Соответствие законодательству

  Сертификат ФСТЭК России № 3498, подтверждающий соответствие требованиям регулятора по 4-му уровню доверия.