НПО «Эшелон» ПАК Эшелон «КОМРАД» (компоненты для лицензии Enterprise SIEM версии Base), Лицензия на дополнительный Collector тип файловый коллектор к лицензии Base версии 4, (рег. № 239)

KOMRAD Enterprise SIEM — гибкая и масштабируемая система централизованного управления событиями информационной безопасности, поддерживающая широкий спектр источников событий.

KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий ИБ, выявлять инциденты ИБ и оперативно на них реагировать. Применение комплекса позволяет эффективно выполнять требования, предъявляемые регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия. KOMRAD позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы (например, ГосСОПКА).

Особенности системы:

• Низкие требования к аппаратному обеспечению.
• Кроссплатформенность (Windows и Linux).
• Визуальный конструктор правил.
• Встроенная возможность интеграции с системой ГосСОПКА.

Технические характеристики:

• сбор событий по протоколам Syslog, SNMP, SQL, FTP, SSH, xFlow,HTTP;
• автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX;
• возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий в информационной безопасности;
• поддержка Elastic Common Schemа и схемы событий ArcSight;
• широкий спектр поддерживаемых отечественных СЗИ;
• предустановленные виджеты для визуального анализа данных; хранилище событий на основе ClickHouse;
• визуальный конструктор правил фильтрации и корреляции событий;
• возможность создания более сложных правил фильтрации событий на языке Lua;
• возможность распределённой установки компонентов системы и масштабирования решения;
• предустановленные правила корреляции;
• управление инцидентами в ИБ;
• возможность интеграции со внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в формате CEF;
• выпуск пакетов экспертиз для выявления актуальных инцидентов в информационной безопасности;
• работа в средах Astra Linux Special Edition 1.6, 1.7, ОСОН «ОСнова» версии 2.

Функциональные возможности

Лог-менеджмент:

• высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия;
• нормализация — приведение событий к внутренней структуре события;
• автоматическая индексация событий;
• визуальный конструктор правил фильтрации событий;
• возможность разработки кастомизированных правил фильтрации на языке Lua.

Менеджмент инцидентов:

• визуальный конструктор директив корреляции;
• агрегация инцидентов;
• уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и через по электронной почте;
• выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты;
• история генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование;
• назначение ответственного.

Масштабирование:

• горизонтальное: установка на отдельные узлы в сети следующих компонентов системы – коллектор (сбор, фильтрация и нормализация событий), процессор (обработка и регистрация событий), хранилище (хранение событий), коррелятор (корреляция событий), главный узел (управления системой);
• вертикальное: возможна передача инцидентов из KOMRAD Enterprise SIEM нижнего уровня в KOMRAD Enterprise SIEM верхнего уровня.

Средства аналитики и визуализации, отчеты:

• отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.;
• создание дашбордов для управления активами;
• формирование отчетов.

KOMRAD Enterprise SIEM включен в единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО). Приказ Минкомсвязи России от 18.03.2016 №112.