KOMRAD Enterprise SIEM обеспечивает централизованный сбор событий ИБ, их идентификацию и оперативное реагирование на события ИБ.

Это позволяет эффективно выполнять требования регулирующих органов, такие как защита персональных данных, безопасность национальных информационных систем и управление критическими корпоративными информационными инфраструктурами. КОМРАД может передавать данные о событиях и инцидентах ИБ во внешние системы (например, ГосСОПКА).

Назначение KOMRAD Enterprise SIEM:

• Передача инцидентов в ГОССОПКа.
• Просмотр и анализ информации о действиях пользователей.
• Управление активами.
• Хранение событий в течение необходимого срока.
• Информирование об инцидентах и реагирование.
• Обнаружение, идентификация и регистрация инцидентов.
• Сбор, запись и хранение информации о событиях безопасности.

Функционал KOMRAD Enterprise SIEM:

1. Лог-менеджмент:
• Высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия.
• Нормализация — приведение событий к внутренней структуре события.
• Автоматическая индексация событий.
• Визуальный конструктор правил фильтрации событий.
• Возможность разработки кастомизированных правил фильтрации на языке Lua.
2. Менеджмент инцидентов:
• Визуальный конструктор директив корреляции.
• Агрегация инцидентов.
• Уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и через по электронной почте.
• Выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты.
• История генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование.
• Назначение ответственного.
3. Масштабирование:
• Горизонтальное, установка на отдельные узлы в сети следующих компонентов системы - коллектор ( сбор, фильтрация и нормализация событий), процессор ( обработка и регистрация событий), хранилище (хранение событий), коррелятор (корреляция событий), главный узел (управления системой).
• Вертикальное, возможна передача инцидентов из KOMRAD Enterprise SIEM нижнего уровня в KOMRAD Enterprise SIEM верхнего уровня.
4. Средства аналитики и визуализации, отчеты:
• Отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.
• Создание дашбордов для управления активами.
• Формирование отчётов.

Характеристики KOMRAD Enterprise SIEM:

• Кроссплатформенность - поддерживаются следующие среды функционирования: Ubuntu 20.04 LTS, Astra Linux SE, Windows Server 2016, Windows Server 2019.
• Возможность интеграции с внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в CEF.
• Управление инцидентами ИБ.
• Предустановленные правила корреляции.
• Возможность распределенной установки компонентов системы и масштабирования решения.
• Возможность создания произвольных правил фильтрации событий на языке Lua.
• Визуальный конструктор правил фильтрации и корреляции событий.
• Хранилище событий на основе PostgreSQL c TimescaleDB.
• Предустановленные виджеты для визуального анализа данных.
• Широкий спектр поддерживаемых отечественных СЗИ.
• Поддержка Elastic Common Schemа.
• Возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий информационной безопасности.
• Автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX.
• Сбор событий по протоколам Syslog , SNMP, SQL, FTP, SFTP, SSH, xFlow.

Сертификация KOMRAD Enterprise SIEM:

Проводятся сертификационные испытания в системах сертификации ФСТЭК России и Минобороны России.

КОМРАД включен в единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО). Приказ Минкомсвязи России от 18.03.2016 №112.