KOMRAD Enterprise SIEM

KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий ИБ, выявлять инциденты ИБ и оперативно на них реагировать.

Применение KOMRAD Enterprise SIEM позволяет эффективно выполнять требования, предъявляемые регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия.

KOMRAD Enterprise SIEM позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы (ГосСОПКА , вышестоящий SIEM, SOAR и т.д.).

Особенности продукта:

• Низкие требования к аппаратному обеспечению;
• Вертикальное и горизонтальное масштабирование;
• Визуальный конструктор правил;
• Актуальные пакеты экспертизы.

• Сбор данных (сбор событий безопасности из различных источников).
  
• Нормализация данных (приведение данных к единому формату для удобства анализа).
  
• Корреляция событий (установление связей между различными событиями для выявления инцидентов).
  
• Анализ данных (возможность создавать запросы для выявления угроз по накопленным данным).
  
• Агрегация данных (процесс объединения однородных и повторяющихся данных о событиях безопасности или иных данных, получаемых в результате мониторинга ИБ).
• Фильтрация данных (выбор данных в соответствии с заданными критериями).
  
• Визуализация данных (представление данных в удобном для восприятия виде с помощью интерактивных панелей и графиков).
• Создание отчётов (генерация отчетов о состоянии безопасности для руководства и регуляторов).
  

• Работа на широком спектре ЗОС: Astra Linux SE, РЭД ОС, Альт СП;
• Использование ClickHouse в качестве БД для работы с событиями;
• Встроенные графические панели с возможностью кастомизации;
• Возможность использования Grafana для графического отображения информации (наша сборка, без телеметрии);
• Возможность распределённой установки компонентов системы и масштабирования решения;
• Удаленная установка коллекторов в графическом интерфейсе;
• Пассивный сбор событий: Syslog, xFlow;
• Активный сбор событий: SNMP, SQL, File (SFTP). HTTP;
• Агентский сбор событий: Windows, SQLite, File (Local), eBPF;
• Возможность использования коллекторов в online и offline-режимах;
• Автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX, XML, JSON и т.д.;
• Возможность передачи и обмена экспертизой через графический интерфейс;
• Возможность написания собственной логики нормализации с помощью регулярных выражений для подключения любых источников событий и приведения их событий к единому виду;
• Возможность использования эвристического анализа событий при составлении собственной нормализации;
• Поддержка Elastic Common Schemа и схемы событий ArcSight;
• Правила фильтрации составляются с помощью графического интерфейса;
• Возможность создания сложных правил фильтрации событий на языке Lua (опционально);
• Фильтрация событий происходит на коллекторах и без ретроиндексации;
• Механизм контекстного поиска по событиям;
• Использование нескольких фильтров одновременно в рамках одного поиска;
• Маппинг на матрицы атак ФСТЭК России и MITRE;
• Расширенные возможности агрегации инцидентов;
• Наличие бесплатной экспертизы;
• Широкий спектр поддерживаемых отечественных СЗИ.