KOMRAD Enterprise SIEM

KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий ИБ, выявлять инциденты ИБ и оперативно на них реагировать.

Применение KOMRAD Enterprise SIEM позволяет эффективно выполнять требования, предъявляемые регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия.

KOMRAD Enterprise SIEM позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы (ГосСОПКА, вышестоящий SIEM, SOAR и т.д.).

Преимущества:

• низкие требования к аппаратному обеспечению;
• Вертикальное и горизонтальное масштабирование;
• Визуальный конструктор правил
• Актуальные пакеты экспертизы.

Функциональные возможности:

•   сбор данных: сбор событий безопасности из различных источников
•  нормализация данных: приведение данных к единому формату для удобства анализа
•  корреляция событий: установление связей между различными событиями для выявления инцидентов
•  анализ данных: возможность создавать запросы для выявления угроз по накопленным данным
•  агрегация данных: процесс объединения однородных и повторяющихся данных о событиях безопасности или иных данных, получаемых в результате мониторинга ИБ
•  фильтрация данных: выбор данных в соответствии с заданными критериями
•  визуализация данных: представление данных в удобном для восприятия виде с помощью интерактивных панелей и графиков
•  оздание отчетов: генерация отчетов о состоянии безопасности для руководства и регуляторов

Технические характеристики

• работа на широком спектре ЗОС: Astra Linux SE, РЭД ОС, Альт СП
• использование ClickHouse в качестве БД для работы с событиями
• встроенные графические панели с возможностью кастомизации
• возможность использования Grafana для графического отображения информации (наша сборка, без телеметрии)
• возможность распределённой установки компонентов системы и масштабирования решения
• удаленная установка коллекторов в графическом интерфейсе
• пассивный сбор событий: Syslog, xFlow
• активный сбор событий: SNMP, SQL, File (SFTP). HTTP
• агентский сбор событий: Windows, SQLite, File (Local), eBPF
• возможность использования коллекторов в online и offline-режимах
• автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX, XML, JSON и т.д.
• возможность написания собственной логики нормализации с помощью регулярных выражений для подключения любых источников событий и приведения их событий к единому виду
• возможность использования эвристического анализа событий при составлении собственной нормализации
• поддержка Elastic Common Schemа и схемы событий ArcSight
•  правила фильтрации составляются с помощью графического интерфейса
• возможность создания сложных правил фильтрации событий на языке Lua (опционально)
• фильтрация событий происходит на коллекторах и без ретроиндексации
• механизм контекстного поиска по событиям
• использование нескольких фильтров одновременно в рамках одного поиска
• маппинг на матрицы атак ФСТЭК России и MITRE
• расширенные возможности агрегации инцидентов
• наличие бесплатной экспертизы
• широкий спектр поддерживаемых отечественных СЗИ
• возможность передачи и обмена экспертизой через графический интерфейс

Сертификат

ФСТЭК России №3498

Сертификат действителен до 13.01.2029.

Соответствие требованиям

KOMRAD Enterprise SIEM включен в единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО).
Приказ Минкомсвязи России от 18.03.2016 №112.

Внимание!!! Срок поставки электронной лицензии до 5 рабочих дней. Срок поставки лицензии на физическом носителе до 15 рабочих дней.