Назначение
КОМРАД – гибкая и производительная система централизованного управления событиями информационной безопасности (SIEM), совместимая с отечественными средствами защиты информации.
Применение «КОМРАД» позволяет осуществлять централизованный мониторинг событий ИБ, выявлять и оперативно реагировать на инциденты ИБ, выполнить требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия. «КОМРАД» позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы.
Преимущества
- визуальный интерфейс для создания правил корреляции событий;
- возможность гибкой настройки и подключения нестандартных источников событий информационной безопасности;
- предустановленные виджеты;
- возможность масштабирования решения и создания системы мониторинга информационной безопасности любого масштаба;
- широкий спектр поддерживаемых отечественных СЗИ;
- оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности автоматизированной системы;
- контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности;
- предустановленные правила корреляции;
- настраиваемые визуальные показатели состояния информационной системы для любого уровня сотрудников организации.
Функциональные возможности
Лог-менеджмент:
- высокопроизводительный сбор событий позволяет осуществлять централизованный сбор событий в инфраструктуре масштаба предприятия;
- нормализация — приведение журналов всех источников к единому фор-мату для упрощения их анализа;
- хранение событий в исходном («сыром») и нормализованном виде; возможно использование исходных событий при проведении расследований инцидентов ИБ;
- мониторинг событий в реальном времени позволяет анализировать события, как только они поступили в систему;
- быстрый полнотекстовый поиск позволяет найти нужное событие среди миллионов похожих практически мгновенно;
- фильтрация событий осуществляется при помощи удобного конструктора запросов к базе событий;
- визуализация событий — представление анализируемых данных в виде графиков и диаграмм (линейные, столбчатые, круговые, радиальные и др.);
- визуальное задание границ отображения данных — диаграмма событий позволяет задать точный временной интервал для отображения событий;
- сохранение запросов — любой запрос к базе событий можно сохранить в системе для быстрого обращения к нему в повседневной работе;
- экспорт — любую выборку событий можно сохранить в форматах PDF и CSV.
Корреляция событий:
- формирование инцидентов — при обнаружении цепочек критичных событий безопасности формируется инцидент ИБ;
- наглядные директивы корреляции — интуитивно понятный графический конструктор директив делает процесс создания директивы легким и доступным;
- многоуровневая корреляция — возможность задания неограниченного количества уровней и правил в конструкторе директив;
- поддержка методики шаблонов поведения — пакеты директив корреляции отражают возможную цепь событий (аномалий), которая соответствует модели реальной атаки;
- настраиваемая система оповещений — возможность оповещения об инцидентах различными способами (всплывающие уведомления, электронная почта, выполнение пользовательских сценариев и др.);
- управление инцидентами — автоматическое назначение группы ответственных за инцидент лиц, система статусов и меток, настройка видимости инцидентов.
