Эшелон / КОМРАД

Назначение

КОМРАД – гибкая и масштабируемая система централизованного управления событиями информационной безопасности, поддерживающая широкий спектр отечественных средств защиты информации.

Применение КОМРАД позволяет осуществлять централизованный мониторинг событий ИБ, выявлять и оперативно реагировать на инциденты ИБ, выполнять требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия. КОМРАД позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы (например, ГосСОПКА).

Преимущества

  • визуальный интерфейс для создания правил корреляции событий, осуществления поиска по событиям и настройки виджетов;
  • возможность гибкой настройки и подключения нестандартных источников событий информационной безопасности;
  • предустановленные виджеты;
  • возможность масштабирования решения и создания системы мониторинга информационной безопасности любого масштаба;
  • широкий спектр поддерживаемых отечественных СЗИ;
  • оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности автоматизированной системы;
  • контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности;
  • предустановленные правила корреляции;
  • управление инцидентами ИБ .

Функциональные возможности

Лог-менеджмент:

  • высокопроизводительный сбор событий в инфраструктуре масштаба предприятия;
  • нормализация — приведение журналов всех источников к единому формату для упрощения  анализа;
  • хранение событий в исходном («сыром») и нормализованном виде; возможно использование исходных событий при проведении расследований инцидентов ИБ;
  • мониторинг событий в реальном времени позволяет анализировать события сразу при поступлении  в систему;
  • быстрый полнотекстовый поиск позволяет найти нужное событие среди миллионов похожих практически мгновенно;
  • фильтрация событий осуществляется при помощи удобного конструктора запросов к базе событий;
  • визуализация событий — представление анализируемых данных в виде графиков и диаграмм (линейные, столбчатые, круговые, радиальные и др.);
  • визуальное задание границ отображения данных — диаграмма событий позволяет задать точный временной интервал для отображения событий;
  • сохранение запросов — любой запрос к базе событий можно сохранить в системе для быстрого обращения к нему в повседневной работе;
  • экспорт — любую выборку событий можно сохранить в форматах PDF и CSV.

Корреляция событий:

  • формирование инцидентов — при обнаружении цепочек критичных событий безопасности формируется инцидент ИБ;
  • наглядные директивы корреляции — интуитивно понятный графический конструктор делает процесс создания директивы легким и доступным;
  • многоуровневая корреляция — возможность задания неограниченного количества уровней и правил в конструкторе директив;
  • поддержка методики шаблонов поведения — пакеты директив корреляции отражают возможную цепь событий (аномалий), которая соответствует модели реальной атаки;
  • настраиваемая система оповещений — возможность оповещения об инцидентах различными способами (всплывающие уведомления, электронная почта, выполнение пользовательских сценариев и др.);
  • управление инцидентами — автоматическое назначение группы ответственных за инцидент лиц, система статусов и меток, настройка видимости инцидентов.

Масштабирование:

  • установка на отдельные узлы в сети следующих компонентов системы:
    • коллектор (модуль сбора, фильтрации и нормализации событий);
    • процессор (модуль хранения и обработки событий);
    • коррелятор (модуль корреляции событий);
    • главный узел (модуль управления системой);
  • управление всеми модулями системы с одного узла;
  • обеспечение буферизации событий информационной безопасности при отправке из модуля сбора в модуль хранения и обработки событий;
  • подключение нескольких модулей корреляции к одному хранилищу событий;
  • подключение нескольких модулей хранения и обработки событий к одному модулю корреляции;
  • подключение к модулю управления нескольких модулей хранения и обработки событий;
  • сквозной поиск событий в нескольких модулях хранения и обработки событий;
  • подключение нескольких модулей сбора, фильтрации и нормализации сообщений к одному модулю хранения и обработки событий.

Средства аналитики и визуализации, отчеты:

  • отображение событий в виде графиков и диаграмм: линейные, столб-чатые, круговые, радиальные и др.;
  • отображение данных по инцидентам в графическом формате;
  • конфигурирование и редактирование диаграмм;
  • создание и редактирование отдельных панелей с диаграммами;
  • создание и редактирование шаблонов диаграмм;
  • переход к выборке хранимых событий нажатием на диаграмму;
  • формирование отчётов по фильтрам (системным и пользовательским);
  • формирование отчётов из состава имеющихся шаблонов в системе: по событиям и инцидентам;
  • наличие оперативных графиков (дашбордов) по событиям и инцидентам;
  • экспорт данных и создание отчётов в формате PDF, CSV, HTML.