Эшелон

Cистема централизованного управления событиями информационной безопасности (SIEM) «КОМРАД»

КОМРАД – гибкая и производительная система централизованного управления событиями информационной безопасности (SIEM), совместимая с отечественными средствами защиты информации.

Применение «КОМРАД» позволяет осуществлять централизованный мониторинг событий ИБ, выявлять и оперативно реагировать на инциденты ИБ, выполнить требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия. «КОМРАД» позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы.

Преимущества

• визуальный интерфейс для создания правил корреляции событий;
• возможность гибкой настройки и подключения нестандартных источников событий информационной безопасности;
• предустановленные виджеты;
• возможность масштабирования решения и создания системы мониторинга информационной безопасности любого масштаба;
• широкий спектр поддерживаемых отечественных СЗИ;
• оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности автоматизированной системы;
• контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчётов по защищённости;
• предустановленные правила корреляции;
• настраиваемые визуальные показатели состояния информационной системы для любого уровня сотрудников организации.

Функциональные возможности

Лог-менеджмент:

• высокопроизводительный сбор событий позволяет осуществлять централизованный сбор событий в инфраструктуре масштаба предприятия;
• нормализация – приведение журналов всех источников к единому формату для упрощения их анализа;
• хранение событий в исходном («сыром») и нормализованном виде; возможно использование исходных событий при проведении расследований инцидентов ИБ;
• мониторинг событий в реальном времени позволяет анализировать события, как только они поступили в систему;
• быстрый полнотекстовый поиск позволяет найти нужное событие среди миллионов похожих практически мгновенно;
• фильтрация событий осуществляется при помощи удобного конструктора запросов к базе событий;
• визуализация событий – представление анализируемых данных в виде графиков и диаграмм (линейные, столбчатые, круговые, радиальные и др.);
• визуальное задание границ отображения данных – диаграмма событий позволяет задать точный временной интервал для отображения событий;
• сохранение запросов – любой запрос к базе событий можно сохранить в системе для быстрого обращения к нему в повседневной работе;
• экспорт – любую выборку событий можно сохранить в форматах PDF и CSV.

Корреляция событий:

• формирование инцидентов – при обнаружении цепочек критичных событий безопасности формируется инцидент ИБ;
• наглядные директивы корреляции – интуитивно понятный графический конструктор директив делает процесс создания директивы легким и доступным;
• многоуровневая корреляция – возможность задания неограниченного количества уровней и правил в конструкторе директив;
• поддержка методики шаблонов поведения – пакеты директив корреляции отражают возможную цепь событий (аномалий), которая соответствует модели реальной атаки;
• настраиваемая система оповещений – возможность оповещения об инцидентах различными способами (всплывающие уведомления, электронная почта, выполнение пользовательских сценариев и др.);
• управление инцидентами – автоматическое назначение группы ответственных за инцидент лиц, система статусов и меток, настройка видимости инцидентов.

Масштабирование:

• установка на отдельные узлы в сети следующих компонентов системы:
  • коллектор (модуль сбора, фильтрации и нормализации событий);
  • процессор (модуль хранения и обработки событий);
  • коррелятор (модуль корреляции событий);
  • главный узел (модуль управления системой);

• управление всеми модулями системы с одного узла;
• обеспечение буферизации событий информационной безопасности при отправке из модуля сбора в модуль хранения и обработки событий;
• подключение нескольких модулей корреляции к одному хранилищу событий;
• подключение нескольких модулей хранения и обработки событий к одному модулю корреляции;
• подключение к модулю управления нескольких модулей хранения и обработки событий;
• сквозной поиск событий в нескольких модулях хранения и обработки событий;
• подключение нескольких модулей сбора, фильтрации и нормализации сообщений к одному модулю хранения и обработки событий.

Средства аналитики и визуализации, отчёты:

• отображение событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.;
• отображение данных по инцидентам в графическом формате;
• конфигурирование и редактирование диаграмм;
• создание и редактирование отдельных панелей с диаграммами;
• создание и редактирование шаблонов диаграмм;
• переход к выборке хранимых событий нажатием на диаграмму;
• формирование отчётов по фильтрам (системным и пользовательским);
• формирование отчётов из состава имеющихся шаблонов в системе: по событиям и инцидентам;
• наличие оперативных графиков (дашбордов) по событиям и инцидентам;
• экспорт данных и создание отчётов в формате PDF, CSV, HTML.

Подробнее о решении на сайте АО «НПО «Эшелон»

По вопросам, связанными с решениями АО «НПО «Эшелон»: informprotect@mont.com.