Компания «Эшелон» выпустила новую версию системы управления событиями информационной безопасности KOMRAD Enterprise SIEM – 4.3. Релиз включает в себя обширный список новых функций, улучшений и исправлений.

 KOMRAD Enterprise SIEM – 4.3 стал удобнее, благодаря:

  • Новому оптимизированному инсталлятору, который сократил установку продукта до считанных минут.
  • Появлению возможности создания поисковых запросов (фильтров) напрямую из карточки события, а также заведения пользовательских полей нормализации.
  • Обновленному SNMP-коллектору, в котором доработана поддержка протоколов SNMP v1, v2, v3 и появилась возможность автоматического сбора идентификаторов объектов (OID).
  • Обновленному модулю интеграции с ГосСОПКА, в котором появилась возможность кастомизации в случае изменения API ГосСОПКА, а также добавления промежуточных сертификатов, улучшена валидация ошибок.
  • Появлению информационного портала с документацией и видеоуроками, которая упростила освоение продукта пользователями: https://docs.etecs.ru/.

техника и тактика атак в директиве.png

KOMRAD Enterprise SIEM – 4.3 стал производительнее:

  • До 10 раз ускорены процессы фильтрации и поиска событий.
  • В 2 раза снижено потребление памяти под нагрузкой.
  • Снижена нагрузка на центральный процессор для коллекторов в условиях большого потока событий за счёт использования большего количества полей таксономии (нормализации).
  • Благодаря эффективным алгоритмам сжатия данных на syslog-коллекторе значительно снижена нагрузка на сеть при сборе событий с удаленных локаций.

Пример фильтра   Настрока директивы

 Функционал KOMRAD Enterprise SIEM – 4.3 расширился:

  • Появилась возможность отправки событий в KOMRAD по протоколу HTTP.
  • Добавлен ряд служебных утилит, облегчающих администрирование процессов резервного копирования и мониторинга системы.
  • Добавлены встроенные правила нормализации Suricata, Аuditd, DNS, Nginx.
  • Добавлены парсеры JSON (production), GROK (experimental).
  • Добавлена функция эвристическего анализа паттерна, которая позволяет ввести сырой текст события и получить наиболее подходящее выражение нормализатора.
  • Появилась возможность импорта активов.

В новом релизе обновлена СУБД ClickHouse до версии 22.9, включающая последние обновления. 

Расширен перечень операционных систем, поддерживаемых в качестве среды функционирования: KOMRAD Enterprise SIEM 4.3 может быть установлен на Astra Linux Special Edition 1.6, Astra Linux Special Edition 1.7, Ubuntu от 20.04.01, Debian от 9. 

В случае обновления со старой версии KOMRAD Enterprise SIEM 4.1 на новую, весь экспертный контент, а также все правила и события останутся доступными.

В настоящий момент запущены процедуры сертификации нового релиза в системах сертификации ФСТЭК России и Минобороны России.