Сертификат подтверждает выполнение требований руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 2 уровню контроля, а также по соответствию реальных и декларируемых в документации функциональных возможностей.

KOMRAD Enterprise SIEM 4.3 может использоваться в автоматизированных системах военного назначения для обработки информации, содержащей сведения, составляющие государственную тайну и имеющие степень секретности не выше «совершенно секретно».

Сертификат-по-KOMRAD.png

KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий ИБ, выявлять инциденты ИБ и оперативно на них реагировать.

Ключевые технические характеристики:

  • сбор событий по протоколам Syslog, SNMP, SQL, FTP, SSH, xFlow;
  • автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX;
  • возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий в информационной безопасности;
  • поддержка Elastic Common Schemа и схемы событий ArcSight;
  • широкий спектр поддерживаемых отечественных СЗИ;
  • предустановленные виджеты для визуального анализа данных;
  • хранилище событий на основе БД ClickHouse;
  • визуальный конструктор правил фильтрации и корреляции событий;
  • возможность создания более сложных правил фильтрации событий на языке Lua;
  • возможность распределённой установки компонентов системы и масштабирования решения;
  • предустановленные правила корреляции; управление инцидентами в ИБ;
  • возможность интеграции со внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в формате CEF;
  • выпуск пакетов экспертиз для выявления актуальных инцидентов в информационной безопасности;
  • поддерживаются следующие среды функционирования: ОС Astra Linux Special Edition версий 1.6 и 1.7.

Новая версия KOMRAD Enterprise SIEM стала более удобной за счет оптимизированного инсталлятора, появлению возможности создания поисковых запросов (фильтров) напрямую из карточки события, обновленному SNMP-коллектору, обновленному модулю интеграции с ГосСОПКА. Отдельно стоит отметить появление портала с документацией по продукту.

По сравнению с версией 4.1, KOMRAD Enterprise SIEM 4.3 стал более производительным: до 10 раз ускорены процессы фильтрации и поиска событий, в 2 раза снижено потребление памяти под нагрузкой, кроме того снижена нагрузка на центральный процессор для коллекторов, а также за счет эффективных алгоритмов сжатия данных на syslog-коллекторе снижена нагрузка на сеть при сборе событий с удаленных локаций. В новой версии появилась возможность отправки событий в KOMRAD по протоколу HTTP, добавлен ряд служебных утилит, облегчающих администрирование процессов резервного копирования и мониторинга системы. Добавлены встроенные правила нормализации Suricata, Аuditd, DNS, Nginx, а также парсеры JSON (production), GROK (experimental). Появилась функция эвристического анализа паттерна, которая позволяет ввести сырой текст события и получить наиболее подходящее выражение нормализатора, а также многое другое.