КОМРАД – гибкая и производительная система централизованного управления событиями информационной безопасности (SIEM), совместимая с отечественными средствами защиты информации.
Применение КОМРАД позволяет осуществлять централизованный мониторинг событий ИБ, выявлять инциденты ИБ, оперативно реагировать на возникающие угрозы, выполнить требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем.
КОМРАД включен в реестр российского ПО. Приказ Минкомсвязи России от 18.03.2016, имеет сертификаты Минобороны и ФСТЭК России.
Преимущества системы:
Функциональные возможности:
–высокопроизводительный сбор событий: позволяет осуществлять централизованный сбор событий в инфраструктуре масштаба предприятия,
–нормализация: приведение журналов всех источников к единому формату для упрощения их анализа,
–хранение событий: в исходном («сыром») и нормализованном виде. Возможно использование исходных событий при проведении расследований инцидентов ИБ,
–мониторинг событий в реальном времени: позволяет анализировать события, как только они поступили в систему,
–быстрый полнотекстовый поиск: практически мгновенно позволяет найти нужное событие среди миллионов похожих за считанные мгновения,
–фильтрация событий: осуществляется при помощи удобного конструктора для создания и выполнения запросов к базе событий,
–визуализация событий: представление анализируемых данных в виде графиков и диаграмм (линейные, столбчатые, круговые, радиальные и др.),
–визуальное задание границ отображения данных: диаграмма событий позволяет задать точный временной интервал для отображения событий,
–сохранение запросов: любой запрос к базе событий можно сохранить в системе для быстрого обращения к нему в повседневной работе,
–экспорт: любую выборку событий можно сохранить в формате PDF или CSV.
–формирование инцидентов: при обнаружении цепочек критичных событий безопасности формируется инцидент ИБ,
–наглядные директивы корреляции: интуитивно понятный графический конструктор директив делает процесс создания директивы легким и доступным,
–многоуровневая корреляция: возможность задания неограниченного количества уровней и правил в конструкторе директив,
–поддержка методики шаблонов поведения: пакеты директив корреляций отражают возможную цепь событий (аномалий), которая соответствует модели реальной атаки,
–настраиваемая система оповещений: возможность оповещения об инцидентах различными способами (всплывающие уведомления, электронная почта, выполнение пользовательских сценариев и др.),
–управление инцидентами: автоматическое назначение группы ответственных за инцидент лиц, система статусов и меток, настройка видимости инцидентов.
–полнофункциональная подсистема визуализации: построение графиков по произвольным данным (любым полям событий), гибкая система параметров, настраиваемые информационные панели,
–контроль соответствия нормативным документам: удобная автоматизированная система контроля соответствия защищаемой информационной системы нормативным документам,
–инструментарий расследования инцидентов: средства для построения визуальной модели инцидента, выявления аномалий и поведенческого анализа.
–отчеты: построение отчетов в удобном для печати виде (PDF, CSV).
–широкие возможности по масштабированию и созданию системы мониторинга информационной безопасности высокой производительности и доступности,
–построение иерархических систем обработки событий: интеграция с элементами собственной системы: СОВ, сенсор событий, сервер корреляций, сервер управления. Интеграция с внешними системами (например, СОПКА).