КОМРАД – гибкая и производительная система централизованного управления событиями информационной безопасности, совместимая с отечественными средствами защиты информации.

Применение КОМРАД позволяет осуществлять централизованный мониторинг событий ИБ, выявлять инциденты ИБ, оперативно реагировать на возникающие угрозы, выполнить требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем.

Преимущества

• высокая производительность;
• визуальный интерфейс для создания правил корреляции событий;
• возможность гибкой настройки и подключения нестандартных источников событий информационной безопасности;
• возможность масштабирования решения и создания системы мониторинга информационной безопасности любого масштаба;
• широкий спектр поддерживаемых отечественных СЗИ;
• оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности автоматизированной системы;
• контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности;
• настраиваемые визуальные показатели состояния информационной системы для любого уровня сотрудников организации;
• интуитивно понятный интерфейс пользователя.

Функциональные возможности

Лог-менеджмент

• высокопроизводительный сбор событий: позволяет осуществлять централизованный сбор событий в инфраструктуре масштаба предприятия.
• нормализация: приведение журналов всех источников к единому формату для упрощения их анализа.
• хранение событий: в исходном («сыром») и нормализованном виде. Возможно использование исходных событий при проведении расследований инцидентов ИБ.
• мониторинг событий в реальном времени: позволяет анализировать события, как только они поступили в систему.
• быстрый полнотекстовый поиск: практически мгновенно позволяет найти нужное событие среди миллионов похожих за считанные мгновения.
• фильтрация событий: осуществляется при помощи удобного конструктора для создания и выполнения запросов к базе событий.
• визуализация событий: представление анализируемых данных в виде графиков и диаграмм (линейные, столбчатые, круговые, радиальные и др.).
• визуальное задание границ отображения данных: диаграмма событий позволяет задать точный временной интервал для отображения событий.
• сохранение запросов: любой запрос к базе событий можно сохранить в системе для быстрого обращения к нему в повседневной работе.
• экспорт: любую выборку событий можно сохранить в формате PDF или CSV

Корреляция событий

• формирование инцидентов: при обнаружении цепочек критичных событий безопасности формируется инцидент ИБ.
• наглядные директивы корреляции: интуитивно понятный графический конструктор директив делает процесс создания директивы легким и доступным.
• многоуровневая корреляция: возможность задания неограниченного количества уровней и правил в конструкторе директив.
• поддержка методики шаблонов поведения: пакеты директив корреляций отражают возможную цепь событий (аномалий), которая соответствует модели реальной атаки.
• настраиваемая система оповещений: возможность оповещения об инцидентах различными способами (всплывающие уведомления, электронная почта, выполнение пользовательских сценариев и др.).
• управление инцидентами: автоматическое назначение группы ответственных за инцидент лиц, система статусов и меток, настройка видимости инцидентов.

Аналитика

• полнофункциональная подсистема визуализации: построение графиков по произвольным данным (любым полям событий), гибкая система параметров, настраиваемые информационные панели. Примеры использования: уровень событий в реальном масштабе времени, вектор угроз, оценка уровня угроз и др.
• контроль соответствия нормативным документам: удобная автоматизированная система контроля соответствия защищаемой информационной системы нормативным документам.
• инструментарий расследования инцидентов: средства для построения визуальной модели инцидента, выявления аномалий и поведенческого анализа.
• отчеты: построение отчетов в удобном для печати виде (PDF, CSV).

Масштабирование

• широкие возможности по масштабированию и созданию системы мониторинга информационной безопасности высокой производительности и доступности.
• построение иерархических систем обработки событий: интеграция с элементами собственной системы: СОВ, сенсор событий, сервер корреляций, сервер управления. Интеграция с внешними системами (например, СОПКА).

Выполнение требований регуляторов

Технические характеристики

• сбор событий по протоколам Syslog (в том числе в формате CEF), Syslog-ng, SNMPv2, SNMPv3, HTTP, SQL, ODBC, WMI, FTP, SFTP, сокеты Unix/Linux, plain log, SSH, Rsync;
• технологии: NoSQL, полнотекстовый поиск, актуальное ядро операционной системы;
• производительность: до 20 000 EPS. 10 000 EPS на серверной платформе со следующими характеристиками: 2 CPU Intel Xeon E5 2650, ОЗУ: 32 Гб, HDD: 2 Тб.

Сертификаты

Минобороны России №2315, подтверждающий выполнение требований Приказа МО РФ, в том числе:

• руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 2 уровню контроля (НДВ-2);
• требованиям по соответствию реальных и декларируемых в документации функциональных возможностей.

ФСТЭК России №3498, подтверждающий выполнение требований:

• руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 4 уровню контроля и технических условий при выполнении указаний по эксплуатации, приведенных в формуляре НПЭШ.60010-03 30.

КОМРАД включен в единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО). Приказ Минкомсвязи России от 18.03.2016.