Эшелон

KOMRAD Enterprise SIEM

АО «НПО «Эшелон» специализируется на комплексном обеспечении информационной безопасности.

Основными направлениями деятельности являются:

  • проектирование, внедрение и сопровождение комплексных систем обеспечения информационной безопасности;
  • сертификация программных и программно-аппаратных средств;
  • аттестация объектов информатизации, в том числе защищенных помещений, автоматизированных рабочих мест, локальных вычислительных сетей;
  • лицензирование деятельности в области создания средств защиты информации;
  • проведение анализа защищенности компьютерных систем;
  • аудит информационной безопасности организаций;
  • проектирование и аудит систем управления (менеджмента) информационной безопасностью;
  • разработка стратегий, политик, стандартов и процедур по обеспечению информационной безопасности, профилей защиты, заданий по безопасности;
  • обучение сотрудников компаний по вопросам обеспечения информационной безопасности;
  • поставка оборудования и средств защиты информации;
  • разработка средств защиты информации, средств анализа эффективности защиты информации и устройств (схемотехнических решений) в защищенном исполнении;
  • обеспечение технической поддержки и сопровождение поставляемых решений, систем и продуктов;
  • испытания, экспертизы, исследования в области безопасности информации;
  • оценка применяемых процедур безопасной разработки программного обеспечения;
  • выстраивание процессов безопасной разработки;
  • внедрение ГОСТ 56939-2016;
  • аудит информационной безопасности программного обеспечения, а также банковских приложений;
  • проведение анализа уязвимостей в соответствии с требованиями 382-П, 683-П, 684-П ЦБ РФ, а также оценки соответствия требованиям профилей защиты ЦБ РФ ;
  • проверка и внедрение процедур безопасной разработки программного обеспечения.

Сайт: npo-echelon.ru

Описание продукта

KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий ИБ, выявлять инциденты ИБ и оперативно на них реагировать. Применение комплекса позволяет эффективно выполнять требования, предъявляемые регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия. KOMRAD позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы (например, ГосСОПКА)

Функциональные возможности

Управление событиями

  • высокопроизводительный сбор событий ИБ в инфраструктуре масштаба предприятия
  • нормализация — приведение событий к внутренней структуре события
  • автоматическая индексация событий
  • визуальный конструктор правил фильтрации событий
  • возможность разработки кастомизированных правил фильтрации на языке Lua

Менеджмент инцидентов:

  • визуальный конструктор директив корреляции
  • агрегация инцидентов
  • уведомление о факте регистрации инцидента как в интерфейсе пользователя, так и по электронной почте
  • выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты
  • история генерации инцидента показывает всю последовательность действий коррелятора и сопутствующую информацию, что значительно упрощает расследование
  • назначение ответственного

Масштабирование:

  • горизонтальное: установка на отдельные узлы в сети следующих компонентов системы – коллектор (сбор, фильтрация и нормализация событий), процессор (обработка и регистрация событий), хранилище (хранение событий), коррелятор (корреляция событий), главный узел (управления системой)
  • вертикальное: возможна передача инцидентов из KOMRAD нижнего уровня в KOMRAD верхнего уровня

Средства аналитики и визуализации, отчеты:

  • отображение данных событий в виде графиков и диаграмм: линейные, столбчатые, круговые, радиальные и др.
  • создание дашбордов для управления активами
  • формирование отчётов

Демонстрационная среда

Демонстрационный стенд представляет собой три виртуальные машины - сервер с платформой и клиентские машины для сбора событий по разным протоколам. Клиентские машины работают под управлением ОС Ubuntu Linux и Windows 2016 Server. Сервер KOMRAD Enterprise SIEM работает на Ubuntu 20.4. Демонстрационный стенд развёрнут в виртуальной среде и обеспечен минимальными ресурсами для комфортной работы с используемыми сервисами.

Описание сценария демонстрации

  • сбор событий по протоколам Syslog, SNMP, WMI, SFTP, SSH
  • автоматическая нормализация событий в различных форматах
  • возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий информационной безопасности
  • поддержка Elastic Common Schemа
  • предустановленные виджеты для визуального анализа данных
  • хранилище событий на основе ClickHouse
  • визуальный конструктор правил фильтрации и корреляции событий
  • возможность создания произвольных правил фильтрации событий на языке Lua
  • возможность распределенной установки компонентов системы и масштабирования решения
  • предустановленные правила корреляции
  • управление инцидентами ИБ
  • возможность интеграции с внешними системами: поддержка API ГосСОПКА, передача карточки инцидентов в CEF, отправка сообщений в JetSignal