Komrad Enterprise SIEM
Комрад
Система централизованного управления событиями информационной безопаности

Продукт
Разработчики: НПО Эшелон АО
Дата последнего релиза: 2023/10/12
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

«КОМРАД» – система централизованного управления событиями информационной безопасности, совместимая с отечественными средствами защиты информации.

Применение «КОМРАД» позволяет осуществлять централизованный мониторинг событий ИБ, выявлять инциденты ИБ, оперативно реагировать на возникающие угрозы, выполнить требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем.

2023

Интеграция с «СКДПУ НТ»

Компании «Эшелон Технологии» и «АйТиБастион» провели интеграцию своих продуктов — решений KOMRAD Enterprise SIEM и «СКДПУ НТ». Теперь при помощи системы управления событиями информационной безопасности KOMRAD Enterprise SIEM 4.3 можно получить сведения об инцидентах, зарегистрированных в системе контроля действий привилегированных пользователей «СКДПУ НТ». Об этом 12 октября 2023 года сообщили представители компании «АйТи Бастион».

KOMRAD Enterprise SIEM

По их словам, при использовании системы управления событиями информационной безопасности KOMRAD Enterprise SIEM 4.3 в оперативном режиме можно отслеживать информацию об ИБ-инцидентах, зарегистрированных в системе контроля действий пользователей с привилегированными правами доступа «СКДПУ НТ», а именно — «СКДПУ НТ Мониторинг и аналитика» и «СКДПУ НТ Шлюз доступа».

Пользователи KOMRAD Enterprise SIEM 4.3 могут получать карточки событий из «СКДПУНТ», фильтровать их и создавать директивы на основе фильтров. Клиенты с расширенной технической поддержкой KOMRAD Enterprise SIEM имеют возможность использовать дополнительные пакеты экспертиз с 30 готовыми фильтрами и 30 директивами корреляции под определенный источник событий.TAdviser выпустил Карту российского рынка цифровизации строительства 25.8 т

KOMRADEnterpriseSIEM — гибкая и масштабируемая отечественная система централизованного управления событиями информационной безопасности от компании «Эшелон». Позволяет осуществлять сбор ИБ-инцидентов и оперативно на них реагировать. Применение комплекса позволяет выполнять требования, предъявляемые регуляторами к защите персональных данных, обеспечению безопасности государственных ИТ-систем и контролю критической информационной инфраструктуры компаний.

«СКДПУНТ» — собственная разработка российской компании «АйТиБастион», комплексный продукт, реализующий полную функциональность PAM-систем (Privileged Access Management). Позволяет обеспечивать контролируемый удаленный доступ к ИТ-инфраструктуре для всех пользователей с привилегированными правами и доступом.

«
Для нас подтверждение технологической совместимости РАМ-платформы «СКДПУНТ» с системой централизованного управления событиями KOMRAD Enterprise SIEM — очередной важный шаг в реализации потребностей многих наших заказчиков, которые должны использовать в своих ИТ-периметрах именно российские решения. Данные возможности, которые получают заказчики благодаря нашим совместным партнерским усилиям, позволяют им своевременно выявлять и решать возникающие ИБ- проблемы, корректировать планы, оптимизировать использование ресурсов и автоматизировать бизнес-процессы.

отметил Дмитрий Михеев, технический директор компании «АйТиБастион»
»

«
Возможность интеграции KOMRAD Enterprise SIEM с РАМ-платформой «СКДПУ НТ» открывает для специалистов по ИБ дополнительные возможности по контролю действий привилегированных пользователей.

прокомментировал Александр Дорофеев, генеральный директор компании «ЭшелонТехнологии»
»

Возможность поставки в составе платформы Ampire

Компании «Перспективный мониторинг» (ГК «ИнфоТеКС») и Группа компаний «Эшелон» достигли соглашения о технологическом партнерстве, в рамках которого линейка средств защиты информации «Эшелон» теперь может поставляться заказчикам в составе платформы Ampire. Об этом ГК «ИнфоТеКС» сообщила 13 июля 2023 года. На июль 2023 года в платформу Ampire встроены три продукта разработки «Эшелон»: система централизованного управления ИБ-событиями KOMRAD Enterprise SIEM, система комплексного анализа защищенности «Сканер-ВС», межсетевой экран и система обнаружения вторжений «Рубикон». Подробнее здесь.

2019

Совместимость с Red OS

13 ноября 2019 года «РЕД СОФТ» сообщил, что совместно с компанией «Эшелон» подтвердили совместимость и корректность работы программного продукта KOMRAD Enterprise SIEM (производства «Эшелон») под управлением операционной системы РЕД ОС (производства РЕД СОФТ).

«
РЕД ОС - российская операционная система с большим списком совместимых отечественных продуктов. Этот факт позволяет РЕД СОФТ предложить рынку импортонезависимые комплексные решения на базе нашей ОС, пригодные для внедрения в самых разных сферах. Благодаря сотрудничеству с «Эшелон» мы еще больше расширили функционал РЕД ОС,
прокомментировал Рустамов Рустам, заместитель генерального директора РЕД СОФТ
»

«
Поддержка РЕД ОС SIEM-системой КОМРАД серьезно расширяет возможности по современному выявлению попыток организации целенаправленных атак на объекты критической информационной инфраструктуры нашей страны».
сказал заместитель генерального директора АО «НПО «Эшелон», Александр Дорофеев
»

Сертификат совместимости с ОС Astra Linux Special Edition

29 мая 2019 года компания АО «НПО «Эшелон» объявила о том, что SIEM-система «КОМРАД» получила сертификат совместимости с ОС Astra Linux Special Edition.

По информации компания, в рамках программы поддержки производителей оборудования и программного обеспечения Ready For Astra Linux, реализуемой ГК Astra Linux, было проведено тестирование на совместимость SIEM-системы «КОМРАД» с защищенной операционной системой Astra Linux Special Edition и подтверждена корректность совместной работы решений. SIEM-система «КОМРАД» используется для централизованного мониторинга событий информационной безопасности в информационных системах, построенных на базе операционной системы Astra Linux Special Edition.

SIEM-система «КОМРАД» позволяет собирать и анализировать различные события информационной безопасности ОС Astra Linux Special Edition: неуспешные попытки авторизации пользователей, ввод подозрительных команд, запуск сервисов и др. В случае выявления признаков инцидента (срабатывания директив корреляции) происходит оповещение администраторов и запускается процесс реагирования.

По результатам испытаний SIEM-система «КОМРАД» получила статус Software ready for Astra Linux Special Edition.

SIEM-система «КОМРАД» сертифицирована ФСТЭК России и Минобороны России и может использоваться для обеспечения безопасности информационных систем персональных данных, государственных информационных систем, критической информационной инфраструктуры.

2018

Поддержка масштабирования и отсутствие ограничений на производительность

12 ноября 2018 года группа компаний «Эшелон» представила обновленную систему управления событиями информационной безопасности КОМРАД, поддерживающую возможность масштабирования и включающую ряд дополнительных возможностей.

В представленной версии SIEM-системы:

  • появилась возможность разнесения компонентов системы на отдельные узлы (лицензия Enterprise): коллектор, процессор, коррелятор и узел управления;
  • появилась возможность фильтрации событий информационной безопасности и ее тонкой настройки;
  • добавлены протоколы сбора событий: NetFlow v5/v7;
  • расширены возможности средств аналитики и визуализации данных: появилась функция редактирования диаграмм и создания на их основе шаблонов;
  • изменена схема лицензирования, производительность системы определяется возможностями «железа», а не лицензионными ограничениями, подчеркнул разработчик.

Со слов разработчика, программа лицензирования обновленной SIEM-системы КОМРАД предусматривает три вида лицензий: Base, All-in-one и Enterprise. Лицензия Base подразумевает развертывание на одном узле и поддержку базовых протоколов сбора событий: syslog и ossec, в лицензии All-in-one широкий и постоянно пополняемый список протоколов сбора событий, а лицензия Enterprise позволяет разнести компоненты системы на отдельные узлы.

Обновленный и масштабируемый КОМРАД поддерживает возможность управления всеми модулями системы из одного узла, буферизацию событий при отправке из модуля сбора в модуль хранения и обработки, а также подключение двух и более модулей корреляции к одному хранилищу, утверждает разработчик.

Возможности масштабирования SIEM-системы КОМРАД

Важные изменения коснулись и лог-менеджмента. В представленной версии появилась возможность фильтрации событий информационной безопасности и ее тонкой настройки.

Мониторинг сетевого трафика SIEM-системы КОМРАД

Разработчик отметил, что КОМРАД поддерживает широкий набор источников событий в ИТ-инфраструктуре и включает операционные системы семейств Windows и Linux, разнообразные СУБД, активное сетевое оборудование, средства защиты информации. В обновленной версии добавлены протоколы сбора событий: NetFlow v5/v7, которые позволяют собирать информацию о трафике от сетевых устройств.

Шаблоны виджетов SIEM-системы КОМРАД

В КОМРАД переработан пользовательский интерфейс системы. Основные изменения коснулись средств аналитики и визуализации. Появилась функция редактирования диаграмм и создания шаблонов. Большое количество виджетов позволяет в интуитивно понятном виде представить необходимую администратору информацию о ситуации в ИТ-инфраструктуре, считает разработчик.

Интеграция с InfoWatch Traffic Monitor

1 августа 2018 года группа компаний InfoWatch, российский разработчик комплексных решений для обеспечения информационной безопасности организаций, и группа компаний «Эшелон», специализирующаяся на комплексном обеспечении ИБ предприятий и разработке средств защиты информации и контроля защищенности, сообщили о завершении интеграции решения для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз (DLP-системы) InfoWatch Traffic Monitor с системой централизованного управления событиями информационной безопасности (SIEM-система) «Комрад». Подробнее здесь.

Сертификация Минобороны России

Система централизованного управления событиями информационной безопасности «КОМРАД» прошла инспекционный контроль в системе сертификации Минобороны России, по итогам которого был получен сертификат № 3899, действующий до 19 марта 2021 года.

Полученный сертификат подтверждает выполнение требований Приказа МО РФ, в том числе:

  • руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) – по 2 уровню контроля;
  • по соответствию реальных и декларируемых в документации функциональных возможностей.

2017

Совместимость с системой Страж NT 4.0

18 августа 2017 года компания НПО Эшелон объявила о совместимости системы защиты информации Страж NТ версии 4.0 с SIEM-системой «Комрад».

Система защиты информации от несанкционированного доступа Страж NТ 4.0 представляет собой программный комплекс средств защиты информации с использованием аппаратных идентификаторов. Продукт сертифицирован ФСТЭК России по 2 уровню контроля отсутствия НДВ, 3 классу защищенности от НСД (сертификат ФСТЭК России № 3553 действителен до 20.04.2019 г.).

СЗИ от НСД Страж NТ (версия 4.0) может применяться для комплексной защиты информационных ресурсов от несанкционированного доступа при работе в одно- и многопользовательских автоматизированных системах (АС), в государственных информационных системах (ГИС) и информационных системах персональных данных (ИСПДн) в соответствии с требованиями законодательства Российской Федерации.

В свою очередь, «Комрад» – система централизованного управления событиями информационной безопасности, совместимая с отечественными средствами защиты информации. Применение «Комрад» позволяет осуществлять централизованный мониторинг событий ИБ, выявлять инциденты ИБ, оперативно реагировать на возникающие угрозы, выполнить требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем.

SIEM-система «Комрад» сертифицирована Минобороны России по 2 уровню контроля отсутствия НДВ (сертификат соответствия № 2315) и ФСТЭК России по 4 уровню контроля отсутствия НДВ (сертификат соответствия № 3498).

Поддержка СЗИ Страж NТ 4.0 в качестве источника событий SIEM-системы «Комрад» позволит организовывать должный контроль событий ИБ, связанных с попытками получения несанкционированного доступа к критичной информации.

Совместимость с Dallas Lock 8.0 редакций «К» и «С»

3 августа компании-разработчики «Конфидент» и НПО Эшелон объявили о подписании сертификата совместимости, подтверждающего корректность совместной работы СЗИ Dallas Lock 8.0 редакций «К» и «С» с системой управления событиями информационной безопасности Комрад 2.0.

СЗИ Dallas Lock 8.0 — сертифицированная система защиты информации, предназначенная для защиты конфиденциальной информации (редакции «К» и «С») и информации, составляющей государственную тайну до уровня «совершенно секретно» включительно (редакция «С»). Используется для защиты информации, содержащейся в ГИС всех классов защищенности, в АС до класса защищенности 1Б включительно, в АСУ ТП до 1 класса защищенности включительно, а также для обеспечения всех уровней защищенности ПДн. Dallas Lock версии 8.0 работает на автономных АРМ и в сложных сетевых инфраструктурах. Поддерживает работу в ОС семейства Windows (от Windows XP до Windows 10).

СЗИ Dallas Lock сертифицирована ФСТЭК России:

  • в версии 8.0-K — по 4 уровню контроля отсутствия НДВ, 5 классу защищенности от НСД, 3 классу защищенности МЭ, 4 классу защиты СОВ, 4 классу защиты СКН (сертификат ФСТЭК России № 2720 от 25.09.2012 г., действителен до 25.09.2018 г.);
  • в версии 8.0-C — по 2 уровню контроля отсутствия НДВ, 3 классу защищенности от НСД, 3 классу защищенности МЭ, 4 классу защиты СОВ, 2 классу защиты СКН (сертификат ФСТЭК России № 2945 от 16.08.2013 г., действителен до 16.08.2019 г.).

В свою очередь, система Комрад совместима с отечественными средствами защиты информации. Применение Комрад позволяет осуществлять централизованный мониторинг событий ИБ, выявлять инциденты ИБ, оперативно реагировать на возникающие угрозы, выполнить требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем.

Комрад 2.0 сертифицирована:

  • Минобороны России — по 2 уровню контроля отсутствия НДВ (сертификат соответствия № 2315);
  • ФСТЭК России — по 4 уровню контроля отсутствия НДВ (сертификат соответствия № 3498).

Поддержка СЗИ Dallas Lock 8.0 в качестве источника событий SIEM-системы Комрад позволит организовывать должный контроль событий ИБ в ГИС, системах ПДн и АСУ ТП.

2016

«Комрад 2.0»

23 августа 2016 года группа компаний «Эшелон» сообщила о выпуске версии системы управления событиями информационной безопасности «Комрад 2.0».

Преимущества программного комплекса «KOMRAD Enterprise SIEM»:

  • производительность: до 20 000 EPS;
  • возможность настройки и подключения нестандартных источников событий информационной безопасности: в составе системы имеется универсальный адаптер, позволяющий подключить любой источник событий;
  • возможность масштабирования решения и создания системы мониторинга информационной безопасности любого масштаба;
  • спектр поддерживаемых отечественных СЗИ;
  • оперативное оповещение (SMS, e-mail) и реагирование на внутренние и внешние угрозы - безопасности автоматизированной системы;
  • контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности;
  • настраиваемые визуальные показатели состояния информационной системы для любого уровня сотрудников организации;

Централизованный сбор данных о событиях информационной безопасности дает возможность проводить анализ с максимальной автоматизацией процесса и оперативно реагировать на выявляемые угрозы безопасности.

Комплекс поддерживает различные типы отчетов, например: перечень объектов сети, сигналы об угрозах, список инцидентов в области безопасности, список обнаруженных уязвимостей, общее состояние сети, доступность узлов сети, сетевая статистика, отметки об устранениях найденных недостатков и др.


«Комрад 2.0» поддерживает набор источников событий в ИТ-инфраструктуре:

Особенность «Комрад 2.0» - поддержка отечественных СЗИ, возможность получать журналы событий от любого типа источника посредством универсального адаптера. Поддерживается интеграция с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (СОПКА).

Скриншот окна программы, (2016)

Разработчики заявили о переработке интерфейса системы. Виджеты в интуитивно понятном виде представляют администратору информацию о ситуации в ИТ-инфраструктуре. Правила корреляции событий создаются посредством визуального инструмента. Появилась возможность графического анализа направления компьютерной атаки.

Возросла производительность SIEM-системы: количество обрабатываемых событий в секунду (EPS) достигло 20 тыс.


Функциональные возможности

Лог-менеджмент

  • высокопроизводительный сбор событий: позволяет осуществлять централизованный сбор событий в инфраструктуре масштаба предприятия;
  • нормализация: приведение журналов всех источников к единому формату для упрощения их анализа;
  • хранение событий: в исходном («сыром») и нормализованном виде. Возможно использование исходных событий при проведении расследований инцидентов ИБ;
  • мониторинг событий в реальном времени: позволяет анализировать события, как только они поступили в систему;
  • быстрый полнотекстовый поиск: практически мгновенно позволяет найти нужное событие среди миллионов похожих за считанные мгновения;
  • фильтрация событий: осуществляется при помощи удобного конструктора для создания и выполнения запросов к базе событий;
  • визуализация событий: представление анализируемых данных в виде графиков и диаграмм (линейные, столбчатые, круговые, радиальные и др.);
  • визуальное задание границ отображения данных: диаграмма событий позволяет задать точный временной интервал для отображения событий;
  • сохранение запросов: любой запрос к базе событий можно сохранить в системе для быстрого обращения к нему в повседневной работе;
  • экспорт: любую выборку событий можно сохранить в формате PDF или CSV.

Корреляция событий

  • формирование инцидентов: при обнаружении цепочек критичных событий безопасности формируется инцидент ИБ;
  • наглядные директивы корреляции: интуитивно понятный графический конструктор директив делает процесс создания директивы легким и доступным;
  • многоуровневая корреляция: возможность задания неограниченного количества уровней и правил в конструкторе директив;
  • поддержка методики шаблонов поведения: пакеты директив корреляций отражают возможную цепь событий (аномалий), которая соответствует модели реальной атаки;
  • настраиваемая система оповещений: возможность оповещения об инцидентах различными способами (всплывающие уведомления, электронная почта, выполнение пользовательских сценариев и др.);
  • управление инцидентами: автоматическое назначение группы ответственных за инцидент лиц, система статусов и меток, настройка видимости инцидентов;

Аналитика

  • полнофункциональная подсистема визуализации: построение графиков по произвольным данным (любым полям событий), гибкая система параметров, настраиваемые информационные панели. Примеры использования: уровень событий в реальном масштабе времени, вектор угроз, оценка уровня угроз и др.;
  • контроль соответствия нормативным документам: удобная автоматизированная система контроля соответствия защищаемой информационной системы нормативным документам;
  • инструментарий расследования инцидентов: средства для построения визуальной модели инцидента, выявления аномалий и поведенческого анализа;
  • отчеты: построение отчетов в удобном для печати виде (PDF, CSV);

Масштабирование

  • возможности по масштабированию и созданию системы мониторинга информационной безопасности высокой производительности и доступности;
  • построение иерархических систем обработки событий: интеграция с элементами собственной системы: СОВ, сенсор событий, сервер корреляций, сервер управления; Интеграция с внешними системами (например, СОПКА).

Технические характеристики

  • сбор событий по протоколам Syslog (в том числе в формате CEF), Syslog-ng, SNMPv2, SNMPv3, HTTP, SQL, ODBC, WMI, FTP, SFTP, сокеты Unix/Linux, plain log, SSH, Rsync;
  • технологии: NoSQL, полнотекстовый поиск, актуальное ядро операционной системы;
  • производительность: до 20 000 EPS. 10 000 EPS на серверной платформе со следующими характеристиками: 2 CPU Intel Xeon E5 2650, ОЗУ: 32 Гб, HDD: 2 Тб.

Сертификат ФСТЭК России

НПО «Эшелон» объявила в начале 2016 года о получении сертификата ФСТЭК России на программный комплекс «KOMRAD Enterprise SIEM».

Полученный сертификат свидетельствует о том, что программный комплекс «KOMRAD Enterprise SIEM» является программным средством мониторинга результатов регистрации событий безопасности и реагирования на них, соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 4 уровню контроля и технических условий при выполнении указаний по эксплуатации, приведенных в формуляре НПЕШ.60010-03 30.

Программный комплекс «KOMRAD Enterprise SIEM» ранее был также сертифицирован Минобороны России и имеет сертификат №2315, подтверждающий выполнение требований Приказа МО РФ, в том числе:

  • руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 2 уровню контроля (НДВ-2);
  • требованиям по соответствию реальных и декларируемых в документации функциональных возможностей.

Сертификат ГОСТ Р ИСО 27001

НПО «Эшелон» объявил в апреле 2016 года о расширении функционала комплаенс-модуля SIEM-системы «КОМРАД»: теперь с помощью системы возможно осуществлять контроль соответствия национальному стандарту по менеджменту информационной безопасности ГОСТ Р ИСО 27001.

Также комплекс «КОМРАД» имеет сертификаты Минобороны России №2315, ФСТЭК России №3498 и включен в единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО). Приказ Минкомсвязи России от 18.03.2016.



РЕШЕНИЕ НА БАЗЕ (1) СМ. ТАКЖЕ (11)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год