КОМРАД – гибкая и производительная система централизованного управления событиями информационной безопасности (SIEM), совместимая с отечественными средствами защиты информации.
Проблема
Решение
Сложность анализа событий современной IT‑инфраструктуры
Осуществление сбора событий практически с любых источников, приведение их к единообразному виду, пригодному для дальнейшего анализа
Отрицание действий со стороны лиц, ответственных за нарушения ИБ
Фиксация и анализ событий для формирования доказательной базы по выявленным инцидентам
Отсутствие наглядных отчетов для руководителей
Создание настраиваемых отчетов (наглядное представление проблем) с целью периодического информирования руководящего звена в рамках комплексных отчетов служб ИБ
Что даст внедрение SIEM системы для компании
- Снизить риски возникновения угроз ИБ за счет оперативного выявления и реагирования;
- Сократить затраты и повысить производительность работы специалистов ИТ/ИБ;
- Автоматизировать процесс оценки соответствия требованиям отечественных и международных стандартов (СТО БР ИБСС, PCI DSS, ISO 27001);
- Контролировать состояние ИТ-инфраструктуры и сократить время возможных простоев;
- Оценивать эффективность имеющихся средств защиты за счет выявления причин возникновения инцидентов ИБ;
- Централизованно хранить информацию о событиях и инцидентах ИБ, с возможностью их последующего анализа.
Основной функционал и возможности
В результате обработки 100% данных организации в виде первичных записей журнала (до сотен миллионов) их количество уменьшается до нескольких активных предупреждений безопасности (воронка обработки данных). Как это происходит:
- Сбор данных.
- Определение угроз — объединяет внутренние данные с сигналами утечки.
- Корреляция — поиск превышения порогового значения в расчётах.
- Анализ.
- Сигналы — отправка уведомлений.
- Панели инструментов и визуализации — позволяют просматривать данные событий.
- Адаптивная консолидация.
- Хранение исторических данных.
- Автоматизация SOC — интеграция с другими решениями безопасности через API-интерфейсы.
Источники данных для SIEM
Большинство систем анализа сведений и наблюдения за событиями собирают данные из следующих источников:
- брандмауэры;
- антивирусное ПО;
- мобильные устройства;
- объекты сетевой инфраструктуры;
- видеонаблюдение;
- СКУД;
- DLP системы.
Расширенные SIEM могут интегрироваться с облачными службами для получения данных об облачной инфраструктуре или приложениях SaaS.