Информационно-аналитический портал Anti-malware.ru выпустил обзор продукта, разработанного группой компаний «Эшелон», — KOMRAD Enterprise SIEM 4. В статье подробно разбирается функционал SIEM-системы, способы ее настройки, а также представлены технические характеристики, аппаратные требования, схемы лицензирования, перечислены преимущества продукта.
Один из основных разделов обзора – это демонстрация использования основных функций KOMRAD Enterprise SIEM: подключение источников, нормализация, фильтрация и корреляция событий, управление инцидентами и активами. Отдельный раздел посвящен выпускаемым производителем пакетам экспертиз. Статья снабжена множеством скриншотов, по которым можно оценить удобство интерфейса SIEM-системы.
Разработчики «Эшелон» рады сообщить отличную новость: для KOMRAD Enterprise SIEM начался выпуск пакетов экспертиз. Первый пакет экспертиз включает 108 фильтров событий и 74 директивы корреляции. Готовые фильтры и директивы корреляции значительно облегчают внедрение и использование продукта.
Первый пакет экспертиз подготовлен для эффективной работы с такими источниками событий, как: операционные системы семейства Windows, антивирусное ПО Kaspersky Security Center, СЗИ компании ИнфоТеКС (ViPNet IDS NS, ViPNet TIAS и др.).
Приведем несколько примеров. Для Windows подготовлены правила по выявлению признаков работы вредоносного ПО, попыток входа с помощью заблокированной учетной записи пользователя, очистки журналов. Созданные фильтры и директивы для ViPNet IDS дают возможность на основании уровня критичности события сразу же относить событие к инциденту и приступать к его расследованию. В случае обнаружения события от Kaspersky Security Center о срабатывании СЗИ или же об остановке задачи, будет также сформирован инцидент информационной безопасности.
Разработанные фильтры и директивы в значительной степени покрывают рекомендации НКЦКИ от 16 марта 2022 года, касающиеся первоочередных мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак.
Пакет экспертиз и инструкции по его развертыванию направляются пользователям KOMRAD Enterprise SIEM, имеющим сертификат на расширенную поддержку. Также пользователи с данным уровнем технической поддержки могут получить пакет экспертиз, отправив запрос в службу технической поддержки по адресу support@npo-echelon.ru.
В рамках программы поддержки производителей оборудования и программного обеспечения Ready For Astra Linux, реализуемой группой компаний Astra Linux, было проведено тестирование на совместимость KOMRAD Enterprise SIEM с ОС Astra Linux Special Edition версии 1.6 и подтверждена корректность совместной работы решений. SIEM-система КОМРАД версии Enterprise может быть использована для централизованного мониторинга событий информационной безопасности в системах различного масштаба, построенных на базе операционной системы Astra Linux Special Edition.
KOMRAD Enterprise SIEM – предназначен для организации эффективного мониторинга событий информационной безопасности, выявления инцидентов и оперативного реагирования на них. Продукт сертифицирован ФСТЭК России (№3498, от 13.01.2016) и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО). Приказ Минкомсвязи России от 18.03.2016 №112.
Astra Linux Special Edition – сертифицированная ОС со встроенными верифицированными средствами защиты информации. Отказоустойчивая платформа для защищенных IT-инфраструктур любого масштаба и работы с данными любой степени конфиденциальности.
Мы рады вам сообщить, что АО «НПО «Эшелон» получил сертификат ФСТЭК России на обновленный программный комплекс KOMRAD Enterprise SIEM (КОМРАД 4).
Переоформленный сертификат № 3498 (действует до 13 января 2024) удостоверяет, что программный комплекс является программным средством мониторинга результатов регистрации событий безопасности и реагирования на них и соответствует требованиям по безопасности информации, установленным в документе «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) – по 4-му уровню доверия.
КОМРАД (Комплекс Оперативного Мониторинга, Реагирования и Анализа Данных) предназначен для организации эффективного мониторинга событий информационной безопасности, выявления инцидентов и оперативного реагирования на них. Применение продукта позволяет эффективно защитить ИТ-инфраструктуру от кибератак, а также выполнить нормативные требования по защите информационных систем персональных данных (ИСПДн), государственных информационных систем (ГИС), критической информационной инфраструктуры (КИИ), финансовых систем (ГОСТ Р 57580.1-2017) и др.
Ключевые характеристики KOMRAD Enterprise SIEM:
централизованный сбор событий информационной безопасности с различных источников с помощью Syslog, WMI, FTP, SSH FTP, SNMP, sFlow, Netflow v5/v9 и SQL (MSSQL, MySQL, PostgreSQL, SQLite и др.);
автоматический разбор событий в формате CEF, Syslog (RFC 5424, RFC 3164);
возможность создания плагинов с помощью регулярных выражений (RE2) для парсинга нестандартных событий;
возможность создания фильтров с помощью визуального конструктора и с помощью скриптов на языке Lua;
автоматическое выявление инцидентов по заданным директивам корреляции, созданным с помощью визуального конструктора;
инвентаризация информационных активов, привязка событий к активам;
регистрация инцидентов и управление карточками инцидентов;
агрегирование инцидентов;
возможность запуска скрипта реакции в случае регистрации инцидента;
оповещение в реальном времени операторов системы в интерфейсе и по электронной почте;
интеграция с API ГОССОПКА;
мониторинг компонентов системы;
формирование отчетов;
аудит действий пользователей;
поддерживаемые ОС в качестве среды функционирования: Astra Linux Special Edition, версия не ниже 1.6 update 6, Debian, версия не ниже 7, Ubuntu, версия не ниже 20, ОСОН «ОСнова», версия 2.
Подробную информацию о продукте, а также о возможности пилотирования решения вы можете получить, заполнив форму на http://etecs.ru или отправив запрос по электронной почте на адрес getkomrad@npo-echelon.ru.
31-го мая 2021 директор АНО ДПО «Учебный центр «Эшелон» Александр Владимирович Дорофеев был награжден медалью Федеральной службы по техническому и экспортному контролю «За укрепление государственной системы защиты информации» II степени.
Медаль «За укрепление государственной системы защиты информации» является формой поощрения профессионалов, работающих в государственной системе защиты информации и внесших особый вклад в обеспечение защиты информации нашей страны.
Награждение медалью ФСТЭК России «За укрепление государственной системы защиты информации» II степени — это высокая оценка работы наших сотрудников, которая побуждает весь коллектив группы компаний «Эшелон» к достижению новых вершин в области информационной безопасности в интересах нашей страны.
Радостно поздравляем Александра Дорофеева с заслуженной высокой наградой!
Ранее сотрудники группы компаний «Эшелон» неоднократно награждались государственными, правительственными и ведомственными (Минобороны России и ФСТЭК России) наградами! Так, только за прошедший год за особые заслуги перед Родиной были удостоены высокими наградами пять сотрудников НПО «Эшелон», а именно: Васильев П.М., Вареница В.В., Дорофеев А.В. (дважды), Марков А.С., Шахалов И.Ю. и Цирлов В.Л.
