Демо KOMRAD Enterprise SIEM

KOMRAD Enterprise SIEM — Российское решение для выявления действий злоумышленников. Это гибкая и производительная система централизованного управления событиями ИБ, совместимая с отечественными СЗИ. Включено в реестр отечественного ПО.

Применение комплекса позволяет эффективно выполнять требования, предъявляемые регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия. КОМРАД позволяет отправлять данные о событиях и инцидентах ИБ во внешние системы (например, ГосСОПКА).

Ключевые возможности решения:

1. Лог-менеджмент сбор и хранение событий.

2. Обработка событий: парсинг, фильтрация и корреляция событий.

3. Аналитика (отчеты, дашборды и т. п.).

4. Управление инцидентами.

Демонстрационная среда состоит из трех виртуальных машин, развернутых в виртуальной среде лаборатории MERLION:

• Сервер приложения с веб доступом, на базе ОС Ubuntu 22.04.
• Для функционирования сервера выделено - 2 виртуальных ядра ЦПУ, 8 Гб ОЗУ и виртуальный диск объемом 100 Гб
• Источник событий №1 на базе ОС Windows Server 2019;
• Источник событий №2 на базе ОС CentOS 8.

Описание сценария

В рамках демонстрации рассматривается:

1) краткий обзор решения;

2) архитектура построения системы и ее преимущества;

3) основы работы с интерфейсом системы:

• интерфейс администратора;
• интерфейс пользователя;
• подключение источников;
• сбор событий;
• нормализация;
• стандарты;
• директивы;
• построение поисковых запросов.