KOMRAD Enterprise SIEM 4.5
Обзор системы управления событиями информационной безопасности и практическое занятие: установка в VirtualBox, Astra Linux 1.7/1.8, подключение Windows 10 и Linux-источников, генерация событий и анализ в SIEM.
Зачем эта страница
На занятии мы связываем три вещи: процесс мониторинга информационной безопасности, нормативные требования к регистрации событий и практическую работу с отечественной SIEM-системой KOMRAD Enterprise SIEM.
Что делает SIEM
SIEM нужна не для «складирования логов», а для превращения событий из разных систем в материал для анализа, расследования и реагирования.
Операционные системы, сетевые устройства, средства защиты, приложения и агенты создают события.
События поступают в разных форматах и приводятся к единой внутренней структуре.
Аналитик выделяет значимые события, ищет связи и признаки инцидента.
По результатам анализа назначаются действия, фиксируется история и формируется отчет.
Нормативная рамка занятия
ГОСТы нужны нам как профессиональный язык: что считать мониторингом, что регистрировать и как связывать события с управлением компьютерными инцидентами.
| Документ | Роль на занятии |
|---|---|
| ГОСТ Р 59547-2021 | Общие положения мониторинга информационной безопасности. |
| ГОСТ Р 59548-2022 | Регистрация событий безопасности: зачем и какие события фиксировать. |
| ГОСТ Р 59709-2022 | Термины и определения по управлению компьютерными инцидентами. |
| ГОСТ Р 59710-2022 | Общие положения управления компьютерными инцидентами. |
| ГОСТ Р 59711-2022 | Организация деятельности по управлению компьютерными инцидентами. |
| ГОСТ Р 59712-2022 | Руководство по реагированию на компьютерные инциденты. |
Вывод для практики: событие само по себе еще не инцидент. Инцидент появляется после анализа, классификации, принятия решения и фиксации реакции.
KOMRAD Enterprise SIEM
По официальной странице продукта KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий ИБ, выявлять инциденты ИБ и оперативно на них реагировать.
В документации 4.5.X отдельно указаны управление событиями, менеджмент инцидентов, масштабирование, аналитика, визуализация и отчеты. Среди технических характеристик перечислены сбор событий Syslog, SNMP, SQL, FTP, WMI, SFTP, SSH, xFlow, HTTP, eBPF; нормализация CEF, RFC 5424, RFC 3164, EVTX; хранилище событий на основе ClickHouse; визуальные конструкторы правил фильтрации и корреляции.
Версия: для занятия используется документация ветки 4.5.X. В документации рядом доступна ветка 4.6.X, поэтому при самостоятельной работе проверяйте выбранную версию.
Как устроена лабораторная среда
Практика рассчитана на VirtualBox. Слушатели устанавливают VirtualBox, Extension Pack, разворачивают Astra Linux 1.7/1.8, устанавливают KOMRAD 4.5 и подключают Windows 10 как источник событий.
| VM | Назначение | ОС | Что проверяем |
|---|---|---|---|
| VM1 | KOMRAD Enterprise SIEM | Astra Linux 1.7 или 1.8 | установка, лицензия, вход в UI |
| VM2 | Windows-источник | Windows 10 | WMI-агент, журнал Security, события учетных записей |
| VM3 | Linux-источник | Astra Linux или другая Linux VM | syslog/auditd, SSH, sudo, учетные события |
Главная проверка до установки агентов: все VM должны видеть друг друга по IP. Если нет `ping KOMRAD_IP`, сначала исправляем сеть VirtualBox.
Три варианта практической работы
Изучить SIEM, документацию KOMRAD, ГОСТы и заполнить отчет без установки стенда.
Установить KOMRAD, импортировать Windows 10, поставить WMI-агент, сгенерировать события и найти их в SIEM.
Добавить вторую Linux/Astra VM, отправить тестовые события и сравнить поведение разных источников.
Только учебная VM: команды вроде wevtutil cl Security очищают журнал безопасности Windows. В реальной инфраструктуре это подозрительное действие, а в лаборатории оно используется как демонстрационный пример.
Материалы для занятия
PDF открываются в браузере и удобны для слушателей. Markdown лежит рядом как исходник, чтобы можно было быстро поправить или использовать в своих заметках.
Раздаточный конспект
Краткая вводная по мониторингу ИБ, SIEM, ГОСТам и KOMRAD Enterprise SIEM 4.5.
Памятка VirtualBox
Последовательность стенда: VirtualBox, Extension Pack, Astra Linux 1.7/1.8, Windows 10 и сеть.
Практическая работа
Три варианта выполнения: без установки, KOMRAD + Windows, KOMRAD + Windows + Linux.
Шаблон отчета
Форма, которую слушатель заполняет по итогам практики: стенд, действия, события, выводы.
Материалы вендора и справочные PDF
Соответствие требованиям ФСТЭК
Справочный PDF из локального комплекта по применимости требований регулятора.
Quickstart Guide
Краткое руководство по установке и первичной настройке из локального комплекта.
FAQ по практике
| Вопрос | Короткий ответ |
|---|---|
| Какой режим сети VirtualBox выбрать? | Главное, чтобы все VM видели друг друга по IP. Обычно удобны «Сетевой мост» или «Внутренняя сеть». |
| Astra 1.7 или 1.8? | Документация 4.5.X указывает поддержку Astra Linux SE 1.7-1.8. Используйте установщик, соответствующий полученному дистрибутиву. |
| Имя установщика отличается от примера? | Используйте фактическое имя файла: chmod +x ./ИМЯ.run, затем sudo ./ИМЯ.run. |
| Windows не видит KOMRAD? | Проверить IP, режим сети VirtualBox, firewall и ping KOMRAD_IP до установки WMI-агента. |
| События не появились сразу? | Проверить сеть, время VM, состояние агента/службы, выбранный журнал, сертификаты и включение сбора в интерфейсе. |