Обновленная версия KUMA от «Лаборатории Касперского»
«Лаборатория Касперского» представила версию 2.1 своей системы для мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform (KUMA). В KUMA 2.1 внедрен новый подход к хранению данных о событиях безопасности, реализована поддержка «1С», повышена отказоустойчивость ядра системы и расширены возможности обнаружения и реагирования на угрозы. Изменения также коснулись автообновления контента и интеграции с системой ГосСОПКА.
В KUMA 2.1 обеспечивается поддержка двух областей хранения: оперативное хранилище данных о событиях безопасности работает на ClickHouse, а архивное хранилище может быть реализовано на Hadoop. Такой подход реализуется во многих SIEM-системах, но в версии KUMA 2.1 специалисты могут создавать поисковые запросы в едином интерфейсе, не переключаясь между двумя областями данных. Это позволяет сосредоточиться на расследовании инцидента, сохранив высокую скорость работы. При этом новая область хранения не потребует дорогостоящих серверов и может быть развернута на бюджетном оборудовании: по данным компании, это позволяет уменьшить совокупную стоимость владения (ТСО) почти вдвое и сократить затраты на оборудование почти в 4 раза.
Подсистема обновления расширяет возможности реагирования на изменения ландшафта угроз и инфраструктуры. В версии KUMA 2.1 появилась возможность автоматически добавлять пакеты обновлений, необходимые для расследования инцидентов, и новые версии уже существующего контента. Это касается как правил корреляции, так и коннекторов к источникам логов. При этом скачивание новых версий коннекторов и правил корреляции может быть реализовано без прямого доступа к интернету, что гарантирует конфиденциальность обрабатываемых данных.
В версии 2.1 расширена автоматизированная поддержка сценариев с модулем ГосСОПКА. Теперь в личном кабинете пользователи могут передавать данные регулятору и получать обратную связь от представителей НКЦКИ непосредственно в чате в KUMA, а также обновлять данные об инциденте, полученные в процессе расследования. Благодаря интеграции с платформой Kaspersky CyberTrace, которая обрабатывает отчеты «Национального координационного центра по компьютерным инцидентам», исследователь может извлекать индикаторы компрометации и применять их для детектирования событий в SIEM. Это позволяет автоматизировать часть задач по работе с НКЦКИ.
Более 80% инцидентов в компаниях, отмечают в «Лаборатории Касперского», возникают из-за низкой осведомленности сотрудников в области ИТ-безопасности. Чтобы минимизировать подобные риски, в KUMA 2.1 добавлены продвинутые инструменты для реагирования, контекстного анализа и сдерживания. За счет интегрированной обучающей платформы Kaspersky Automated Security Awareness Platform (KASAP) и каталога Active Directory, который хранит сведения о действиях пользователей, специалисты могут управлять группой учетных записей в домене и пользоваться системой обучения непосредственно в интерфейсе SIEM: например, блокировать аккаунты пользователей, совершающих подозрительные действия, инициировать смену пароля, управлять членством учетной записи пользователя в группах AD, просматривать информацию о курсах сотрудников или записывать их на новые тренинги.
В релиз KUMA 2.1 также вошел ряд других доработок, добавленных на основе отзывов и пожеланий заказчиков.