SIEM-решение «Лаборатории Касперского» в SOC КРОК
Компания КРОК объявила о том, что ее Security Operations Center оснащен системой SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA) – средством мониторинга информационной безопасности, в основе которого лежат современные механизмы анализа больших объемов данных о событиях ИБ. Решение входит в Реестр отечественного ПО и предназначено для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и их своевременной нейтрализации.
Как поясняют в КРОК, для компании принципиально важно то, что при разработке KUMA особое внимание уделялось функциям, востребованным у заказчиков с крупными инфраструктурами, а также инструментам, позволяющим выполнять требования регуляторов, в частности, обмен данными с НКЦКИ.
Решение предназначено для использования в современных динамично изменяющихся и высоконагруженных ИТ-средах. Модульная микросервисная архитектура позволяет выстраивать различные конфигурации системы, обеспечивая масштабируемость, отказоустойчивость и гибкость вариантов развертывания. В числе важнейших параметров SIEM-системы KUMA – интеграция с потоками данных об угрозах и поддержка большого количества разнородных источников событий (более 400 систем: WMI, Syslog, Netflow, SNMP, NATS, Kafka, NFS, SCP, FTP, HTTP(S), ODBC/MSSQL, OPsec, CE и др). Высокопроизводительный потоковый движок корреляции поддерживает свыше 300 тысяч событий в секунду (EPS). Благодаря модулю ГосСОПКА продукт полностью интегрирован с технической инфраструктурой НКЦКИ и помогает обеспечить соответствие требованиям регуляторов.
Центр мониторинга кибербезопасности КРОК обеспечивает мониторинг информационной безопасности 24/7: по сервисной модели (включает в себя технологические компоненты SIEM, SOAR, TI, команду аналитиков и экспертов) и в гибридном формате с разделением функционала SOC между клиентом и КРОК. При этом часть систем мониторинга кибербезопасности находится на вычислительных ресурсах заказчика, администрирование и выявление инцидентов осуществляется силами сервис-провайдера. Для каждого из выбранных форматов SOC доступна опция поддержки процессного менеджера – сотрудника SOC, который отвечает за практическую реализацию сервиса, качество оказываемых услуг и развитие ИБ в рамках проекта.