Обновление SIEM-системы «Лаборатории Касперского»

--> Дата: Дек 27, 2024 3

Искусственный интеллект (AI)Лаборатория Касперского (Kaspersky Lab)Машинное обучение (ML)Системы управления событиями безопасности (SIEM)

«Лаборатория Каперского» выпустила обновление SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA). В новой версии улучшена визуализация ресурсов, расширены возможности коррелятора и упрощена работа с поиском событий.

В числе новшеств – приоритизация событий с помощью ИИ. Разработанный в «Лаборатории Касперского» модуль машинного обучения поможет приоритизировать срабатывания. Он анализирует, насколько характерна та или иная активность, связанная с различными активами – рабочими станциями, виртуальными машинами, мобильными телефонами и т. д. Если алерт, выявленный системой в результате корреляции событий, не является типичным для актива, на котором он обнаружен, такое срабатывание помечается в интерфейсе дополнительным статусом. Таким образом, аналитик быстрее видит инциденты, которые требуют первостепенного внимания.

В KUMА также стал доступен ассистент аналитика KIRA – Kaspersky Investigation and Response Assistant. Интеграция с KIRA позволит работать с системой профильным сотрудникам с разным уровнем подготовки. Так, опираясь на анализ от ИИ, начинающие специалисты смогут принимать более быстрые и точные решения по реагированию на инциденты.

Сбор данных теперь ведет единый агент Kaspersky Endpoint Security. Раньше для сбора данных c рабочих станций под управлением Windows и Linux необходимо было установить дополнительно агент SIEM на каждую станцию или настроить отправку данных на промежуточный хост и настраивать передачу данных в SIEM. Теперь, если на хосте установлен агент Kaspersky Endpoint Security, он может напрямую отправлять данные в SIEM-систему. Эти данные можно использовать для дальнейшего поиска по событиям, их анализа и корреляции. Таким образом, для защиты конечных точек – EPP, EDR – устраняется трудоемкий дополнительный этап установки и контроля отдельных агентов SIEM.

В обновленном решении появился граф связанности ресурсов. Это позволяет визуально оценить, какие ресурсы используют различные правила, к какому коррелятору они привязаны, что дает больше контроля над конфигурацией и позволяет понимать влияние изменений отдельных настроек на работу всей системы.

Функция добавления исключений из правил непосредственно из интерфейса, в частности, полезна при использовании разных уровней доступа к SIEM. Например, если у аналитика первой линии нет доступа к правилам корреляции, но ему нужно добавить срабатывание как ложноположительное, он может внести это исключение из правил сразу в интерфейсе без изменения корреляционной логики.

KUMA хранит историю изменения ресурсов в виде версий. Версия ресурса создается автоматически, когда аналитик создает новый ресурс или сохраняет изменения параметров в существующем ресурсе. Хранение версий упрощает взаимодействие внутри команд аналитиков. Можно посмотреть, к примеру, что изменил в корреляционном правиле тот или иной коллега, и в случае необходимости отменить изменения.

Как комментируют в «Лаборатории Касперского», для команд SOC и ИБ-департаментов SIEM – один из основных инструментов, поэтому в компании уделяют много внимания тому, чтобы работать с KUMA было просто. Второе важное направление развития, непосредственно связанное с коробочным контентом, –обогащение KUMA коннекторами к источникам событий и правилами корреляции. Сегодня правила уже из коробки покрывают более 400 техник матрицы MITRE ATTACK, а количество поддерживаемых источников приблизилось к 300.