Обновленная SIEM-система «Лаборатории Касперского»
«Лаборатория Касперского» анонсировала существенное обновление своей SIEM-системы – KUMA 3.2. Добавлены функции, которые позволяют ИБ-специалистам работать эффективнее и автоматизировать рутинные действия.
Отправка событий из удаленных офисов в один поток: добавлен маршрутизатор событий, сервис, который предназначен для снижения нагрузки на каналы связи, уменьшения количества портов, открываемых на межсетевых экранах. Он позволяет принимать события от коллекторов, собирающих данные с источников, и направлять события в заданные точки назначения в соответствии с заданными на сервисе фильтрами. Использование такого промежуточного сервиса позволяет эффективно распределять нагрузку на каналы связи и использовать каналы связи с невысокой пропускной способностью.
Группировка по произвольным полям, использование функций округления времени из интерфейса работы с событиями: при проведении расследования аналитику требуется находить выборки с событиями, строить запросы с группировками и агрегатными функциями. Теперь для выполнения запросов с агрегацией не требуется переписывать SQL-запрос – достаточно выбрать одно или несколько полей, по которым следует выполнить группировку, и запустить операцию «Выполнить запрос».
Поиск событий по нескольким хранилищам, или федеративный поиск: появилась возможность запускать поисковый запрос одновременно в нескольких кластерах хранения и получать результат в одной общей таблице. Таким образом в распределенных кластерах хранения можно быстрее и проще найти нужные события. В общей таблице с событиями указывается, в каком из хранилищ была найдена запись.
Маппинг правил на MITRE ATT&CK: в помощь аналитикам создан механизм, который позволяет визуализировать покрытие матрицы MITRE ATT&CK разработанными правилами и таким образом оценить уровень защищенности. Это позволяет импортировать в KUMA актуальный файл с перечнем техник и тактик; в свойствах правил перечислить техники и тактики, выявляемые этим правилом; экспортировать из KUMA список правил и увидеть покрытие в MITRE ATT&CK Navigator (можно указать отдельные папки с правилами).
Сбор журналов DNS Analytics: использование KUMA Windows агентом нового транспорта ETW (сервис Event Tracing for Windows) для чтения подписки DNS Analytics обеспечивает получение расширенного журнала DNS, событий диагностики, аналитических данных о работе DNS-сервера – это больше информации, чем в журнале отладки DNS, и с меньшим влиянием на производительность DNS-сервера.
Помимо вышеперечисленного в релиз KUMA 3.2 вошли и другие доработки, добавленные на основе отзывов и пожеланий заказчиков.