Kaspersky Unified Monitoring and Analysis Platform — один из ключевых компонентов на пути к реализации единой платформы кибербезопасности. Решение обеспечивает гибкий комплексный подход к противодействию сложным угрозам и целевым атакам, объединяет решения «Лаборатории Касперского» и продукты сторонних поставщиков в единую экосистему.
Kaspersky Unified Monitoring and Analysis Platform — один из ключевых компонентов на пути к реализации единой платформы кибербезопасности. Решение обеспечивает гибкий комплексный подход к противодействию сложным угрозам и целевым атакам, объединяет решения «Лаборатории Касперского» и продукты сторонних поставщиков в единую экосистему, в том числе, является центральным элементом XDR-платформы Kaspersky Symphony XDR. Kaspersky Unified Monitoring and Analysis Platform легко встраивается в существующую ИТ и ИБ-инфраструктуру и помогает подойти комплексно к вопросу соответствия требованиям внешних регулирующих органов.
Высокая производительность >300 000 EPS на один узел
Широкие возможности интеграции С собственными решениями и продуктами сторонних поставщиков
Встроенный модуль ГосСОПКА Помощь в соответствии требованиям регуляторов
Возможности KUMA
Широкие возможности интеграции
Решение полностью интегрировано с большинством продуктов и сервисов «Лаборатории Касперского» для крупного бизнеса и обменивается с ними данными, что упрощает анализ и обеспечивает прозрачность системы безопасности и единообразие защитных мер. Также постоянно расширяются возможности интеграции с решениями сторонних поставщиков.
Модульная архитектура
Решение разработано для работы в современных динамично изменяющихся и высоконагруженных ИТ-средах. Модульная микросервисная архитектура решения позволяет легко изменять конфигурацию системы, обеспечивая масштабируемость, отказоустойчивость и гибкость вариантов развертывания. Решение поддерживает Multitenancy, что актуально для сервис-провайдеров и компаний с филиальными сетями.
Соблюдение требований законодательства РФ
Благодаря модулю ГосСОПКА решение полностью интегрировано с технической инфраструктурой НКЦКИ и помогает обеспечить соответствие законодательству РФ в сфере безопасности объектов критической информационной инфраструктуры, в частности требованиям ФЗ-187 и приказа ФСТЭК России №239. Решение сертифицировано ФСТЭК России.
Потоковая корреляция в реальном времени
Kaspersky Unified Monitoring and Analysis Platform осуществляет централизованный сбор и анализ журналов регистрации, корреляцию событий ИБ в реальном времени и своевременное оповещение об инцидентах. Решение поставляется с готовым набором правил корреляции. Высокопроизводительный потоковый движок корреляции обеспечивает производительность более 300 тысяч событий в секунду (EPS) на один узел корреляции. Модульная архитектура решения позволяет еще больше увеличить общую производительность за счет балансировки и распределения нагрузки между компонентами.
Оперативные и достоверные данные об угрозах
Один из важнейших параметров SIEM-системы – это интеграция с потоками данных об угрозах. Kaspersky Unified Monitoring and Analysis поддерживает интеграцию «из коробки» с платформой Kaspersky CyberTrace для агрегации и управления потоками данных об угрозах, а также c платформой Kaspersky Threat Intelligence. Данные Kaspersky Threat Intelligence содержат петабайты достоверных данных об угрозах и постоянно обновляются, что позволяет своевременно блокировать возможные векторы атак и эффективнее расследовать инциденты.
Автоматический сбор информации о конечных точках
Одна из самых актуальных проблем при расследовании инцидентов – недостаток информации и контекста об информационных активах организации. Автоматизированное обнаружение и инвентаризация хостов в сети позволяет решить эту проблему. KUMA с помощью агента Kaspersky Endpoint Security в автоматизированном режиме получает полную информацию о конечных точках (в том числе сведения о уязвимостях на рабочих станциях), а также любых изменениях, произошедших с ними. Данная информация может использоваться для корреляции событий ИБ с учетом контекста, а также и при расследовании инцидентов.
Архитектура KUMA
Возможности интеграции
Интеграция
Решение поддерживает интеграцию со следующими продуктами «Лаборатории Касперского» (перечень не является окончательным и постоянно расширяется):
Kaspersky Anti Targeted Attack Platform
Kaspersky Endpoint Detection & Response
Kaspersky Security Center
Kaspersky Security для бизнеса
Kaspersky Security для почтовых серверов
Kaspersky Security для интернет-шлюзов
Kaspersky CyberTrace
Kaspersky Threat Data Feeds
Kaspersky Threat Lookup
Kaspersky Industrial Cybersecurity for Nodes
Kaspersky Industrial Cybersecurity for Networks
А также с решениями сторонних поставщиков, например:
Windows Event Log
Palo Alto NGFW, Panorama
Check Point R80.20
Cisco ASA, WSA
FortiGate UTM
FortiAnalyzer
Windows OS
VipNet Coordinator
Dovecot
VmWare
Linux
FreeBSD
Exim
Squid
Лицензирование
Лицензирование продукта происходит по количеству обрабатываемых событий в секунду. Финальная цена продукта будет зависеть от выбранных модулей (Netflow, High Availability, ГосСОПКА) и уровня технической поддержки (Premium, Premium+).
Вопрос-ответ
Какая архитектура лежит в основе Kaspersky Unified Monitoring and Analysis Platform?
В основе KUMA лежит микросервисная архитектура, компоненты могут гибко масштабироваться под нужды заказчика.
Стандартная установка программы основана на следующих компонентах:
один или несколько сборщиков, которые получают сообщения из источников событий, анализируют эти сообщения, нормализуют и при необходимости фильтруют и / или агрегируют, при этом обогащение возможно в режиме реального времени;
коррелятор, который анализирует нормализованные события, поступающие от коллекторов, выполняет необходимые действия с активными списками и создаёт оповещения в соответствии с правилами корреляции;
ядро, которое отвечает за централизованное управление всеми компонентами системы, а также предоставляет графический интерфейс администрирования и доступ к RESTful API;
СУБД ClickHouse, в которой содержатся нормализованные и «сырые» события.
Стоит отметить, что все ключевые элементы KUMA являются собственной разработкой «Лаборатории Касперского». События передаются между компонентами по опционально зашифрованным протоколам.
Можно настроить балансировку нагрузки для её распределения между экземплярами служб, а также активировать автоматическое переключение на резервный компонент, если основной недоступен. Если сервис-отправитель обнаруживает, что не доступен ни один из экземпляров компонента, которому он пытается передать информацию, то события буферизуются на диске и будут повторно отправлены после восстановления соединения. Размер буфера для временного хранения событий на диске можно регулировать.
Как осуществляется работа с программой KUMA?
Работа с программой осуществляется через веб-интерфейс.
Окно веб-интерфейса программы содержит следующие элементы:
разделы в левой части окна веб-интерфейса программы;
закладки в верхней части окна веб-интерфейса программы для некоторых разделов программы;
рабочую область в нижней части окна веб-интерфейса программы.
В рабочей области отображается информация, просмотр которой вы выбираете в разделах и на закладках окна веб-интерфейса программы, а также элементы управления, с помощью которых вы можете настроить отображение информации.
Во время работы с веб-интерфейсом программы вы можете выполнять следующие действия с помощью горячих клавиш:
во всех разделах: закрывать окно, открывающееся в правой боковой панели – Esc;
в разделе События:
переключаться между событиями в правой боковой панели – ↑ и ↓;
запускать поиск (при фокусе на поле запроса) – Ctrl/Command + Enter;
сохранять поисковый запрос – Ctrl/Command + S.
Из каких шагов состоит выявление атаки на IT-инфраструктуру организации с помощью KUMA?
Выявление атаки на IT-инфраструктуру организации с помощью KUMA состоит из следующих шагов:
Предварительная подготовка
Назначение алерта пользователю
Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
Анализ информации об алерте
Проверка на ложное срабатывание
Определение критичности алерта
Создание инцидента
Расследование
Поиск связанных активов
Поиск связанных событий
Запись причин инцидента
Реагирование
Восстановление работоспособности активов
Закрытие инцидента
Как связано с KUMA решение Kaspersky EDR Expert?
Kaspersky EDR Expert осуществляет централизованный сбор оповещений о продвинутых угрозах и АРТ-атаках на уровне рабочих мест, а также поддержка передачи сырой телеметрии для более широких возможностей по расследованию и проактивному поиску угроз. В рамках лицензии Kaspersky Symphony XDR предоставляется реагирование с использованием возможностей EDR-агентов как в ручном режиме (из карточки актива), так и автоматически (при срабатывании правила корреляции).
В чем заключается ценность решения для бизнеса?
✔ Снижение рисков
Снижение рисков информационной безопасности ✔ Сокращение потерь
Сокращение прямых потерь от целенаправленных действий злоумышленников ✔ Эффективное решение
Предоставление высокопроизводительного решения в условиях политики импортозамещения ✔ Единая система безопасности
Объединение в целостную экосистему безопасности интегрированных решений «Лаборатории Касперского» и сторонних производителей ✔ Повышение продуктивности
Повышение продуктивности работы ИБ-служб по выявлению, расследованию и реагированию на сложные киберинциденты ✔ Соответствие требованиям
Обеспечение помощи в соответствии требованиям внутренних политик безопасности и внешних регулирующих органов (в частности, требованиям ФЗ-187 и приказа ФСТЭК России №239)
Задайте вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
