«Лаборатория Касперского» представила обновлённую версию системы для мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform (KUMA). В KUMA 2.1 внедрён новый подход к хранению данных о событиях безопасности, осуществлена поддержка 1С, повышена отказоустойчивость ядра системы и расширены возможности по обнаружению и реагированию на угрозы. Изменения также коснулись автообновления контента и интеграции с системой ГосСОПКА.
Сокращение стоимости владения и затрат на оборудование. В KUMA 2.1 обеспечивается поддержка двух областей хранения: оперативное хранилище данных о событиях безопасности работает на ClickHouse, а архивное хранилище может быть реализовано на Hadoop. Такой подход реализуется во многих SIEM-системах, но в версии KUMA 2.1 специалисты могут создавать поисковые запросы в едином интерфейсе, не переключаясь между двумя областями данных.
Это позволяет полностью сосредоточиться на расследовании инцидента и сохранить высокую скорость работы. При этом новая область хранения не потребует дорогостоящих серверов и может быть развёрнута на бюджетном оборудовании: это даст возможность владельцам бизнеса уменьшить совокупную стоимость владения (ТСО) почти в два раза и сократить затраты на оборудование почти в 4 раза.
Подсистема обновления расширяет возможности KUMA по реагированию на изменения ландшафта угроз и инфраструктуры. В версии 2.1 появилась возможность автоматически добавлять пакеты обновлений, необходимые для расследования инцидентов, и новые версии уже существующего контента. Это касается как правил корреляции, так и коннекторов к источникам логов. При этом скачивание новых версий коннекторов и правил корреляции может быть реализовано без прямого доступа к интернету, что гарантирует конфиденциальность обрабатываемых системой данных.
В KUMA 2.1 расширена автоматизированная поддержка сценариев с модулем ГосСОПКА. Теперь в личном кабинете пользователи могут передавать данные регулятору и получать обратную связь от представителей НКЦКИ непосредственно в чате в KUMA, а также обновлять данные об инциденте, полученные в процессе расследования. При этом благодаря интеграции с платформой Kaspersky CyberTrace, которая обрабатывает отчёты «Национального координационного центра по компьютерным инцидентам», исследователь может извлекать индикаторы компрометации и применять их для детектирования событий в SIEM. Это позволяет автоматизировать часть задач по работе с НКЦКИ.
Автореагирование и интеграция с обучающей платформой для сотрудников. Более 80% инцидентов в компаниях возникают из-за низкой осведомлённости сотрудников в области IT-безопасности. Чтобы минимизировать подобные риски, в KUMA 2.1 добавлены продвинутые инструменты для реагирования, контекстного анализа и сдерживания. За счёт интегрированной обучающей платформы Kaspersky Automated Security Awareness Platform (KASAP) и каталога Active Directory, который хранит сведения о действиях пользователей, специалисты могут управлять группой учётных записей в домене и пользоваться системой обучения непосредственно в интерфейсе SIEM. Например, блокировать аккаунты пользователей, совершающих подозрительные действия, инициировать смену пароля, управлять членством учётной записи пользователя в группах AD, просматривать информацию о курсах сотрудников или записывать их на новые тренинги.
«SIEM — центральный элемент большинства зрелых систем информационной безопасности, поэтому она должна отвечать всем актуальным требованиям рынка и учитывать меняющийся ландшафт киберугроз. KUMA 2.1 расширяет возможности аналитиков, позволяет бизнесу оптимизировать бюджет на информационную безопасность, обеспечивая защиту на высоком уровне», — отметил Илья Маркелов, руководитель направления развития единой корпоративной платформы «Лаборатории Касперского».
Помимо вышеперечисленных обновлений в релиз KUMA 2.1 вошло множество других доработок, которые были добавлены на основе отзывов и пожеланий заказчиков.