«Лаборатория Каперского» выпустила масштабное обновление SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA). В новой версии улучшена визуализация ресурсов, расширены возможности коррелятора и упрощена работа с поиском событий.

Приоритизация событий с помощью искусственного интеллекта. Разработанный в «Лаборатории Касперского» модуль машинного обучения поможет приоритизировать срабатывания. Он анализирует, насколько характерна та или иная активность, связанная с различными активами — рабочими станциями, виртуальными машинами, мобильными телефонами и так далее. Если алерт, выявленный системой в результате корреляции событий, не является типичным для актива, на котором он обнаружен, такое срабатывание помечается в интерфейсе дополнительным статусом. Таким образом, аналитик быстрее видит инциденты, которые требуют первостепенного внимания.

В KUMА также стал доступен ассистент аналитика KIRA — Kaspersky Investigation and Response Assistant. Интеграция с KIRA позволит работать с системой профильным сотрудникам с разным уровнем подготовки. Так, опираясь на анализ от ИИ, начинающие специалисты смогут принимать более быстрые и точные решения по реагированию на инциденты. Подробнее можно прочитать здесь.

Сбор данных единым агентом Kaspersky Endpoint Security. Раньше для сбора данных c рабочих станций под управлением Windows и Linux необходимо было установить дополнительно агент SIEM на каждую станцию или настроить отправку данных на промежуточный хост и настраивать передачу данных в SIEM. Теперь, если на хосте установлен агент Kaspersky Endpoint Security, он может напрямую отправлять данные в SIEM-систему. Эти данные можно использовать для дальнейшего поиска по событиям, их анализа и корреляции. Таким образом, для пользователей продуктов «Лаборатории Касперского» для защиты конечных точек — EPP, EDR, устраняется трудоёмкий дополнительный этап установки и контроля отдельных агентов SIEM.

Визуальное представление связанных ресурсов. В обновлённом решении появился граф связанности ресурсов. Это позволяет визуально оценить, какие ресурсы используют различные правила к какому коррелятору они привязаны, что даёт больше контроля над конфигурацией и позволяет понимать влияние изменений отдельных настроек на работу всей системы.

Добавление исключений из правил непосредственно из интерфейса. В частности, эта функция полезна при использовании разных уровней доступа к SIEM. Например, если у аналитика первой линии нет доступа к правилам корреляции, но ему нужно добавить срабатывание как ложноположительное, он может внести это исключение из правил сразу в интерфейсе без изменения корреляционной логики.

Версионирование контента. KUMA хранит историю изменения ресурсов в виде версий. Версия ресурса создаётся автоматически, когда аналитик создаёт новый ресурс или сохраняет изменения параметров в существующем ресурсе. Хранение версий упрощает взаимодействие внутри команд аналитиков. Можно посмотреть, к примеру, что изменил в корреляционном правиле тот или иной коллега, и в случае необходимости отменить изменения.

«Для команд SOC и ИБ-департаментов SIEM — один из основных инструментов, поэтому мы уделяем много внимания тому, чтобы работать с KUMA было просто. Новые возможности помогут быстрее и с меньшими усилиями реагировать на события, — отметил Илья Маркелов, руководитель направления развития единой корпоративной платформы „Лаборатории Касперского“. — Второе важное направление, которое непосредственно связано с коробочным контентом, — активное обогащение KUMA коннекторами к источникам событий и правилами корреляции. Cегодня наши правила уже из коробки покрывают более 400 техник матрицы MITRE ATTACK, а количество поддерживаемых источников приблизилось к 300. И это количество постоянно растёт».