Обновленная версия системы для мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform (KUMA), представлена сегодня. В версии 2.1 внедрён изменен подход к хранению данных о событиях безопасности, осуществлена поддержка 1С, повышена отказоустойчивость ядра системы и расширены возможности по обнаружению и реагированию на угрозы. Изменения также коснулись автообновления и интеграции с системой ГосСОПКА.
В KUMA 2.1 обеспечивается поддержка двух областей хранения: оперативное хранилище данных о событиях безопасности работает на ClickHouse (СУБД для онлайн обработки аналитических запросов), а архивное хранилище может быть реализовано на Hadoop (информационная база, предназначенная для работы с большими объемами данных).
Такой подход реализуется во многих SIEM-системах, но в KUMA 2.1 специалисты могут работать в едином интерфейсе, не переключаясь между двумя областями данных. Это позволяет полностью сосредоточиться на расследовании инцидента и сохранить высокую скорость работы. При этом новая область хранения не потребует дорогостоящих серверов и может быть развёрнута на бюджетном оборудовании. Подсчитано, что в случае с крупным бизнесом, это уменьшает совокупную стоимость владения и сокращает затраты на оборудование почти в четыре раза.
«SIEM [класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности] – центральный элемент большинства зрелых систем информационной безопасности, поэтому она должна отвечать всем актуальным требованиям рынка и учитывать меняющийся ландшафт киберугроз. KUMA 2.1 расширяет возможности аналитиков, позволяет бизнесу оптимизировать бюджет на информационную безопасность, обеспечивая защиту на высоком уровне», – отмечает Илья Маркелов, руководитель направления развития единой корпоративной платформы «Лаборатории Касперского».
В KUMA 2.1 появилась возможность автоматически добавлять пакеты обновлений и новые версии уже существующего контента, необходимые для расследования инцидентов. Это касается как правил корреляции, так и коннекторов к источникам логов. При этом скачивание новых версий коннекторов и правил корреляции может быть реализовано без прямого доступа к интернету, что гарантирует конфиденциальность обрабатываемых системой данных.
В новой версии расширена автоматизированная поддержка сценариев с модулем ГосСОПКА. Теперь в личном кабинете пользователи могут передавать данные регулятору и получать обратную связь от представителей Национального координационного центра по компьютерным инцидентам (НКЦКИ) непосредственно в чате продукта, а также обновлять данные об инциденте, полученные в процессе расследования. При этом благодаря интеграции с платформой Kaspersky CyberTrace, которая обрабатывает отчёты НКЦКИ, исследователь может извлекать индикаторы компрометации и применять их для детектирования событий в системе. Это позволяет автоматизировать часть задач.
Более 80% проблем безопасности в компаниях возникают из-за низкой осведомлённости сотрудников в этой области. Чтобы минимизировать подобные риски, в версии 2.1 добавлены продвинутые инструменты для реагирования, контекстного анализа и сдерживания инцидентов. За счёт встроенной обучающей платформы и каталога Active Directory, который хранит сведения о действиях пользователей, специалисты могут управлять группой учётных записей в домене и обучать пользователей непосредственно в интерфейсе SIEM. Также у них остается возможность блокировать аккаунты подозрительных пользователей, инициировать смену пароля, управлять членством учетной записи пользователя в группах AD, просматривать информацию о курсах сотрудников или записывать их на новые тренинги.
