Kaspersky Unified Monitoring and Analysis Platform (KUMA) – решение класса SIEM (Security Information and Event Management), предназначенное для комплексного отслеживания и управления событиями информационной безопасности и эффективного противодействия сложным киберугрозам. KUMA служит центральным элементом платформы Kaspersky Symphony XDR, объединяя продукты «Лаборатории Касперского» и сторонние решения в единую экосистему защиты.

Основные возможности KUMA

Централизованное управление событиями: KUMA собирает, обрабатывает и хранит события безопасности из различных источников, включая операционные системы, сетевые устройства и приложения. Это обеспечивает полную видимость происходящего в инфраструктуре и ускоряет расследование инцидентов.

Анализ и корреляция данных в реальном времени: С использованием более 500 преднастроенных правил корреляции, платформа выявляет подозрительные активности и потенциальные угрозы, позволяя оперативно реагировать на инциденты.

Интеграция с порталом Threat Intelligence: KUMA обогащает события безопасности актуальными данными об угрозах, собираемыми аналитиками и исследователями «Лаборатории Касперского» со всего мира. Эта информация обеспечивает контекст для более точного определения приоритетов и принятия решений.

Гибкая архитектура и масштабируемость: Благодаря микросервисной архитектуре, KUMA легко адаптируется к различным масштабам и требованиям организаций, обеспечивая высокую производительность и отказоустойчивость.

Преимущества использования KUMA

• Снижение времени обнаружения и реагирования на угрозы: Автоматизация процессов анализа и реагирования позволяет значительно сократить среднее время обнаружения (MTTD) и среднее время реагирования (MTTR) на инциденты.
• Поддержка соответствия нормативным требованиям: KUMA обеспечивает хранение и управление логами в соответствии с требованиями регуляторов, облегчая аудит и отчетность.
• Интеграция с существующей ИТ-инфраструктурой: Платформа поддерживает более 200 интеграций с различными продуктами и решениями, включая Kaspersky Endpoint Security и сторонние системы, что обеспечивает бесшовное внедрение в текущей инфраструктуре.
• Многоуровневая безопасность и контроль доступа: Поддержка многоуровневой архитектуры и разграничение прав доступа обеспечивает безопасность данных и соответствие политике безопасности компании.

KUMA предоставляет бизнесу мощный инструмент для обеспечения комплексной информационной безопасности, бóльших видимости угроз и скорости реагирования на инциденты, что делает ее ключевым компонентом современной стратегии киберзащиты.

Что нового в KUMA 3.4?

Новая версия KUMA 3.4 включает множество улучшений, направленных на повышение эффективности работы аналитиков и упрощение администрирования системы. Ниже расскажем о ключевых изменениях.

Улучшения интерфейса и UX

• Визуализация связей ресурсов: Теперь можно увидеть, как ресурсы и сервисы связаны друг с другом. Интерактивный график показывает зависимости, например, фильтров или переменных, а также позволяет анализировать влияние изменений. Это упрощает разработку контента, минимизирует ошибки и повышает качество корреляционных правил.
• Новый интерфейс управления ресурсами и сервисами: Переработанный интерфейс делает работу с системой интуитивно понятной и позволяет эффективнее использовать как новые, так и привычные функции.

Контроль версий

• Появился контроль версии ресурсов, что помогает отслеживать, кем и какие изменения были внесены. Визуальное сравнение позволяет легко выявлять отличия между версиями, а восстановление предыдущих версий предотвращает ошибки. Это нововведение особенно полезно в распределенных командах.

Поиск и тегирование

• Тегирование ресурсов: Пользователи могут назначать метки различным элементам системы и выполнять поиск по тегам, упрощая анализ контента и управление связанными данными.
• Полнотекстовый поиск: Новый механизм поиска позволяет находить ресурсы не только по их названиям, но и по содержимому, что ускоряет работу аналитиков за счет более точных поисковых запросов.

Работа с корреляцией

• Корреляция по индексированным данным: Пользователи могут задавать аналитические запросы в базу данных с нужными вычислениями (группировки, суммы и т.д.) и обрабатывать результаты как события. Это расширяет возможности настройки без необходимости создания множества дополнительных правил.
• Привязка правил к корреляторам: Теперь каждое правило отображает, с каким коррелятором оно связано, что упрощает управление.

Новые функции искусственного интеллекта

• В KUMA интегрирован помощник KIRA (Kaspersky Incident Response Assistant), использующий искусственный интеллект и машинное обучение для анализа обфусцированных команд, выявления уровня риска и приоритизации инцидентов. KIRA помогает менее опытным аналитикам быстрее разобраться в событиях и минимизировать ошибки.
• Новая ИИ-система анализирует историю алертов и выделяет необычные инциденты.

Автоматизация и работа с данными

• Конвертация правил: KUMA теперь поддерживает преобразование сигма-правил в селекторы, SQL-запросы или корреляционные правила. Это позволяет использовать наработки мирового IT-сообщества в части корреляционной логики и упрощает переход с других SIEM-систем.
• Исключения для алертов: Исключения можно добавлять прямо из карточки алерта, снижая шум от ложных срабатываний. Эта функция доступна даже сотрудникам первой линии поддержки.
• Категоризация событий: Новый механизм обогащения данных помогает унифицировать корреляционные правила для разных источников и ускоряет их подключение.

Работа с хранилищами данных

• Введены гибкие политики горячего и холодного хранения данных, которые можно настроить по дням, гигабайтам или процентам дискового пространства.
• Доступ пользователей к событиям теперь регулируется на уровне пространства, обеспечивая более точное разграничение прав.

Сбор логов

• KUMA теперь поддерживает сбор данных с помощью агентов CAS4Windows и CAS4Linux. Установленные в инфраструктуру, эти агенты собирают для KUMA логи с операционных систем, что избавляет от необходимости дополнительно настраивать их транспорт.

Резюме

С обновлением KUMA становится не просто SIEM-системой, а универсальным инструментом для повышения киберустойчивости компании. Улучшения в области визуализации, анализа данных и автоматизации задач помогают аналитикам быстрее и точнее обрабатывать инциденты, а функции искусственного интеллекта делают продукт доступным для менее опытных специалистов. Новая версия значительно снижает порог входа в использование SIEM, повышает уровень защиты данных и сокращает операционные затраты на кибербезопасность.

Выход следующей версии, KUMA 4.0, ожидается в середине июля 2025 г.

Специалисты компании «Системный Софт» помогут развернуть решение в вашей инфраструктуре и обеспечить надежную защиту бизнеса от угроз.