_
Перейти

Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Категория:

Цена по запросу в наличии

Доставка от 5 рабочих дней

Решение разработано для работы в современных динамично изменяющихся и высоконагруженных ИТ-средах. Модульная микросервисная архитектура решения позволяет легко изменять конфигурацию системы, обеспечивая масштабируемость, отказоустойчивость и гибкость вариантов развертывания. Высокопроизводительный потоковый движок корреляции обеспечивает производительность более 300 тысяч событий в секунду (EPS) на один узел корреляции. Модульная архитектура решения позволяет еще больше увеличить общую производительность за счет балансировки и распределения нагрузки между компонентами.

Описание

Kaspersky Unified Monitoring and Analysis Platform (KUMA) представляет собой программное решение, обладающее целым рядом возможностей:

  • Сбор, управление и хранение событий кибербезопасности.
  • Оценка и перекрестное сопоставление поступающих данных.
  • Анализ записанных событий.
  • Формирование оповещений при выявлении потенциальных угроз кибербезопасности.

По своей сути KUMA работает на базе микросервисов. Это позволяет пользователям разрабатывать и настраивать конкретные микросервисы, обеспечивая универсальность использования KUMA как в качестве простого инструмента управления журналами, так и в качестве сложной SIEM-системы. Кроме того, адаптируемая маршрутизация данных позволяет интегрироваться с внешними сервисами для расширенного анализа событий.

Новые возможности и усовершенствования

  • Поддержка мультитенантности: Теперь она доступна для поставщиков управляемых услуг безопасности (MSSP) и крупных предприятий. Эта функция, идеально подходящая для организаций с несколькими подразделениями, позволяет обнаруживать угрозы для различных филиалов из одной единой системы. Создавая арендаторов на основе источников событий, можно обеспечить конфиденциальность данных в различных филиалах. Администратор KUMA может настраивать права доступа к данным и действия на основе ролей для каждого пользователя в каждом арендаторе.
  • Интеграция с Microsoft Active Directory: KUMA теперь поддерживает аутентификацию пользователей через Microsoft Active Directory. При необходимости настройте роли для пользователей Active Directory для каждого арендатора.
  • Стандартные правила корреляции: В платформе появились предустановленные правила корреляции, разработанные экспертами Касперского. Они соответствуют матрице MITRE ATTACK и могут служить основой для создания собственных правил мониторинга угроз. Обязательно протестируйте и настройте эти правила в соответствии с особенностями вашей среды.
  • Расширенное управление инцидентами: Более глубокое изучение инцидентов безопасности, определение их происхождения и совместная работа аналитиков благодаря расширенным функциональным возможностям.
  • Карточки инцидентов: Теперь аналитики могут документировать инциденты, как полученные из оповещений, так и созданные заново. Карточка инцидента представляет собой сводную запись всей необходимой информации о событии безопасности.
  • Интеграция с RuCERT: Упорядочение процесса информирования RuCERT о любых инцидентах безопасности, особенно если это является обязательным требованием для вашей организации.
  • Обновление приборной панели: добавлена интуитивно понятная схема приборной панели “Обзор инцидентов” для удобства навигации.
  • Категоризация инцидентов: Эффективная сортировка и управление инцидентами.
  • Группировка оповещений и инцидентов: Автоматическая группировка событий корреляции, оповещений и инцидентов на основе настроенных критериев. Это снижает нагрузку на аналитиков.
  • Мониторинг источников событий: Информирование о возможных сбоях или значительном сокращении потока данных о событиях.
  • Новые разъемы: Загрузка событий через WMI (через RPC), SNMP (версии 1, 2 и 3), NFS и FTP.
  • Динамическая категоризация активов: Проактивная и реактивная категоризация активов. Использование динамических категорий для улучшения корреляции и управления оповещениями.
  • Резервное копирование данных для KUMA Core: Обеспечьте долговечность своей платформы благодаря поддержке резервного копирования данных.
  • Интеграция HTTP Rest API: Упрощение управления активами и активными списками.
  • Усовершенствованный агент KUMA: Агент теперь поддерживает все коннекторы и оптимизирован для маршрутизации событий.
  • Поддержка обновлений: Бесшовное обновление с версий 1.0 и 1.1. Сохраняются такие ресурсы, как правила корреляции и нормализаторы. По вопросам миграции данных при обновлении обращайтесь к специалистам “Касперского”.
  • Мастера установки: Подключите источники событий и настройте корреляторы без лишних усилий. Пошаговая инструкция и проверка настроек обеспечивают удобство работы. Оставайтесь в курсе событий и используйте новые возможности для оптимизации управления безопасностью с помощью KUMA.

Требования к аппаратному и программному обеспечению KUMA

Для достижения оптимальной производительности рекомендуется использовать следующие характеристики. Они обеспечивают производительность до 40 000 событий в секунду, хотя фактические показатели могут варьироваться в зависимости от типа события и эффективности парсера. Также следует учитывать, что часто приоритет отдается большему количеству ядер, а не высокой частоте процессора.

1. Collectors Server:

  • CPU: Intel or AMD (minimum 4 cores/8 threads, SSE 4.2 support) or 8 vCPUs.
  • RAM: 16 GB
  • Disk: 500 GB (mounted on /opt)

2. Correlators Server:

  • CPU: Intel or AMD (minimum 4 cores/8 threads, SSE 4.2 support) or 8 vCPUs.
  • RAM: 16 GB
  • Disk: 500 GB (mounted on /opt)

3. Core Server:

  • CPU: Intel or AMD (minimum 2 cores/4 threads, SSE 4.2 support) or 4 vCPUs.
  • RAM: 12 GB
  • Disk: 500 GB (mounted on /opt)

4. Storages Server:

  • CPU: Intel or AMD (minimum 12 cores/24 threads, SSE 4.2 support) or 24 vCPUs.
  • RAM: 48 GB
  • Disk: 500 GB (mounted on /opt)
  • SSDs are recommended for better indexing and search performance.
  • Local drives (HDD/SSD) outperform external JBODs.
  • RAID 0 for speed, RAID 10 for redundancy.

Для повышения надежности не следует размещать все узлы кластера на одном JBOD или физическом сервере (для виртуальных систем). Для достижения максимальной эффективности размещайте все серверы в одном центре обработки данных.

5. Windows Agent Machines:

  • Processor: At least single-core, 1.4 GHz.
  • RAM: 512 MB
  • Disk: 1 GB

Поддерживаемые операционные системы:

  • Windows 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows 10 (20H1, 20H2, 21H1)

6. Linux Agent Machines:

  • Processor: At least single-core, 1.4 GHz.
  • RAM: 512 MB
  • Disk: 1 GB
  • Supported OS:
  • Ubuntu 20.04 LTS, 21.04
  • Oracle Linux 8.4

Требования к программному обеспечению:

  • Servers running KUMA services should be on the Oracle Linux 8.4 OS.

Сетевые требования:

  • Ensure a minimum network interface bandwidth of 100 Mbps.
  • For processing over 20,000 events/second, a 10 Gbps transfer speed between ClickHouse nodes is necessary.

Дополнительные требования:

  • For accessing the KUMA web interface, systems should have:
  • Google Chrome (v93 or newer) OR
  • Mozilla Firefox (v92 or newer)

Детали

Производитель