О программе Kaspersky Unified Monitoring and Analysis Platform

Kaspersky Unified Monitoring and Analysis Platform (далее KUMA или "программа") – это комплексное программное решение, сочетающее в себе следующие функциональные возможности:

• получение, обработка и хранение событий информационной безопасности;
• анализ и корреляция поступающих данных;
• поиск по полученным событиям;
• создание уведомлений о выявлении признаков угроз информационной безопасности.

Программа построена на микросервисной архитектуре. Это означает, что вы можете создавать и настраивать только необходимые микросервисы (далее также "сервисы"), что позволяет использовать KUMA и как систему управления журналами, и как полноценную SIEM-систему. Кроме того, благодаря гибкой маршрутизации потоков данных вы можете использовать сторонние сервисы для дополнительной обработки событий.

Что нового

• Реализована глубокая интеграция с Kaspersky Endpoint Detection and Response Expert (KEDR Expert). Интеграция доступна только с лицензией Symphony XDR.
• Добавлена интеграция с Kaspersky Industrial CyberSecurity for Networks в сценариях инвентаризации активов и реагирования.
• Расширена интеграция с Kaspersky Security Center.
• Расширены возможности SQL-поиска по событиям в хранилище.
• Расширены возможности компонентов сбора событий (коллекторов):
  • Добавлено обогащение информацией о регионе по IP-адресу (GeoIP).
  • Добавлена возможность обогащения из словарей (таблиц), наполняемых вручную в веб-интерфейсе или по API.
  • Добавлена возможность корректировать время с учетом часового пояса источника событий.
• Добавлены вычисляемые переменные для покрытия сложных сценариев детектирования угроз при корреляции событий.
• Добавлена возможность сбора событий из изолированного сегмента с дата-диодом при отсутствии возможности передачи сетевых UDP-пакетов.
• Добавлена возможность настройки пользовательских шаблонов и правил уведомления об алертах.
• Расширены инструменты аналитики, добавлены новые виджеты.
• Добавлена функция аудита активов.
• Добавлена поддержка телеметрии о трафике sFlow для поддержки оборудования Juniper. Аналогично Netflow данные события можно собирать без ограничений при использовании лицензии с активным модулем Netflow.

Комплект поставки

В комплект поставки входят следующие файлы:

• kuma-ansible-installer-<номер сборки>.tar.gz для установки компонентов KUMA;
• файлы с информацией о версии (примечания к выпуску) на русском и английском языках.

Аппаратные и программные требования

Рекомендуемые требования к оборудованию

На перечисленном ниже оборудовании могут обрабатываться до 40 000 событий в секунду. Этот показатель зависит от типа анализируемых событий и от эффективности парсера. Следует также учитывать, что большее количество ядер будет эффективнее, чем их меньшее количество, но с более высокой частотой процессора.

• Серверы для установки коллекторов:
  • Процессор: Intel или AMD от 4 ядер (8 потоков) с поддержкой набора инструкций SSE 4.2 или 8 vCPU (виртуальных процессоров).
  • ОЗУ: 16 ГБ.

    Каждому коллектору, на котором используется обогащения событий геоданными, требуется дополнительный объем оперативной памяти, равный размеру базы геоданных.

  • Диск: 500 ГБ доступного места на диске, смонтированного в разделе /opt.
• Серверы для установки корреляторов:
  • Процессор: Intel или AMD от 4 ядер (8 потоков) с поддержкой набора инструкций SSE 4.2 или 8 vCPU (виртуальных процессоров).
  • ОЗУ: 16 ГБ.
  • Диск: 500 ГБ доступного места на диске, смонтированного в разделе /opt.
• Серверы для установки Ядра:
  • Процессор: Intel или AMD от 4 ядер (8 потоков) с поддержкой набора инструкций SSE 4.2 или 4 vCPU (виртуальных процессоров).
  • ОЗУ: 16 ГБ.

    При импорте геоданных серверу требуется дополнительный объем оперативной памяти, равный размеру базы геоданных.

  • Диск: 500 ГБ доступного места на диске, смонтированного в разделе /opt.
• Серверы для установки хранилищ:
  • Процессор: Intel или AMD от 12 ядер (24 потока) с поддержкой набора инструкций SSE 4.2 или 24 vCPU (виртуальных процессоров).

    Требуется поддержка команд SSE4.2.

  • ОЗУ: 48 ГБ.
  • Диск: 500 ГБ доступного места на диске, смонтированного в разделе /opt.

  Для подключения системы хранения данных (далее также СХД) к серверам хранилища требуется использовать высокоскоростные протоколы (например, Fiber Channel или iSCSI 10G). Мы не рекомендуем подключать СХД с использованием протоколов прикладного уровня (например, NFS, SMB).

  Использование твердотельных накопителей позволяет улучшить индексирование кластерных узлов и повысить эффективность поиска.

  Смонтированные локально жесткие диски или твердотельные накопители эффективнее внешних дисковых массивов (JBOD). Рекомендуется использовать RAID 0 для скорости, а RAID 10 для избыточности.

  Для повышения надежности не рекомендуется развертывать все кластерные узлы на одном JBOD-массиве или одном физическом сервере (если используются виртуальные серверы).

  Для повышения эффективности рекомендуется держать все серверы в одном центре данных.

  В качестве файловой системы на серверах кластера ClickHouse рекомендуется использовать ext4.

• Машины для установки агентов Windows:
  • Процессор: одноядерный, 1.4 ГГц или выше.
  • ОЗУ: 512 МБ.
  • Диск: 1 ГБ.
  • ОС:
    • Microsoft Windows 2012.
    • Microsoft Windows Server 2012 R2.
    • Microsoft Windows Server 2016.
    • Microsoft Windows Server 2019.
    • Microsoft Windows 10 (20H2, 21H1).
• Машины для установки агентов Linux:
  • Процессор: одноядерный, 1.4 ГГц или выше.
  • ОЗУ: 512 МБ.
  • Диск: 1 ГБ.
  • ОС:
    • Ubuntu 20.04 LTS, 21.04.
    • Oracle Linux версии 8.6.
    • Astra Linux Special Edition РУСБ.10015-01 (2021-1126SE17 оперативное обновление 1.7.1).
• Поддерживается установка в виртуальных средах:
  • VMWare 6.5 и выше.
  • Hyper-V для Windows Server 2012 R2 и выше.
  • KVM Qumu version 4.2 и выше.
  • ПК СВ "Брест" РДЦП.10001-02.

Требования к программному обеспечению

Для развертывания компонентов Коллектор, Коррелятор, Ядро и Хранилище поддерживается использование операционных систем Oracle linux 8.6 и Astra Linux Special Edition (исполнение РУСБ.10015-01, 2021-1126SE17 оперативное обновление 1.7.1).

Требования к сети

Пропускная способность сетевого интерфейса должна быть не менее 100 Мбит/с.

Чтобы программа KUMA обрабатывала более 20 000 событий в секунду, необходимо обеспечить скорость передачи данных между узлами ClickHouse не менее 10 Гбит/с.

Дополнительные требования

Компьютеры, используемые для веб-интерфейса KUMA:

• Процессор: Intel Core i3 8-го поколения.
• ОЗУ: 8 ГБ.
• Установленный браузер Google Chrome 102 или более поздней версии либо Mozilla Firefox 103 или более поздней версии.

Интерфейс KUMA

Работа с программой осуществляется через веб-интерфейс.

Окно веб-интерфейса программы содержит следующие элементы:

• разделы в левой части окна веб-интерфейса программы;
• закладки в верхней части окна веб-интерфейса программы для некоторых разделов программы;
• рабочую область в нижней части окна веб-интерфейса программы.

В рабочей области отображается информация, просмотр которой вы выбираете в разделах и на закладках окна веб-интерфейса программы, а также элементы управления, с помощью которых вы можете настроить отображение информации.

Во время работы с веб-интерфейсом программы вы можете выполнять следующие действия с помощью горячих клавиш:

• во всех разделах: закрывать окно, открывающееся в правой боковой панели – Esc;
• в разделе События:
  • переключаться между событиями в правой боковой панели – ↑ и ↓;
  • запускать поиск (при фокусе на поле запроса) – Ctrl/Command + Enter;
  • сохранять поисковый запрос – Ctrl/Command + S.

Совместимость с другими программами

Kaspersky Endpoint Security для Linux

При установке на одном сервере компонентов KUMA и программы Kaspersky Endpoint Security для Linux каталог report.db может достигать больших размеров и занимать все дисковое пространство. Чтобы избежать этой проблемы, рекомендуется выполнить следующие действия:

• Обновить программу Kaspersky Endpoint Security для Linux до версии 11.2 или выше.
• Добавить в общие исключения и в исключения для проверки по требованию следующие директории:
  • /opt/kaspersky/kuma/clickhouse/data/store/
  • /opt/kaspersky/kuma/victoria-metrics/
  • /var/lib/rsyslog/imjournal.state

  Подробнее об исключениях из проверки см. онлайн-справку Kaspersky Endpoint Security для Linux.