О программе Kaspersky Unified Monitoring and Analysis Platform

Kaspersky Unified Monitoring and Analysis Platform (далее KUMA или "программа") – это комплексное программное решение, сочетающее в себе следующие функциональные возможности:

• получение, обработка и хранение событий информационной безопасности;
• анализ и корреляция поступающих данных;
• поиск по полученным событиям;
• создание уведомлений о выявлении признаков угроз информационной безопасности.

Программа построена на микросервисной архитектуре. Это означает, что вы можете создавать и настраивать только необходимые микросервисы (далее также "сервисы"), что позволяет использовать KUMA и как систему управления журналами, и как полноценную SIEM-систему. Кроме того, благодаря гибкой маршрутизации потоков данных вы можете использовать сторонние сервисы для дополнительной обработки событий.

Что нового

• Реализована возможность автоматического и ручного обновления репозитория для получения пакетов с новыми правилами корреляции и коннекторами к источникам логов.
• Реализована возможность холодного хранения событий.
• Для уменьшения количества одновременных запросов на вставку данных в таблицы ClickHouse, начиная с версии 2.1.3 в ресурсе Хранилище появилась возможность настройки буферизации запросов на вставку.
• Начиная с версии 2.1.3 KUMA использует новый драйвер для подключения к oracle.
• Добавлены новые коннекторы: SNMP traps, 1С log, 1С xml.
• В версии 2.1.3 добавлена нумерация тэгов для нормализатора типа xml.
• Добавлена интеграция с платформой онлайн-обучения Kaspersky Automated Security Awareness Platform.
• Добавлен новый тип реагирования: правило реагирования через Active Directory.
• Расширен перечень форматов для генерации отчетов. Теперь доступны следующие форматы: HTML, PDF, CSV, раздельный CSV, Excel.
• Расширена интеграция с НКЦКИ.
• Добавлена возможность создавать единые для всех тенантов (универсальные) макеты панели мониторинга и наполнять их данными по доступным текущему пользователю тенантам. Таким образом количество используемых в системе макетов можно значительно сократить и не создавать отдельные типовые макеты для каждого тенанта.
• Добавлена интеграция с Active Directory Federation Services для входа в систему без ввода логина и пароля (сценарий Single Sign On - SSO).
• Добавлена поддержка домена FreeIPA для входа в систему.
• Добавлена возможность получать из LDAP пользовательские атрибуты учетных записей Active Directory и обогащать события по пользовательским атрибутам учетных записей AD.

  Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.

  Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:

  1. Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.

     Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартны

     й атрибут

     accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.

     Из Active Directory можно запросить следующие атрибуты учетных записей:

     • accountExpires
     • badPasswordTime
     • cn
     • co
     • company
     • department
     • description
     • displayName
     • distinguishedName
     • division
     • employeeID
     • givenName
     • l
     • lastLogon
     • lastLogonTimestamp
     • mail
     • mailNickname
     • managedObjects
     • manager
     • memberOf (по этому атрибуту события можно искать при корреляции)
     • mobile
     • name
     • objectCategory
     • objectGUID (этот атрибут запрашивается из Active Directory всегда)
     • objectSid
     • physicalDeliveryOfficeName
     • pwdLastSet
     • sAMAccountName
     • sAMAccountType
     • sn
     • streetAddress
     • telephoneNumber
     • title
     • userAccountControl
     • userPrincipalName
     • whenChanged
     • whenCreated

     После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.

     Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.  

  2. Импортируйте учетные записи.
  3. В коллекторе в таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP.
  4. Перезапустите коллектор.

     После перезапуска коллектора KUMA начнет обогащать события учётными записями.

      

• Расширены возможности работы с активами: появилась возможность добавлять активам настраиваемые поля, добавлена возможность поиска по активам с учетом названий полей, а также возможность экспорта результатов поиска в файл.
• В разделе с поиском по событиям добавлены пресеты полей событий, позволяющие быстро настраивать колонки таблицы поиска в зависимости от анализируемых логов.
• Расширена отказоустойчивость системы.
• В информации об активах теперь отображаются дополнительные сведения о защите хостов с KES for Windows и KES for Linux. Отображении информации доступно, если вы импортировали актив из KSC.
• Для событий о срабатываниях KATA/EDR добавлена ссылка, позволяющая перейти на карточку соответствующего алерта в интерфейс консоли управления KATA/EDR.
• На этапе получения событий появилась возможность использовать преобразования hex, base64, base64url для обработки бинарных значений в журналах.
• Расширены возможности корреляции:
  • Дополнен список функций переменных. С их помощью теперь можно преобразовывать ключи или формулировать условия.
  • Добавлена возможность управлять последовательностью применения правил корреляции в корреляторе.
• Добавлены правила сегментации алертов.
• Добавлены нормализаторы для источников событий.
• Добавлена новая роль Аналитик первой линии: такие пользователи смогут создавать собственный контент в системе, но не смогут изменять ресурсы, созданные другими пользователями.
• Расширено протоколирование системы и возможность экспортировать журналы компонентов программы в файлы.

Комплект поставки

В комплект поставки входят следующие файлы:

• kuma-ansible-installer-<номер сборки>.tar.gz – используется для установки компонентов KUMA без возможности развертывания в отказоустойчивой конфигурации;
• kuma-ansible-installer-ha-<номер сборки>.tar.gz – используется для установки компонентов KUMA с возможностью развертывания в отказоустойчивой конфигурации;
• файлы с информацией о версии (примечания к выпуску) на русском и английском языках.

Аппаратные и программные требования

Рекомендуемые требования к оборудованию

В этом разделе приведены требования к оборудованию для обработки потока данных до 40 000 событий в секунду (Events per Second, далее EPS). Показатель нагрузки KUMA зависит от типа анализируемых событий и от эффективности нормализатора.

Следует учитывать, что для эффективной обработки событий количество ядер процессора важнее, чем их частота. Например, восемь ядер процессора со средней частотой будут эффективнее справляться с обработкой событий, чем четыре ядра с высокой частотой. В таблице ниже приведены аппаратные и программные требования к оборудованию для установки компонентов KUMA.

Также необходимо иметь в виду, что количество потребляемой коллектором оперативной памяти зависит от настроенных методов обогащения (DNS, аккаунты, активы, обогащение данными из Kaspersky CyberTrace) и использования агрегации (на потребление оперативной памяти влияет параметр окна агрегации данных, количество полей, по которым выполняется агрегация данных, объём данных в агрегируемых полях).

Например, при потоке событий 1000 EPS и выключенном обогащении событий (обогащение событий выключено, агрегация событий выключена, 5000 аккаунтов, 5000 активов в тенанте) одному коллектору требуются следующие ресурсы:

• 1 процессорное ядро или 1 виртуальный процессор;
• 512 МБ оперативной памяти;
• 1 ГБ дискового пространства (без учёта кэша событий).

Например, для 5 коллекторов, которые не выполняют обогащение событий потребуется выделить следующие ресурсы: 5 процессорных ядер, 2,5 ГБ оперативной памяти и 5 ГБ свободного дискового пространства.

Поддерживается установка KUMA в следующих виртуальных средах:

• VMware 6.5 и выше.
• Hyper-V для Windows Server 2012 R2 и выше.
• QEMU-KVM 4.2 и выше.
• ПК СВ "Брест" РДЦП.10001-02.

Рекомендации экспертов "Лаборатории Касперского" для серверов хранилищ

Рекомендуется размещать ClickHouse на твердотельных накопителях (англ. solid state drive, далее также SSD). Использование SSD позволяет повысить скорость доступа к данным. Для размещения данных с использованием технологии HDFS могут быть использованы жесткие диски.

Для подключения системы хранения данных (далее СХД) к серверам хранилища следует использовать высокоскоростные протоколы, например Fibre Channel или iSCSI 10G. Для подключения СХД не рекомендуется использовать протоколы прикладного уровня, такие как NFS и SMB.

На серверах кластера ClickHouse рекомендуется использовать файловую систему ext4.

При использовании RAID-массивов рекомендуется использовать RAID 0 для достижения высокой производительности, а RAID 10 для обеспечения высокой производительности и отказоустойчивости.

Для обеспечения отказоустойчивости и быстродействия подсистемы хранения данных мы рекомендуем разворачивать все узлы ClickHouse исключительно на разных дисковых массивах.

Если вы используете виртуализированную инфраструктуру для размещения компонентов системы, мы рекомендуем разворачивать узлы кластера ClickHouse на различных гипервизорах. При этом необходимо ограничить возможность работы двух виртуальных машин с ClickHouse на одном гипервизоре.

Для высоконагруженных инсталляций KUMA рекомендуется устанавливать ClickHouse на аппаратных серверах.

Требования к устройствам для установки агентов

Для передачи данных в коллектор KUMA на устройствах сетевой инфраструктуры требуется установить агенты. Требования к устройствам приведены в таблице ниже.

Требования к клиентским устройствам для работы с веб-интерфейсом KUMA

Процессор: Intel Core i3 8-го поколения.

ОЗУ: 8 ГБ.

Поддерживаемые браузеры:

• Google Chrome 102 и выше.
• Mozilla Firefox 103 и выше.

Требования к устройствам для установки KUMA в Kubernetes

Кластер Kubernetes для развертывания KUMA в отказоустойчивом варианте включает в минимальной конфигурации:

• 1 узел балансировщика – не входит в кластер;
• 3 узла-контроллера;
• 2 рабочих узла.

Минимальные аппаратные требования к устройствам для установки KUMA в Kubernetes представлены в таблице ниже/

Интерфейс KUMA

Работа с программой осуществляется через веб-интерфейс.

Окно веб-интерфейса программы содержит следующие элементы:

• разделы в левой части окна веб-интерфейса программы;
• закладки в верхней части окна веб-интерфейса программы для некоторых разделов программы;
• рабочую область в нижней части окна веб-интерфейса программы.

В рабочей области отображается информация, просмотр которой вы выбираете в разделах и на закладках окна веб-интерфейса программы, а также элементы управления, с помощью которых вы можете настроить отображение информации.

Во время работы с веб-интерфейсом программы вы можете выполнять следующие действия с помощью горячих клавиш:

• во всех разделах: закрывать окно, открывающееся в правой боковой панели – Esc;
• в разделе События:
  • переключаться между событиями в правой боковой панели – ↑ и ↓;
  • запускать поиск (при фокусе на поле запроса) – Ctrl/Command + Enter;
  • сохранять поисковый запрос – Ctrl/Command + S.

Совместимость с другими программами

Kaspersky Endpoint Security для Linux

При установке на одном сервере компонентов KUMA и программы Kaspersky Endpoint Security для Linux каталог report.db может достигать больших размеров и занимать все дисковое пространство. Чтобы избежать этой проблемы, рекомендуется обновить программу Kaspersky Endpoint Security для Linux до версии 11.2 или выше.