В Kaspersky Unified Monitoring and Analysis Platform появились следующие возможности и доработки:
- Добавлена поддержка следующих операционных систем:
- Oracle Linux 9.2.
- Astra Linux 1.7.4.
- Написание условий фильтров и корреляционных правил в виде кода.
Переработан интерфейс написания условий в фильтрах и селекторах правил корреляции. Помимо конструктора, появился режим написания условий в виде кода. Условия фильтров и селекторов автоматически транслируются между конструктором и режимом кода. Доступно написание условий фильтра в следующих режимах:
- Конструктор позволяет написать условия при помощи клавиатуры. Вы можете начать набирать условия фильтра и KUMA подскажет подходящие варианты из полей событий "e:", словарей "d:", активных листов "a:" и других, после чего вы можете выбрать подходящий вариант. Можно сократить диапазон вариантов, набрав соответствующий префикс, например "e:SourceAddress". При этом типы условий выделяются разными цветами.
- Режим кода позволяет быстро редактировать условия, выделять, копировать блоки кода и таким образом переносить условия фильтров или селекторов между фильтрами и правилами корреляции. Для связанных ресурсов автоматически указывается идентификатор. Поля с наименованиями и идентификаторами связанных ресурсов недоступны для редактирования.
- Расширение схемы событий.
В KUMA 3.0.3 основной технологией для схемы событий остается CEF, при этом появляется возможность создавать пользовательские поля. Использование этой функциональности позволяет реализовать произвольную таксономию. Привычные для пользователей наименования полей сокращают время на написания поисковых запросов. Пользовательские поля типизированы и должны начинаться с префикса, определяющего его тип: S – строковые, N – числовые, F – числа с плавающей точкой; а также массивы: SA – массив строк, NA – массив чисел, FA – массив чисел с плавающей точкой. Использование полей с массивами возможно только в нормализаторах типа JSON и KV.
- Автоматическое распознавание источника событий.
Нормализация событий теперь доступна в следующих вариантах:
- 1 коллектор – 1 нормализатор.
Мы рекомендуем использовать этот способ, если у вас много событий одного типа или много IP-адресов, откуда могут приходить события одного типа. Можно настроить один коллектор только с одним нормализатором и это будет оптимально с точки зрения производительности.
- 1 коллектор – несколько нормализаторов с привязкой к IP.
Этот способ доступен для коллекторов с коннектором типа UDP, TCP, HTTP. Если в коллекторе на шаге Транспорт указан коннектор UDP, TCP, HTTP, на шаге Парсинг событий на вкладке Настройки парсинга вы можете задать несколько IP-адресов и указать, какой нормализатор использовать для событий, поступающих с заданных адресов. Доступны следующие типы нормализаторов: JSON, CEF, regexp, Syslog, CSV, KV, XML. Для нормализаторов типа Syslog и regexp вы можете задать дополнительные условия нормализации в зависимости от значения поля DeviceProcessName
.
- Привязка коррелятора из раздела со списком правил.
Публикация правил корреляции на корреляторах теперь доступна из меню правил корреляции. Реализована возможность выбрать одно или несколько правил и привязать их к одному или нескольким корреляторам. Список корреляторов представлен в виде древовидной структуры ресурсов-корреляторов. Работая с правилами корреляции Общего тенанта, аналитик может опубликовать правила на корреляторах сразу всех доступных ему тенантов.
- Использование контекстных таблиц.
В коррелятор добавлена новая сущность – контекстные таблицы. Работа с контекстными таблицами аналогична работе с активными листами. Функциональные возможности контекстных таблиц:
- список ключевых полей определяется пользователем;
- данные в контекстных таблицах типизированы (целые числа, числа с плавающей точкой, строки, логический тип, timestamp, IP);
- поддерживаются массивы для всех типов данных, перечисленных выше;
- поля контекстных таблиц, содержащие массивы, можно использовать в правилах корреляции: возможен подсчет уникальных значений, вычисление длины массива, обращение к определенному элементу массива.
- Добавлены функции "index_of" и "last_index_of".
Функции возвращают позицию искомого символа в строке. Использований функции "index_of" и "last_index_of" вместе с функцией "substring" позволяет отказаться от использования регулярных выражений в правилах корреляции для получения подстроки. Использование этих функций вместо регулярных выражений позволяет снизить нагрузку на коррелятор.
- Коннектор kata/edr для телеметрии с хостов KEDR.
В KUMA доступно получение событий KEDR с помощью коннектора kata/edr. Отличие от коннектора kafka заключается в том, что коннектор kata/edr позволяет интегрироваться с KATA версии 5.1, настройка происходит быстрее и удобнее. C помощью параметров коллектора и фильтра вы можете уточнить запрос: сколько событий в одном запросе вы хотите получать, какие события и с какой периодичностью вы хотите получать.
- Архивирование и удаление активов.
Активы, импортированные из KSC или KICS for Networks, но агенты которых более не подключаются к KSC или KICS, в KUMA отмечаются как архивные и по истечении заданного пользователем периода, могут быть удалены.
- В активах в поле FQDN может быть представлен массив значений.
- Для отправки событий во внешний источник добавлен формат CEF.
- Импорт данных об активах из MaxPatrol VM.
В поставку KUMA входит утилита kuma-ptvm, которая состоит из исполняемого файла и файла конфигурации. Поддерживается работа под управлением ОС Windows и Linux. Утилита позволяет выполнить подключение к API MaxPatrol VM и получить данные об устройствах и их атрибутах, включая уязвимости, а также позволяет отредактировать данные об активах и импортировать данные с использованием API KUMA.
- Предустановленные макеты для основных B2B-продуктов "Лаборатории Касперского" (KATA, KSС, KSMG, KWTS) позволяют визуализировать данные, как только подключены соответствующие источники событий.
- Иерархическая структура больше не поддерживается. При обновлении с версии 2.1.3 до 3.0.x все хосты с KUMA становятся независимыми.
- Доступна отправка тестовых событий.
- Реализована поддержка интеграции с Telegram, UserGate, KWTS, KSMG, RedCheck.
- Журналы: при обновлении с 2.1.3 до 3.0.3 старые журналы Ядра будут сохранены и появятся новые журналы Ядра. После обновления список журналов будет выглядеть следующим образом:
- /opt/kaspersky/kuma/core/log/core – журналы 2.1.3.
- /opt/kaspersky/kuma/core/log/stdout.log – журналы 3.0.3, перенаправляется стандартный вывод сервиса.
- /opt/kaspersky/kuma/core/log/stderr.log – журналы 3.0.3, перенаправляется стандартный вывод сервиса об ошибках.
- Изменена ролевая модель доступа.
В KUMA 3.0.3 добавлены следующие изменения:
- Администратор → Администратор тенанта: теперь может удалять предустановленные шаблоны отчетов и предустановленные макеты панели мониторинга.
- Аналитик → Аналитик второго уровня: теперь может просматривать и формировать все отчеты, свои и других пользователей, при условии что для этой роли доступны все тенанты, указанные в шаблоне отчета. Может изменять предустановленные шаблоны, может изменять параметры формирования предустановленных отчетов, может удалять предустановленные шаблоны отчетов и предустановленные макеты панели мониторинга.
- Аналитик первой линии → Аналитик первого уровня: теперь может просматривать и формировать все отчеты, свои и других пользователей, при условии что для этой роли доступны все тенанты, указанные в шаблоне отчета.
- Оператор → Младший аналитик.
- Добавлены роли Доступ к общим ресурсам, Работа с НКЦКИ и Работа с КИИ.
- При перезапуске сервиса kuma-core.service предустановленные шаблоны отчетов и макетов панели мониторинга будут восстановлены в исходном виде, если прежде были удалены.
- Указание адреса электронной почты пользователя в шаблоне больше не является основанием для предоставления доступа к отчету, сформированному из шаблона. Отчет будет доступен пользователю для просмотра, если для роли пользователя доступны все тенанты, указанные в шаблоне.
- Добавлены нормализаторы для источников событий.
- В разделе справки Приложения представлен перечень устаревших ресурсов KUMA и вариант их замены.
- Устранены ошибки прошлых версий.