Шаг 1. Предварительная подготовка

Предварительная подготовка включает следующие этапы:

  1. Мониторинг событий.

    Когда в KUMA создан и настроен коллектор, программа записывает события информационной безопасности, зарегистрированные на контролируемых элементах IT-инфраструктуры организации, в базу событий. Вы можете найти и просмотреть эти события.

  2. Создание коррелятора и правил корреляции.

    При обнаружении последовательности событий, удовлетворяющих условиям правила корреляции, программа создает алерты. Если для нескольких событий срабатывает одно и то же правило корреляции, все эти события привязываются к одному алерту. Вы можете использовать правила корреляции из комплекта поставки и создавать их вручную.

  3. Настройка отправки уведомлений об алерте на один или несколько адресов электронной почты.

    Если отправка уведомлений настроена, при получении нового алерта KUMA отправляет на указанный адрес или адреса электронной почты уведомление. В уведомлении отображается ссылка на алерт.

  4. Добавление активов.

    Вы можете выполнить на активе действия по реагированию (например, заблокировать запуск файла), только если актив добавлен в KUMA.

    Для выполнения действий по реагированию необходима интеграция KUMA с Kaspersky Security Center и Kaspersky Endpoint Detection and Response.

    Пример

    В рамках предварительной подготовки аналитик выполнил следующие действия:

    • Установил и привязал к коррелятору правила корреляции SOC_package из комплекта поставки.
    • Настроил отправку уведомлений об алертах на свой адрес электронной почты.
    • Импортировал в KUMA активы из Kaspersky Security Center.

      Согласно условиям инцидента, после того, как администратор выполнил вход в свою учетную запись, был запущен вредоносный файл, который злоумышленник добавил в автозапуск Windows. От актива в KUMA поступили события из журнала событий безопасности Windows. Для этих событий сработали правила корреляции.

      В результате в базу алертов KUMA были записаны следующие алерты:

    • R223_Сбор информации о процессах.
    • R050_Очистка журнала событий Windows.R295_Манипуляции с системой непривилегированным процессом.
    • R097_Манипуляции с загрузочным скриптом.
    • R093_Изменение критичных веток реестра.

    В информации об алерте указаны названия правил корреляции, по которым были созданы алерты, и время первого и последнего событий, созданных при повторном срабатывании правил.

    На адрес электронной почты аналитика пришли уведомления об алертах. Аналитик перешел по ссылке на алерт R093_Изменение критичных веток реестра из уведомления.

В начало