Что нового

В Kaspersky Unified Monitoring and Analysis Platform появились следующие возможности и доработки:

Изменено место хранения самоподписанного CA-сертификата и механизм перевыпуска сертификата.
Сертификат хранится в СУБД. Недопустимо применять прежний метод перевыпуска внутренних сертификатов через удаление сертификатов из файловой системы Ядра и перезапуск Ядра. Такой способ приведет к невозможности запустить Ядра. До завершения процесса перевыпуска сертификатов не следует подключать к Ядру новые сервисы.
После того как вы перевыпустите внутренние CA-сертификаты в разделе веб-интерфейса KUMA Параметры → Общие → Перевыпустить внутренние CA-сертификаты, необходимо остановить сервисы, удалить прежние сертификаты из директорий сервисов и вручную перезапустить все сервисы. Перевыпускать внутренние CA-сертификаты могут только пользователи с ролью Главный администратор.

• Добавлена поддержка работы KUMA на следующих операционных системах:
  • Ubuntu 22.04 LTS.
  • Oracle® Linux 9.4.
  • Astra Linux 1.7.5.
• Начиная с версии 3.2.x, обновлены требования к сложности пароля. Пароль должен быть длиной не менее 16 символов, содержать не менее одной буквы и цифры, и должен содержать не более двух одинаковых символов подряд. Новые требования применяются только к новым установкам. В существующих установках KUMA требования применяются только к новым пользователям. Для существующих пользователей требования будут применены только при смене пароля.
• В веб-консоли KUMA в разделе Активные сервисы сервис Ядра отображается как core-1. В операционной системе сервера Ядра сервис kuma-core.service теперь называется kuma-core 00000000-0000-0000-0000-000000000000.service.
• Добавлен сервис Маршрутизатор событий. Этот сервис позволяет принимать события от коллекторов и направлять события в заданные точки назначения в соответствии с настроенными на сервисе фильтрами. Использование такого промежуточного сервиса позволяет эффективно распределять нагрузку на каналы связи и использовать каналы связи с невысокой пропускной способностью. Например, как показано на схеме в раскрывающемся блоке, вместо нескольких потоков событий от коллектора 5 до точек назначения, вы можете отправлять события одним потоком: на схеме коллектор 1 + коллектор 2 + коллектор 3 отправляют события в маршрутизатор локального офиса, затем в маршрутизатор дата-центра, и в нем уже происходит передача событий в заданные точки назначения.

  Схема отправки событий с использованием маршрутизатора событий и без использования маршрутизатора

  

• Интеграция с НКЦКИ: обновлен список полей и типы инцидентов, добавлена возможность предоставления информации об утечке персональных данных. Экспортированые инциденты со старым типом, который больше не поддерживается, будут отображаться корректно.
• Выполнение группировки по произвольным полям, использование функций округления времени из интерфейса работы с событиями.

  При проведении расследования аналитику требуется находить выборки с событиями, строить агрегационные запросы. Теперь для выполнения запросов с агрегацией, достаточно выбрать одно или несколько полей, по которым следует выполнить группировку и запустить Выполнить запрос. Для полей типа Date доступны агрегационные запросы с округлением времени.

  В результате, пользователь получает отображение и групп и самих событий, по которым сделана группировка, без переписывания поискового запроса. Аналитик может переходить по группам, листать списки входящих в группу событий, просматривать поля событий, что существенно упрощает работу и позволяет ускорить получение результата при расследовании.

• Добавлена возможность преобразования исходного поля с использованием функции вычисления информационной энтропии. В коллекторе можно настроить правило обогащения для исходного поля типа event, выбрать тип преобразования entropy и указать целевое поле типа float, куда KUMA поместит результат преобразования. Результатом преобразования будет число. Показатель вычисления информационной энтропии позволяет выявлять DNS-туннели, компрометацию паролей, например, когда пользователь ввел пароль вместо логина и этот пароль записывается в журнал в открытом виде. Обычно логин содержит буквы, и функция преобразования вычислит информационную энтропию и запишет результат, например, 2,5416789. Если пользователь по ошибке ввел пароль в поле для логина и таким образом пароль оказался в журнале в открытом виде, KUMA вычислит информационную энтропию и запишет результат 4 - показатель энтропии будет выше, поскольку пароль содержит буквы, цифры и символы. Таким образом, можно искать события, где у имени пользователя показатель энтропии больше 3 и можно настроить правило реагирования "Требуется смена пароля". После настройки в коллекторе обогащения следует обновить параметры, чтобы применить изменения.
• Доступен поиск событий одновременно по нескольким выбранным хранилищам с помощью простого запроса. Например, таким образом вы можете выполнять поиск событий, чтобы определить, где учетная запись блокируется или на какой URL с каких IP-адресов был выполнен вход.

  В некоторых инсталляциях может потребоваться использование нескольких отдельных хранилищ – например, в случае слабых каналов связи, или из-за требования регулятора на хранение событий в определенной стране. Федеративный поиск позволяет запускать поисковый запрос одновременно в нескольких кластерах хранения и получать результат в одной общей таблице. Теперь в распределенных кластерах хранения можно быстрее и проще найти нужные события. В общей таблице с событиями указывается, в каком из хранилищ была найдена запись. При поиске по нескольким кластерам не поддерживаются запросы по группе, ретроспективная проверка и экспорт в TSV.

• Покрытие матрицы правил на MITRE ATT&CK.

  Разрабатывая детектирующую логику, аналитик может ориентироваться на соответствие контента реальным угрозам. С помощью матриц MITRE ATT&CK можно определить, к каким техникам уязвимы ресурсы организации. В помощь аналитикам создан механизм, который позволяет визуализировать покрытие матрицы MITRE ATT&CK разработанными правилами и таким образом оценить уровень защищенности.

  Функционал позволяет:

  • Импортировать в KUMA актуальный файл с перечнем техник и тактик.
  • Перечислить в свойствах правил техники и тактики, выявляемые этим правилом.
  • Экспортировать из KUMA список правил, размеченных по матрице в MITRE ATT&CK Navigator (можно указать отдельные папки с правилами).

  Файл со списком размеченных правил визуализируется в MITRE ATT&CK Navigator.

• Чтение файлов агентом Windows.

  Агент KUMA, устанавливаемый на системах c ОС Windows, теперь может читать текстовые файлы и передавать данные в коллектор KUMA. Один агент, установленный на сервере с ОС Windows, может передавать данные как из журналов Windows, так и из текстовых файлов с журналами. Например, больше не потребуется использовать сетевые папки для получения журналов транспорта Exchange Server, или журналов IIS.

• Получение журналов DNS Analytics с использованием коннектора etw.

  Использование Windows агентом нового транспорта ETW (сервис Event Tracing for Windows) для чтения подписки DNS Analytics обеспечивает получение расширенного журнала DNS, событий диагностики, аналитических данных о работе DNS-сервера – больше информации, чем в журнале отладки DNS, и с меньшим влиянием на производительность DNS-сервера.

  Рекомендуемая конфигурация для чтения журналов ETW:

  • Создать новый коллектор:
    1. Создать отдельный коллектор для журналов ETW.
    2. Создать коннектор etw, Агент будет создан автоматически.
    3. Указать коннектор в коллекторе.
    4. Установить коллектор и агент.
  • Создать коллектор и отредактировать параметры созданного вручную агента:
    1. Создать коллектор с транспортом http и разделителем \0, и указать нормализатор [OOTB] Microsoft DNS ETW logs json.
    2. Сохранить параметры коллектора.
    3. Установить коллектор.
    4. В существующем агенте WEC добавить дополнительную конфигурацию, в которой указать коннектор etw и в качестве точки назначения указать созданный в пункте e. коллектор, тип точки назначения http и разделитель \0.
    5. Сохранить параметры агента и запустить агент.
• Обогащение CyberTrace по API.

  Cybertrace-http — новый тип потокового обогащения событий в CyberTrace, который позволяет отправлять большое количество событий одним запросом на API-интерфейс CyberTrace. Мы рекомендуем применять этот тип обогащения в системах с большим потоком событий. Производительность cybertrace-http значительно превосходит показатели прежнего типа cybertrace, который по-прежнему доступен в KUMA для обеспечения обратной совместимости.

• Активация с помощью кода.

  Реализована возможность активировать KUMA при помощи кода активации. Такой метод позволяет не беспокоиться об импорте в KUMA новых ключей при продлении или при изменении состава лицензии. Для активации с помощью кода требуется доступ сервера Ядра к нескольким серверам в интернете. При этом вы можете использовать прежний метод активации - с использованием файла лицензии.

• Оптимизирована передача событий в формате CEF. Отправляемые события содержат заголовок CEF и только непустые поля. При передаче событий в сторонние системы в формате CEF поля, не содержащие данных, не передаются.
• Добавлена возможность получения событий из ClickHouse с помощью коннектора SQL. В параметрах коннектора SQL вы можете выбрать Тип базы данных для соединения. При этом в поле URL будет автоматически указан префикс, соответствующий протоколу взаимодействия.
• В коннекторы file, 1c-log и 1c-xml добавлен параметр Интервал запросов, мс, отвечающий за интервал чтения файлов из директории. Настройка этого параметра позволяет снизить потребление CPU и RAM.
• Параметр airgap исключен из файла инвентаря. Если в вашем файле инвентаря остался параметр airgap, установщик его проигнорирует при выполнении установки или обновления.
• Логин и пароль вынесены из секрета типа URL и Proxy. Добавлена возможность преобразования пароля.
• В служебные события о выпадении записи из активного листа и контекстной таблицы добавлены поля, которые содержат не только ключ, но и значение. Поля со значениями дают больше гибкости в написании правил корреляции для обработки таких служебных событий.

  Выпадение записи контекстной таблицы происходит, если для времени хранения записи указано ненулевое значение в конфигурации контекстной таблицы.

  Когда запись устаревает, внутри коррелятора формируется событие, которое "заворачивается" на вход коррелятора. Это событие не отправляется в хранилище.

  Если настроено соответствующее правило корреляции, то по этому событию можно создать корреляционное событие и алерт. Такое корреляционное событие уже отправляется в хранилище и отображается в разделе События.

• Обновлен перечень статусов для сервисов: добавлен фиолетовый статус, расширено пременение желтого статуса.
• Теперь вы можете перейти из раздела Состояние источников к событиям выбранного источника событий. Уточняющие условия в строке поискового запроса формируются автоматически после перехода по ссылке. По умолчанию отображаются события за последние 5 минут. При необходимости вы можете изменить интервал и снова выполнить запрос.
• Сбор метрик с агента.

  В разделе Метрики появился раздел, где визуализируются параметры работы агента. Такое графическое представление облегчит работу администраторов, отвечающих за сбор событий при помощи агентов.

• Добавлена поддержка компактной встраиваемой СУБД SQLite версии 3.37.2.
• Добавлен коннектор elastic для получения событий из Elasticsearch версии 7 и 8. Для коннектора добавлен секрет fingerprint.
• Для коннекторов типа tcp, udp и file добавлены следующие параметры обработки событий журнала auditd:
  • Переключатель Auditd позволяет обрабатывать многострочные события и объединять записи в одно событие.
  • Параметр TTL буфера событий определяет, сколько времени коллектор будет накапливать строки события для последующего объединения в одно многострочное событие. Значение параметра задается в миллисекундах.
• Добавлена возможность настраивать список полей для определения источников событий. DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName – используемый по умолчанию набор полей для определения источников событий. Теперь перечень полей и их последовательность можно переопределить. Допускается указать максимум 9 полей в значимой для пользователей последовательности. После сохранения изменений в наборе полей ранее определенные источники событий будут удалены из веб-интерфейса KUMA и из базы данных. Сохраняется возможность использовать набор полей для определения источников событий по умолчанию.
• В графический конструктор поисковых запросов для событий добавлен оператор iLike.
• Обновлен перечень методов REST API. Описание методов v2.1 доступно в формате OpenAPI.
• В параметрах коннектора snmp-trap появился дополнительный параметр, позволяющий обозначить OID, являющийся MAC-адресом.
• Установщик KUMA проверяет состояние SELinux.
• Прекращена поддержка создания резервной копии Ядра при помощи утилиты командной строки /opt/kaspersky/kuma/kuma tools backup.
• Прекращена поддержка и поставка устаревших нормализаторов:
  • [Deprecated][OOTB] Microsoft SQL Server xml.
  • [Deprecated][OOTB] Windows Basic.
  • [Deprecated][OOTB] Windows Extended v.0.3.
  • [Deprecated][OOTB] Cisco ASA Extended v 0.1.
  • [Deprecated][OOTB] Cisco Basic.

В начало