Kaspersky Unified Monitoring and Analysis Platform
3.4
Русский
О программе Kaspersky Unified Monitoring and Analysis Platform  >  Что нового

Что нового

Kaspersky Unified Monitoring and Analysis Platform появились следующие возможности и доработки:

  • Добавлена поддержка работы KUMA на следующих операционных системах:
    • Astra Linux 1.7.6.
  • В KUMA 3.4.1 в правилах обогащения событий типа DNS доступен параметр Требуется рекурсия. С помощью переключателя Требуется рекурсия можно включить отправку коллектором KUMA рекурсивных запросов к авторитативным DNS-серверам для выполнения обогащения. Значение по умолчанию: Выключено.
  • В KUMA 3.4.1 доступно получение и обработка инцидентов от НКЦКИ. После обновления до версии 3.4.1 Ядро KUMA при каждом запуске отправляет запрос о наличии новых карточек инцидентов по адресу, указанному в поле URL в настройках интеграции KUMA с НКЦКИ, и затем продолжает отправлять запросы каждые 10 минут. Если в личном кабинете пользователя НКЦКИ появился новый инцидент, KUMA регистрирует инцидент с префиксом ALRT* и дальнейшее взаимодействие с НКЦКИ ведется уже в рамках созданного инцидента.

    Взаимодействие с НКЦКИ доступно, даже если в KUMA инцидент переведен в статус Закрыт: вы можете менять значения в поле Статус НКЦКИ и вести чат с НКЦКИ.

  • В KUMA 3.4.1 расширен список доступных предустановленных панелей мониторинга.
  • Добавлена возможность визуализировать на интерактивном графе зависимости ресурсов между собой и другими объектами. Теперь при редактировании ресурсов вы можете выяснить, к каким связанным ресурсам применится изменение. Вы можете отображать на графе те или иные типы ресурсов и сохранять построенный граф в формате SVG.
  • Появилась возможность добавлять теги для ресурсов, что позволяет осуществлять удобный поиск ресурсов, объединенных одним тегом.
  • Роль Доступ к общим ресурсам упразднена, и вместо нее добавлены следующие роли пользователей:
    • Чтение общих ресурсов.
    • Редактирование общих ресурсов. Редактировать ресурсы в общем тенанте теперь может Главный администратор и пользователь с ролью Редактирование общих ресурсов.
  • Добавлено версионирование ресурсов (за исключением словарей и таблиц), обеспечивающее хранение истории их изменений.

    При сохранении изменений в параметрах ресурса для него создается новая версия. Вы можете восстановить предыдущую версию ресурса, например, для восстановления его работоспособности, и сравнивать версии ресурсов, чтобы отслеживать внесенные изменения.

    После обновления KUMA до версии 3.4 для существующих ресурсов версии появятся только после сохранения изменений.

  • Добавлена возможность искать ресурсы по их содержимому с помощью полнотекстового поиска. Вы можете найти ресурсы, хотя бы в одном поле которого встречается конкретное слово, например, если вам нужно найти правила, в которых есть условие с определенным словом.
  • Доступен новый тип ресурсов KUMA – Правила сбора и анализа данных, который позволяет планировать выполнение SQL-запросов в хранилище по заданному расписанию и осуществлять корреляцию по полученным данным.
  • Появилась возможность передавать значения уникальных полей в поля корреляционных событий при создании правил корреляции с типом standard.
  • Добавлены новые наборы SQL-функций enrich и lookup, которые позволяют использовать атрибуты активов и учетных записей, данные из словарей и таблиц, в поисковых запросах для фильтрации событий, формирования отчетов и виджетов (тип графика: таблица). Вы можете использовать наборы функций enrich и lookup в SQL-запросе в правилах сбора и анализа данных.
  • Реализовано сохранение истории поисковых запросов. Теперь вы можете обращаться к истории запросов и быстро находить нужный выполненный вами запрос.
  • Добавлена возможность организовать сохраненные запросов в дереве папок для структурированного хранения и быстрого поиска запросов. Теперь вы можете редактировать ранее сохраненные запросы, переименовывать их, иерархически размещать запросы в группах (папках) и осуществлять поиск по ранее сохраненным запросам в поисковой строке. Также вы можете редактировать запросы и создавать ссылки на часто используемые запросы, добавляя их в «Избранное».
  • Добавлена возможность создавать временный список исключений (например, создавать исключения для ложноположительных срабатываний при работе с алертами или инцидентами). Вы можете сформировать список исключений по каждому корреляционному правилу.
  • При создании коллектора на шаге Парсинг событий добавлена возможность передавать в поле события KUMA название обрабатываемого коллектором файла или пути к файлу.
  • В коннектор с типом file добавлены следующие параметры:
    • Поле Время ожидания изменений, сек. Это поле позволяет указать время в секундах, в течение которого файл не должен обновляться, чтобы KUMA выполнила с ним действие, указанное в раскрывающемся списке Действие после таймаута: удалить, добавить суффикс, оставить без изменений.
    • Раскрывающийся список Действие после таймаута. Этот раскрывающийся список позволяет указать действие, которое KUMA выполняет с файлом по прошествии времени, указанного в поле Время ожидания изменений, сек.
  • В коннекторы с типом file, 1с-xml и 1c-log добавлены следующие параметры:
    • Раскрывающийся список Режим опроса файл/папки. Этот раскрывающийся список позволяет указать режим, в котором коннектор перечитывает файлы в директории.
    • Поле Интервал запросов, мс. Это поле позволяет указать интервал в миллисекундах, с которым коннектор перечитывает файлы в директории.
  • Изменен подход к определению срока хранения событий при использовании холодного хранения в связи с добавлением возможности задать условия хранения событий в кластере ClickHouse в размере дискового пространства (точного в ГБ и в процентах) при создании хранилища или пространства. Добавлен параметр Время хранения событий, в котором теперь определяется общая длительность хранения событий в KUMA с момента поступления. Этот параметр заменил параметр Срок холодного хранения событий.

    При обновлении KUMA до версии 3.4, если ранее у вас были настроены диски холодного хранения, значение параметра Время хранения событий будет рассчитано как сумма ранее указанных значений в параметрах Срок хранения событий и Срок холодного хранения событий.

  • Добавлена возможность гибкой настройки условий хранения событий в кластере ClickHouse с помощью параметра Варианты хранения событий для более устойчивой работы хранилища: по сроку хранения, размеру хранилища в ГБ или доли размера хранилища от общего доступного ему объема диска. При срабатывании заданного условия события перемещаются на диск холодного хранения или удаляются.

    Вы можете настроить условия хранения для хранилища целиком или для каждого пространства хранилища по отдельности. Параметр Варианты хранения событий заменил параметр Срок хранения.

  • Появилась возможность обеспечить гранулярный доступ к событиям для пользователей с разными правами. Доступ к событиям регулируется на уровне пространства хранилища. После обновления KUMA до версии 3.4 всем существующим пользователям будет назначен набор пространств All spaces, то есть будут доступны все пространства без ограничений. Вы можете разграничить доступ: необходимо настроить наборы пространств и отрегулировать права доступа. Также после обновления во всех виджетах, где были выбраны хранилища, будут выбраны все доступные пространства хранилища. Если создано новое пространство, пространство не будет выбрано автоматически в параметрах настройки виджета. Новое пространство следует выбрать в параметрах настройки виджете вручную.
  • Добавлена возможность управлять полями расширенной схемы событий в разделе ПараметрыПоля расширенной схемы событий. Вы можете просматривать существующие поля расширенной схемы событий и ресурсы, в которых они используются, изменять поля, создавать новые поля вручную и импортировать из файла, а также экспортировать поля и информацию о них.

    При обновлении KUMA до версии 3.4 ранее созданные поля расширенной схемы событий будут автоматически перенесены и отобразятся в разделе ПараметрыПоля расширенной схемы событий со следующими особенностями:

    • Если у вас было несколько полей одного типа с одинаковым именем, в KUMA 3.4 будет перенесено только одно поле.
    • Все поля с префиксом KL в названии будут перенесены в KUMA 3.4 со статусом Включено. Если какие-либо из этих полей станут служебными, вы не сможете их удалить, изменить, отключить или экспортировать.
    • Поля расширенной схемы событий, которые не соответствуют требованиям к полям в версии 3.4, будут перенесены в KUMA 3.4 со статусом Выключено.

    После обновления мы рекомендуем проверить такие поля и вручную исправить обнаруженные проблемы или изменить конфигурации ресурсов, которые их используют.

  • Добавлена возможность фильтровать и отображать данные за относительный временной диапазон.

    Эта функциональность доступна для фильтрации событий по периоду и для настройки отображения данных в отчетах, макете панели мониторинга и виджетах. Вы можете использовать эту функциональность, чтобы отображать события или другие данные, для которых выбранный параметр фильтрации был обновлен в течение временного диапазона относительно настоящего времени.

    Для фильтрации данных время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере.

  • Добавлена поддержка автодополнения при наборе функций переменных в корреляторах и правилах корреляции.

    Теперь, когда вы начинаете вводить имя функции при описании локальной или глобальной переменной, в поле ввода показывается список возможных вариантов, а слева от него - окно с описанием соответствующей функции и примерами ее использования. Вы можете выбрать нужную функцию из списка и вставить ее вместе с аргументами в поле ввода.

  • Добавлена возможность применить несколько политик мониторинга к нескольким источникам событий или отключить политики мониторинга от нескольких источников сразу.
  • Для политик мониторинга добавлен параметр Расписание, который позволяет настроить регулярность применения политик мониторинга к источникам событий.
  • Добавлена возможность управлять создаваемыми для агента подключениями для более удобной работы с ними. Вы можете переименовывать подключения, чтобы в дальнейшем определить, от какого подключения и с какого агента пришло событие, дублировать подключения, чтобы создавать новые подключения на основе существующих, и удалять подключения. Также восстановлен функционал, позволяющий использовать один агент для чтения нескольких файлов.
  • В агентах KUMA появилась возможность отслеживать маршрут события, если в подключении агента указана хотя бы одна точка назначения типа internal и если в коллекторе, принимающем события от агента, настроен коннектор типа internal. После настройки агента информация о маршруте события появится в карточке события, в карточке алерта и карточке корреляционного события в разделе Журнал отслеживания событий. Для событий с отслеживанием маршрута в разделе Журнал отслеживания событий информация о сервисах, через которые проходит событие, отображается в преобразованном виде. Имена сервисов представлены в виде ссылки. Вы можете нажать на ссылку с именем сервиса, чтобы открыть новую вкладку браузера с карточкой сервиса. Если вы измените название сервиса, новое название сервиса отобразится в карточках новых событий и в карточках уже обработанных событий. Если вы удалите сервис в разделе Активные сервисы, в карточках событий в разделе Журнал отслеживания событий вместо ссылки будет отображаться Удален. Остальные данные о маршруте события не будут удалены и по-прежнему будут отображаться.
  • Конвертор правил Sigma выполняет преобразование правил в селектор фильтра, SQL-запрос для поиска событий или в корреляционное правило KUMA типа simple. Доступен с лицензией LGPL 2.1.
  • Появилась возможность установить сервис AI рейтинг и статус активов при условии, что лицензия содержит модуль AI.

    AI-сервис позволяет уточнить критичность корреляционных событий, сгенерированных в результате срабатывания правил корреляции. AI-сервис получает из доступных кластеров хранения корреляционные события, которые содержат связанные активы, выстраивает ожидаемую последовательность событий и обучает модель AI. На основании цепочки срабатываний корреляционных правил AI-сервис высчитывает, является ли такая последовательность срабатываний характерной в этой инфраструктуре. Нехарактерные паттерны повышают рейтинг актива. По результатам расчетов AI-сервиса в карточке активов становится доступным для просмотра Рейтинг AI и Статус. Вы можете осуществлять поиск активов с помощью фильтра по полям Рейтинг AI и Статус. Также вы можете настроить проактивную категоризацию активов по полям Рейтинг AI и Статус и тогда, как только AI-сервис присвоит активу рейтинг, актив будет перемещен в заданную для такого уровня риска категорию. Также вы можете отслеживать изменение категории активов и распределение активов по статусам на панели мониторинга.

  • В регионе RU при условии наличия лицензионного модуля AI доступна возможность проанализировать с помощью Kaspersky Investigation & Response Assistant (далее - KIRA) команду, на которую сработало корреляционное правило. Такой анализ помогает расследовать алерты и инциденты, предлагая понятное описание параметров команды.

    Вы можете отправить запрос в KIRA из карточки события или карточки корреляционного события. KIRA выполнит деобфускацию, если команда обфусцирована, и покажет результат: вывод, краткое содержание и развернутый анализ. Результаты запроса хранятся в кэше в течение 14 дней и доступны для повторного просмотра в карточке события на вкладке Анализ KIRA всем пользователям с правами доступа. Также есть возможность просмотреть результат в свойствах задачи Запрос в KIRA или перезапустить задачу и выполнить анализ с нуля.

  • Добавлена возможность категоризации активов по относительному временному диапазону.

    Вы можете настроить активную привязку активов к категориям, чтобы активы были перемещены в категорию с момента выполнения условия категоризации в течение временного диапазона относительно настоящего времени.

    Для категоризации время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере.

  • Добавлены новые типы настраиваемых шаблонов уведомлений.

    В предыдущих версиях шаблоны уведомлений были доступны только для уведомления о создании алертов. Теперь вы также можете создавать шаблоны уведомлений следующих типов:

    • Завершение генерации отчета.
    • Завершение асинхронной задачи (шаблон с таким типом может быть только один).
    • Нарушение политики мониторинга.
    • Перемещение пользователя в другую группу KASAP.

    Все типы шаблонов доступны при создании шаблона для тенанта Shared. Для всех остальных тенантов доступны типы шаблонов уведомлений Созданный алерт и Нарушение политики мониторинга.

  • Добавлен новый тип графиков – Сложенная столбчатая диаграмма.

    Вы можете использовать новый вид графика при создании виджетов События и Активы для отображения количественного или процентного соотношения для выбранных параметров. Отдельные значения параметров будут показаны на каждом столбце разным цветом.

  • Добавлена возможность множественного выбора активов с помощью фильтра и удаления всех выбранных активов. Теперь вы также можете выделить все активы в категории, привязать их к категории или отвязать активы от категории.
  • Добавлена возможность множественного выбора ресурсов и их удаления. Вы можете удалять все ресурсы или отдельные типы ресурсов.
  • В группе виджетов Активы добавлены предустановленные виджеты, а также новый тип Пользовательский виджет, позволяющий производить пользовательскую аналитику по активам.
  • Улучшен экспорт виджетов в PDF: теперь, если отображаемые данные в виджете выходят за пределы видимой области, такой виджет при эскпорте в PDF разбивается на несколько виджетов, а вертикальные столбчатые диаграммы преобразуются в горизонтальные.
  • Добавлен унифицированный нормализатор для различных версий NetFlow (NetFlow v5, NetFlow v9, IPFIX/NetFlow v10): вместо трех отдельных нормализаторов вы можете использовать один. Нормализаторы NetFlow v5, NetFlow v9 и IPFIX (NetFlow v10) при этом по-прежнему доступны.

    Помимо этого, теперь последний шаблон NetFlow сохраняется на диске для каждого источника событий, что позволяет при перезапуске коллектора сразу парсить поток netflow от уже известного источника событий.

  • Добавлена возможность автоматически принимать Лицензионное соглашение во время установки агента KUMA на устройствах Linux и устройствах Windows с использованием параметра --accept-eula. Также у агента Windows появилась возможность задать пароль к учетной записи, под которой будет работать агент, как параметр командной строки.
  • В разделе РесурсыАктивные сервисы в таблице сервисов добавлен новый столбец параметра UUID, в котором отображается уникальный идентификатор сервиса.

    По умолчанию этот столбец скрыт. Идентификация сервисов KUMA по UUID может упростить поиск неисправностей на уровне операционной системы.

  • KUMA поддерживает оператор UNION для подключений к СУБД Oracle в качестве источника событий.
  • Для оптимизации управления активами процесс импорта информации об активах из Kaspersky Security Center был разделен на две задачи:
    • Импорт информации об основных параметрах активов (состоянии защиты, версии антивирусных баз, оборудовании), который занимает меньше времени и предполагает более частый запуск.
    • Импорт информации об остальных параметрах активов (уязвимостях, программном обеспечении, владельцах), во время которого может загружаться большое количество информации и на выполнение которого требуется более длительное время.

    Каждая из задач импорта может запускаться независимо от другой и для каждой доступна отдельная настройка расписания автоматического запуска при настройке параметров интеграции с Kaspersky Security Center.

  • Добавлена возможность отобразить отдельные графики поступления событий для нескольких источников событий одновременно, а также построить диаграмму поступления событий на основе графиков для нескольких источников событий, чтобы сравнить поток и динамику поступления событий для нескольких источников событий.
  • В условия активной категоризации и поиска активов добавлены новые параметры фильтрации: Версия ПО, Группа KSC, CVSS (уровень критичности уязвимости CVE на активе), Количество CVE (количество уникальных уязвимостей с признаком CVE на активе), а также фильтрация по настраиваемым полям активов.
  • Появилась возможность получать обновления ресурсов через прокси-сервер.
  • Добавлена возможность включить генерацию отчетов по потреблению ресурсов (CPU, RAM и т.д.) в виде дампов по запросу техподдержки.
  • Для ресурсов в таблице отображается количество ресурсов из доступных вам тенантов в таблице: общее или с учетом примененного фильтра или поиска, а также количество выбранных ресурсов.
  • Новый коннектор office365 позволяет настроить получение событий из облачного решения Microsoft 365 (Office 365) по API.
  • Прекращена поддержка и поставка устаревших ресурсов:
    • [OOTB] Linux audit and iptables syslog
    • [OOTB] Linux audit.log file
    • [OOTB] Checkpoint Syslog CEF by CheckPoint
    • [OOTB] Eltex MES Switches
    • [OOTB] PTsecurity NAD
    • [OOTB][AD] Granted TGS without TGT (Golden Ticket)
    • [OOTB][AD] Possible Kerberoasting attack
    • [OOTB][AD][Technical] 4768. TGT Requested
    • [OOTB][AD] List of requested TGT. EventID 4768
Идентификатор статьи: 220925, Последнее изменение: 25 апр. 2025 г.
В начало