Что нового

В Kaspersky Unified Monitoring and Analysis Platform версии 4.2 появились следующие возможности и доработки:

• Доступна установка сервиса Метрики на произвольном хосте. Сервис Метрики должен быть только один. При установке KUMA с нуля необходимо указать хост для установки сервиса Метрики в секции kuma_metrics в файле инвентаря. При обновлении KUMA до версии 4.2 необходимо указать хост, на котором установлен активный сервис Метрики, в секции kuma_metrics в файле инвентаря. Например, если в KUMA 4.0 сервис Метрики был установлен на хосте kuma-core.example.com, перед выполнением обновления до версии 4.2 следует указать хост kuma-core.example.com в секции kuma_metrics в файле инвентаря. Если вы хотите перенести сервис Метрики на другой хост, вы можете использовать установщик expand.sh и файл инвентаря expand.inventory.yml.

  При переносе Ядра KUMA в кластер Kubernetes необходимо предварительно перенести сервис Метрики на один хост с Ядром KUMA при помощи установщика expand.sh и файла инвентаря expand.inventory.yml. При переносе Ядра KUMA в кластер Kubernetes выполняется проверка наличия запущенного сервиса Метрики на этом хосте. Если сервис Метрики не найден, вернется ошибка и перенос будет прерван. При переносе Ядра KUMA в кластер Kubernetes данные метрик переносятся в кластер.

• Доступно резервное копирование партиций по расписанию, резервное копирование партиций вручную, восстановление партиций из резервной копии и импорт партиций из сторонней установки KUMA.
• Резервное копирование и восстановление Ядра KUMA теперь можно выполнить через веб-интерфейс.
• После обновления KUMA с версии 4.0 до версии 4.2 доступно обновление компонентов кластера Kubernetes.
• В дополнение к предустановленным ролям появилась возможность создания пользовательских ролей. Для пользовательских ролей можно формировать уникальные наборы прав и полномочий с указанием необходимых пользователю функциональных областей.
• Для холодного хранения данные с кластера ClickHouse теперь можно переносить в облачное хранилище S3.
• В коннекторе типа kafka для авторизации теперь используются защищенные механизмы подключения SCRAM-SHA-256 и SCRAM-SHA-512.
• Добавлен коннектор типа universalAPI для получения данных из произвольных REST API с поддержкой JSON, фильтрации по идентификатору и режима итераций.
• Появилась возможность запускать поисковые SQL-запросы в фоновом режиме с пониженным приоритетом и просматривать результаты после завершения выполнения.
• Под учетной записью с правами Главного администратора теперь можно просматривать активные запросы других пользователей, а также управлять ими.
• Доступно новое правило корреляции типа periodical, которое используется для выявления несанкционированного использования учетных записей путем обнаружения аномальной активности пользователей, которая может указывать на компрометацию учетной записи. Создание этого правила доступно только при использовании коррелятора correlator-ng.
• Добавлена возможность настройки часового пояса и формата ISO 8601 в учетной записи пользователя, а также выбора первого дня недели для всего экземпляра KUMA (доступно только пользователям с ролью Главный администратор).
• В таблице раздела Алерты добавлен столбец Дополнительная информация, в котором отображается значение поля корреляционного события, выбранного при настройке параметров наполнения алерта. Для некоторых полей автоматически отображаются связанные значения, которые выводятся вместе с основным значением в карточке алерта.
• Теперь можно привязывать ресурсы (правила корреляции, правила обогащения, правила реагирования, правила агрегирования и точки назначения) к таким сервисам, как коллекторы, корреляторы и маршрутизаторы событий. Доступные сервисы зависят от типа выбранного ресурса.
• Добавлен новый тип точек назначения udp, позволяющий передавать нормализованные события по протоколу UDP из коллекторов и корреляторов.
• В контекстных таблицах добавлена возможность экспорта данных в форматах CSV и TSV.
• С помощью коннектора типа http KUMA может принимать события как в несжатом, так и в сжатом виде. При поступлении событий в сжатом виде, например событий Kaspersky Endpoint Security for Windows, декомпрессия событий происходит автоматически.

В начало