Базовая среда выполнения, включающая кластер Kubernetes и компоненты инфраструктуры для работы Kaspersky SMP. Bootstrap входит в транспортный архив и автоматически устанавливается при развертывании Kaspersky SMP.
Утилита, используемая для развертывания и управления кластером Kubernetes, компонентами Kaspersky SMP и веб-плагинами управления.
Сервисы KUMA, которые используются для получения событий на удаленных устройствах и пересылки их коллекторам KUMA.
Устройство или пользователь защищаемой инфраструктуры. Если на активе обнаружен алерт или инцидент, вы можете выполнить действия по реагированию для этого актива.
Алгоритм, включающий последовательность действий по реагированию, которые помогают анализировать и обрабатывать алерты или инциденты.
Событие в ИТ-инфраструктуре организации, которое было отмечено Kaspersky SMP как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуре организации.
Инструмент для визуального анализа, который показывает отношения между событиями, алертами, инцидентами, наблюдаемыми объектами и активами (устройствами). На графе расследования отображается подробная информация об инциденте: соответствующие алерты, пользователи, активы и их общие свойства.
Действия, запускаемые в плейбуках.
Архив, содержащий транспортный архив с компонентами Kaspersky SMP и Лицензионными соглашениями для Kaspersky SMP и KDT, а также архив с утилитой KDT и шаблонами конфигурационного файла и файлом инвентаря KUMA.
Контейнер алертов, который обычно указывает на проблему в ИТ-инфраструктуре организации. Инцидент может содержать один или несколько алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему.
Набор устройств, объединенных с помощью Kubernetes в один вычислительный ресурс. Кластер Kubernetes используется для работы компонентов Kaspersky SMP (кроме сервисов KUMA). Кластер Kubernetes включает только целевые устройства.
Сервис KUMA, который получает сообщения от источников событий, обрабатывает их, а затем передает их в хранилище, коррелятор и/или сторонние службы для идентификации алертов.
Набор параметров доступа, определяющих кластер Kubernetes, с которым пользователь может выбрать взаимодействие. Контекст также включает данные для подключения к кластеру с помощью KDT.
Файл в формате YAML, содержащий список целевых устройств для развертывания Kaspersky SMP и набор параметров для установки компонентов Kaspersky SMP. Конфигурационный файл используется KDT.
Сервис KUMA, анализирующий нормализованные события.
Режим, который позволяет главному администратору предоставлять функциональность Kaspersky SMP нескольким клиентам независимо или разделять активы и параметры программы и объекты для разных офисов. Также режим мультитенантности позволяет копировать и наследовать параметры и объекты тенанта от родительского тенанта, а также автоматически распространять лицензионный ключ Kaspersky SMP для всех тенантов в иерархии.
Объекты, связанные с алертом и инцидентом, такие как хеши MD5 и SHA256, IP-адрес, веб-адрес, имя домена, имя пользователя или имя устройства.
Событие, которое обрабатывается в соответствии с нормализованной моделью данных событий KUMA.
Объект, который реагирует на алерты или инциденты в соответствии с заданным алгоритмом (алгоритмом плейбука). Плейбуки позволяют автоматизировать рабочие процессы и сокращать время, необходимое для обработки алертов и инцидентов.
KDT – это команда, позволяющая выполнять дополнительные операции, специфичные для компонентов Kaspersky SMP (кроме установки, обновления, удаления).
Правила, которые позволяют автоматически разделять связанные алерты на отдельные инциденты в зависимости от заданных условий.
Ресурс KUMA, используемый для распознавания определенных последовательностей обработанных событий и выполнения заданных действий после распознавания.
Компонент инфраструктуры, в котором хранятся контейнеры программ и который используется для установки и хранения компонентов Kaspersky SMP.
Основные компоненты KUMA, которые помогают системе управлять событиями. Сервисы позволяют получать события из источников событий и в дальнейшем приводить их к общему виду, удобному для поиска корреляций, а также для хранения и ручного анализа. Сервисы KUMA (агенты, коллекторы, корреляторы и хранилища) устанавливаются на устройства, расположенные вне кластера Kubernetes.
События информационной безопасности, зарегистрированные на контролируемых элементах ИТ-инфраструктуры организации. Например, события включают попытки входа в систему, взаимодействия с базой данных и многоадресную рассылку информации. Каждое отдельное событие может показаться бессмысленным, но, если рассматривать их вместе, они формируют более широкую картину сетевой активности, которая помогает идентифицировать угрозы безопасности.
Логический объект, соответствующий организационной единице (клиенту или офису), которой предоставляется функциональность Kaspersky SMP. Каждый тенант может включать в себя активы, пользователей и их права доступа, события, алерты, инциденты, плейбуки, а также интеграцию с другими программами, службами и решениями "Лаборатории Касперского". Также тенант определяет набор доступных операций с включенными объектами.
Архив, который содержит компоненты Kaspersky SMP и веб-плагинов управления. Транспортный архив включен в дистрибутив.
Физическая или виртуальная машина, на которой будет развернут Kaspersky SMP. Есть первичный и рабочий узлы. Первичный узел предназначен для управления кластером, хранения метаданных и распределения рабочей нагрузки. Рабочие узлы предназначены для выполнения рабочей нагрузки компонентов Kaspersky SMP.
Физическая или виртуальная машина, которая используется для развертывания и управления кластером Kubernetes и Kaspersky SMP. Устройство администратора не входит в кластер Kubernetes.
Файл в формате YAML, который содержит параметры для установки сервисов KUMA, не включенных в кластер Kubernetes. Путь к файлу инвентаря KUMA включен в конфигурационный файл, который используется KDT для развертывания Kaspersky SMP.
Сервис KUMA, который используется для хранения нормализованных событий, чтобы к ним можно было быстро и постоянно получать доступ из KUMA с целью извлечения аналитических данных.
Физические или виртуальные машины, на которых устанавливается Kaspersky SMP. Целевые устройства входят в кластер Kubernetes и выполняют рабочую нагрузку компонентов Kaspersky SMP.
Последовательность шагов, позволяющих отслеживать стадии кибератаки. Цепочка развития угроз позволяет проанализировать причины возникновения угрозы. Для создания цепочки развития угрозы управляемая программа передает данные с устройства на Сервер администрирования с помощью Агента администрирования.
В начало