Kaspersky Symphony XDR
Быстрые ссылки
Что нового
Об Open Single Management Platform
- Аппаратные и программные требования
- Совместимые приложения и решения
Архитектура Open Single Management Platform
Интерфейс Консоли OSMP
- Закрепление и отмена закрепления разделов главного меню
- Изменение языка интерфейса Консоли OSMP
Лицензирование
- О Лицензионном соглашении
- О лицензионном ключе
- О коде активации
- О файле ключа
- Лицензионные ограничения
- Активация Open Single Management Platform
- Просмотр информации об используемых лицензионных ключах
- Продление срока действия лицензии приложений "Лаборатории Касперского"
Предоставление данных
- Предоставление данных в Open Single Management Platform
- Предоставление данных в Kaspersky Unified Monitoring and Analysis Platform
Начало работы
- Развертывание и первоначальная настройка Open Single Management Platform
- Проверка настройки Open Single Management Platform
- Использование функций мониторинга, обнаружения и поиска угроз
- Пример расследования инцидента с помощью Open Single Management Platform
Развертывание Open Single Management Platform
- Руководство по усилению защиты
- Схемы развертывания
  - Схема развертывания на нескольких узлах
  - Схема развертывания на одном узле
- Порты, используемые Open Single Management Platform
- Подготовительные работы и развертывание
- Обслуживание Open Single Management Platform
Перенос данных в Open Single Management Platform
- О переносе данных из Kaspersky Security Center Windows
- О переносе данных из KUMA
  - Перенос данных автономной версии KUMA в Open Single Management Platform
  - Запуск приложения переноса для переноса данных
Интеграция с другими решениями
- Интеграция с Kaspersky Automated Security Awareness Platform
  - Создание токена в KASAP и получение URL для API-запросов
- Интеграция с Kaspersky Threat Intelligence Portal
- Интеграция с KATA/KEDR
- Настройка пользовательской интеграции
- Взаимодействие с НКЦКИ
Обнаружение угроз
- Работа с алертами
- Работа с инцидентами
- Настройка периода хранения алертов и инцидентов
- Просмотр информации об активе
Поиск угроз
- Работа с событиями
- Ретроспективное сканирование
- Получение статистики таблицы событий
Реагирование на угрозы
- Действия по реагированию
- Плейбуки
REST API
- Создание токена
- Авторизация запросов API
Справочное руководство API
Управление Kaspersky Unified Monitoring and Analysis Platform
- О приложении Kaspersky Unified Monitoring and Analysis Platform
  - Что нового
- Архитектура приложения
- Руководство администратора
- Руководство пользователя
  - Ресурсы KUMA
  - Аналитика
Работа с Open Single Management Platform
- Основные понятия
- Настройка Сервера администрирования
- Обнаружение устройств в сети
- Управление клиентскими устройствами
- Развертывание приложений "Лаборатории Касперского"
- Настройка защиты сети
- Управление пользователями и ролями пользователей
- Обновление баз и приложений "Лаборатории Касперского"
- Удаленная диагностика клиентских устройств
- Управление сторонними приложениями и исполняемыми файлами на клиентских устройствах
- О лицензии
Мониторинг, отчеты и аудит
- Сценарий: мониторинг и отчеты
- О типах мониторинга и отчетах
- Срабатывание правил в режиме Интеллектуального обучения
  - Просмотр и подтверждение обнаружений, выполненных с помощью правил Адаптивного контроля аномалий
  - Добавление исключений в правила Адаптивного контроля аномалий
- Панель мониторинга и веб-виджеты
- Отчеты
- События и выборки событий
- Уведомления и статусы устройств
- Объявления "Лаборатории Касперского"
- Cloud Discovery
- Экспорт событий в SIEM-системы
- Работа с ревизиями объектов
  - Просмотр и сохранение ревизии политики
  - Откат изменений объекта к предыдущей ревизии
- Удаление объектов
- Загрузка и удаление файлов из Карантина и Резервного хранилища
  - Загрузка файлов из Карантина и Резервного хранилища
  - Об удалении объектов из Карантина, Резервного хранилища или Активных угроз
- Операции по диагностике компонентов Open Single Management Platform
Мультитенантность
- О привязке тенантов к Серверам администрирования
- Настройка интеграции с Open Single Management Platform
- Просмотр и изменение тенантов
- Добавление тенантов
- Назначение ролей пользователям тенанта
- Удаление тенантов
- Настройка подключения к SMTP
- Настройка шаблонов уведомлений
Обращение в Службу технической поддержки
- Способы получения технической поддержки
- Техническая поддержка через Kaspersky CompanyAccount
Список ограничений
Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Настройка модели данных нормализованного события из KATA EDR
- Модель данных актива
- Модель данных учетной записи
- События аудита KUMA
- Правила корреляции
- Формат времени
- Сопоставление полей предустановленных нормализаторов
Глоссарий
- Bootstrap
- Kaspersky Deployment Toolkit
- Агент
- Агент администрирования
- Актив
- Алгоритм плейбука
- Алерт
- Граф расследования
- Действия по реагированию
- Дистрибутив
- Инцидент
- Кластер Kubernetes
- Коллектор
- Контекст
- Конфигурационный файл
- Коррелятор
- Мультитенантность
- Наблюдаемые объекты
- Нормализованное событие
- Плейбук
- Пользовательские действия
- Правила сегментации
- Правило корреляции
- Реестр
- Сервисы KUMA
- Событие
- Тенант
- Транспортный архив
- Узел
- Устройство администратора
- Файл инвентаря KUMA
- Хранилище
- Целевые устройства
- Цепочка развития угрозы
Информация о стороннем коде
Уведомления о товарных знаках

Глоссарий

Bootstrap

Базовая среда выполнения, включающая кластер Kubernetes и компоненты инфраструктуры для работы Open Single Management Platform. Bootstrap входит в транспортный архив и автоматически устанавливается при развертывании Open Single Management Platform.

Kaspersky Deployment Toolkit

Утилита, используемая для развертывания и управления кластером Kubernetes, компонентами Open Single Management Platform и веб-плагинами управления. KDT работает на устройстве администратора и подключается к целевым устройствам с помощью SSH.

Агент

Сервисы KUMA, которые используются для получения событий на удаленных устройствах и пересылки их коллекторам KUMA.

Агент администрирования

Open Single Management Platform – это компонент, обеспечивающий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере). Этот компонент является единым для всех программ, разработанных для систем Microsoft Windows. Для программ "Лаборатории Касперского" для операционных систем UNIX и подобных им и macOS существуют отдельные версии Агента администрирования.

Актив

Устройство или пользователь защищаемой инфраструктуры. Если на активе обнаружен алерт или инцидент, вы можете выполнить действия по реагированию для этого актива.

Алгоритм плейбука

Алгоритм, включающий последовательность действий по реагированию, которые помогают анализировать и обрабатывать алерты или инциденты.

Алерт

Событие в ИТ-инфраструктуре организации, которое было отмечено Open Single Management Platform как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуре организации.

Граф расследования

Инструмент для визуального анализа, который показывает отношения между событиями, алертами, инцидентами, наблюдаемыми объектами и активами (устройствами). На графе расследования отображается подробная информация об инциденте: соответствующие алерты, пользователи, активы и их общие свойства.

Действия по реагированию

Действия, запускаемые в плейбуках.

Дистрибутив

Архив, содержащий транспортный архив с компонентами Open Single Management Platform и Лицензионными соглашениями для Open Single Management Platform и KDT, а также архив с утилитой KDT и шаблонами конфигурационного файла и файлом инвентаря KUMA.

Инцидент

Контейнер алертов, который обычно указывает на истинно положительное обнаружение проблемы в ИТ-инфраструктуре организации. Инцидент может содержать один или несколько алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему.

Кластер Kubernetes

Набор устройств, объединенных с помощью Kubernetes в один вычислительный ресурс. Кластер Kubernetes используется для работы компонентов Open Single Management Platform (кроме сервисов KUMA). Кластер Kubernetes может включать в себя как целевые устройства, так и устройство администратора.

Коллектор

Сервис KUMA, который получает сообщения от источников событий, обрабатывает их, а затем передает их в хранилище, коррелятор и/или сторонние службы для идентификации алертов.

Контекст

Набор параметров доступа, определяющих кластер Kubernetes, с которым пользователь может выбрать взаимодействие. Контекст также включает данные для подключения к кластеру с помощью KDT.

Конфигурационный файл

Файл в формате YAML, содержащий список целевых устройств для развертывания Open Single Management Platform и набор параметров для установки компонентов Open Single Management Platform. Конфигурационный файл используется KDT.

Коррелятор

Сервис KUMA, анализирующий нормализованные события.

Мультитенантность

Режим, который позволяет главному администратору предоставлять функциональность Open Single Management Platform нескольким клиентам независимо или разделять активы и параметры приложения и объекты для разных офисов. Также режим мультитенантности позволяет копировать и наследовать параметры и объекты тенанта от родительского тенанта, а также автоматически распространять лицензионный ключ Open Single Management Platform для всех тенантов в иерархии.

Наблюдаемые объекты

Объекты, связанные с алертом и инцидентом, такие как хеши MD5 и SHA256, IP-адрес, веб-адрес, имя домена, имя пользователя или имя устройства.

Нормализованное событие

Событие, которое обрабатывается в соответствии с нормализованной моделью данных событий KUMA.

Плейбук

Объект, который реагирует на алерты или инциденты в соответствии с заданным алгоритмом (алгоритмом плейбука). Плейбуки позволяют автоматизировать рабочие процессы и сокращать время, необходимое для обработки алертов и инцидентов.

Пользовательские действия

KDT – это команда, позволяющая выполнять дополнительные операции, специфичные для компонентов Open Single Management Platform (кроме установки, обновления, удаления).

Правила сегментации

Правила, которые позволяют автоматически разделять связанные алерты на отдельные инциденты в зависимости от заданных условий.

Правило корреляции

Ресурс KUMA, используемый для распознавания определенных последовательностей обработанных событий и выполнения заданных действий после распознавания.

Реестр

Компонент инфраструктуры, в котором хранятся контейнеры приложений и который используется для установки и хранения компонентов Open Single Management Platform.

Сервисы KUMA

Основные компоненты KUMA, которые помогают системе управлять событиями. Сервисы позволяют получать события из источников событий и в дальнейшем приводить их к общему виду, удобному для поиска корреляций, а также для хранения и ручного анализа. Сервисы KUMA (агенты, коллекторы, корреляторы и хранилища) устанавливаются на устройства, расположенные вне кластера Kubernetes.

Событие

События информационной безопасности, зарегистрированные на контролируемых элементах ИТ-инфраструктуры организации. Например, события включают попытки входа в систему, взаимодействия с базой данных и многоадресную рассылку информации. Каждое отдельное событие может показаться неинформативным, но, если рассматривать их вместе, они формируют более широкую картину сетевой активности, которая помогает идентифицировать угрозы безопасности.

Тенант

Логический объект, соответствующий организационной единице (клиенту или офису), которой предоставляется функциональность Open Single Management Platform. Каждый тенант может включать в себя активы, пользователей и их права доступа, события, алерты, инциденты, плейбуки, а также интеграцию с другими приложениями, службами и решениями "Лаборатории Касперского". Также тенант определяет набор доступных операций с включенными объектами.

Транспортный архив

Архив, который содержит компоненты Open Single Management Platform и веб-плагинов управления и Лицензионные соглашения Open Single Management Platform и KDT. Транспортный архив включен в дистрибутив.

Узел

Физическая или виртуальная машина, на которой будет развернут Open Single Management Platform. Есть первичный и рабочий узлы. Первичный узел предназначен для управления кластером, хранения метаданных и распределения рабочей нагрузки. Рабочие узлы предназначены для выполнения рабочей нагрузки компонентов Open Single Management Platform.

Устройство администратора

Физическая или виртуальная машина, которая используется для развертывания и управления кластером Kubernetes и Open Single Management Platform с помощью KDT. KDT работает на устройстве администратора. Если устройство администратора не включено в кластер Kubernetes, оно будет использоваться только для развертывания. Если устройство администратора включено в кластер, оно также будет действовать как целевое устройство, которое используется для работы компонентов Open Single Management Platform.

Файл инвентаря KUMA

Файл в формате YAML, который содержит параметры для установки сервисов KUMA, не включенных в кластер Kubernetes. Путь к файлу инвентаря KUMA включен в конфигурационный файл, который используется KDT для развертывания Open Single Management Platform.

Хранилище

Сервис KUMA, который используется для хранения нормализованных событий, чтобы к ним можно было быстро и постоянно получать доступ из KUMA с целью извлечения аналитических данных.

Целевые устройства

Физические или виртуальные машины, на которых устанавливается Open Single Management Platform. Целевые устройства включены в кластер Kubernetes. Компоненты Open Single Management Platform работают на этих устройствах.

Цепочка развития угрозы

Последовательность шагов, позволяющих отслеживать стадии кибератаки. Цепочка развития угроз позволяет проанализировать причины возникновения угрозы. Для создания цепочки развития угрозы управляемое приложение передает данные с устройства на Сервер администрирования с помощью Агента администрирования.

Идентификатор статьи: 90, Последнее изменение: 18 апр. 2025 г.

В начало