Базовая среда выполнения, включающая кластер Kubernetes и компоненты инфраструктуры для работы Open Single Management Platform. Bootstrap входит в транспортный архив и автоматически устанавливается при развертывании Open Single Management Platform.
Утилита, используемая для развертывания и управления кластером Kubernetes, компонентами Open Single Management Platform и веб-плагинами управления. KDT работает на устройстве администратора и подключается к целевым устройствам с помощью SSH.
Сервисы KUMA, которые используются для получения событий на удаленных устройствах и пересылки их коллекторам KUMA.
Open Single Management Platform – это компонент, обеспечивающий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере). Этот компонент является единым для всех программ, разработанных для систем Microsoft® Windows®. Для программ "Лаборатории Касперского" для операционных систем UNIX и подобных им и macOS существуют отдельные версии Агента администрирования.
Устройство или пользователь защищаемой инфраструктуры. Если на активе обнаружен алерт или инцидент, вы можете выполнить действия по реагированию для этого актива.
Алгоритм, включающий последовательность действий по реагированию, которые помогают анализировать и обрабатывать алерты или инциденты.
Событие в ИТ-инфраструктуре организации, которое было отмечено Open Single Management Platform как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуре организации.
Инструмент для визуального анализа, который показывает отношения между событиями, алертами, инцидентами, наблюдаемыми объектами и активами (устройствами). На графе расследования отображается подробная информация об инциденте: соответствующие алерты, пользователи, активы и их общие свойства.
Действия, запускаемые в плейбуках.
Архив, содержащий транспортный архив с компонентами Open Single Management Platform и Лицензионными соглашениями для Open Single Management Platform и KDT, а также архив с утилитой KDT и шаблонами конфигурационного файла и файлом инвентаря KUMA.
Контейнер алертов, который обычно указывает на истинно положительное обнаружение проблемы в ИТ-инфраструктуре организации. Инцидент может содержать один или несколько алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему.
Набор устройств, объединенных с помощью Kubernetes в один вычислительный ресурс. Кластер Kubernetes используется для работы компонентов Open Single Management Platform (кроме сервисов KUMA). Кластер Kubernetes может включать в себя как целевые устройства, так и устройство администратора.
Сервис KUMA, который получает сообщения от источников событий, обрабатывает их, а затем передает их в хранилище, коррелятор и/или сторонние службы для идентификации алертов.
Набор параметров доступа, определяющих кластер Kubernetes, с которым пользователь может выбрать взаимодействие. Контекст также включает данные для подключения к кластеру с помощью KDT.
Файл в формате YAML, содержащий список целевых устройств для развертывания Open Single Management Platform и набор параметров для установки компонентов Open Single Management Platform. Конфигурационный файл используется KDT.
Сервис KUMA, анализирующий нормализованные события.
Режим, который позволяет главному администратору предоставлять функциональность Open Single Management Platform нескольким клиентам независимо или разделять активы и параметры приложения и объекты для разных офисов. Также режим мультитенантности позволяет копировать и наследовать параметры и объекты тенанта от родительского тенанта, а также автоматически распространять лицензионный ключ Open Single Management Platform для всех тенантов в иерархии.
Объекты, связанные с алертом и инцидентом, такие как хеши MD5 и SHA256, IP-адрес, веб-адрес, имя домена, имя пользователя или имя устройства.
Событие, которое обрабатывается в соответствии с нормализованной моделью данных событий KUMA.
Объект, который реагирует на алерты или инциденты в соответствии с заданным алгоритмом (алгоритмом плейбука). Плейбуки позволяют автоматизировать рабочие процессы и сокращать время, необходимое для обработки алертов и инцидентов.
KDT – это команда, позволяющая выполнять дополнительные операции, специфичные для компонентов Open Single Management Platform (кроме установки, обновления, удаления).
Правила, которые позволяют автоматически разделять связанные алерты на отдельные инциденты в зависимости от заданных условий.
Ресурс KUMA, используемый для распознавания определенных последовательностей обработанных событий и выполнения заданных действий после распознавания.
Компонент инфраструктуры, в котором хранятся контейнеры приложений и который используется для установки и хранения компонентов Open Single Management Platform.
Основные компоненты KUMA, которые помогают системе управлять событиями. Сервисы позволяют получать события из источников событий и в дальнейшем приводить их к общему виду, удобному для поиска корреляций, а также для хранения и ручного анализа. Сервисы KUMA (агенты, коллекторы, корреляторы и хранилища) устанавливаются на устройства, расположенные вне кластера Kubernetes.
События информационной безопасности, зарегистрированные на контролируемых элементах ИТ-инфраструктуры организации. Например, события включают попытки входа в систему, взаимодействия с базой данных и многоадресную рассылку информации. Каждое отдельное событие может показаться неинформативным, но, если рассматривать их вместе, они формируют более широкую картину сетевой активности, которая помогает идентифицировать угрозы безопасности.
Логический объект, соответствующий организационной единице (клиенту или офису), которой предоставляется функциональность Open Single Management Platform. Каждый тенант может включать в себя активы, пользователей и их права доступа, события, алерты, инциденты, плейбуки, а также интеграцию с другими приложениями, службами и решениями "Лаборатории Касперского". Также тенант определяет набор доступных операций с включенными объектами.
Архив, который содержит компоненты Open Single Management Platform и веб-плагинов управления и Лицензионные соглашения Open Single Management Platform и KDT. Транспортный архив включен в дистрибутив.
Физическая или виртуальная машина, на которой будет развернут Open Single Management Platform. Есть первичный и рабочий узлы. Первичный узел предназначен для управления кластером, хранения метаданных и распределения рабочей нагрузки. Рабочие узлы предназначены для выполнения рабочей нагрузки компонентов Open Single Management Platform.
Физическая или виртуальная машина, которая используется для развертывания и управления кластером Kubernetes и Open Single Management Platform с помощью KDT. KDT работает на устройстве администратора. Если устройство администратора не включено в кластер Kubernetes, оно будет использоваться только для развертывания. Если устройство администратора включено в кластер, оно также будет действовать как целевое устройство, которое используется для работы компонентов Open Single Management Platform.
Файл в формате YAML, который содержит параметры для установки сервисов KUMA, не включенных в кластер Kubernetes. Путь к файлу инвентаря KUMA включен в конфигурационный файл, который используется KDT для развертывания Open Single Management Platform.
Сервис KUMA, который используется для хранения нормализованных событий, чтобы к ним можно было быстро и постоянно получать доступ из KUMA с целью извлечения аналитических данных.
Физические или виртуальные машины, на которых устанавливается Open Single Management Platform. Целевые устройства включены в кластер Kubernetes. Компоненты Open Single Management Platform работают на этих устройствах.
Последовательность шагов, позволяющих отслеживать стадии кибератаки. Цепочка развития угроз позволяет проанализировать причины возникновения угрозы. Для создания цепочки развития угрозы управляемое приложение передает данные с устройства на Сервер администрирования с помощью Агента администрирования.
В начало