Реализована поддержка мультитенантности для поставщиков услуг управляемой безопасности (MSSP) и крупных предприятий. Это нововведение позволяет компаниям с несколькими филиалами и поставщикам услуг обнаруживать и приоритизировать угрозы для нескольких отделений из единой централизованной среды, а также закрывать доступ к данным других филиалов за счет создания тенантов на основе источников событий. Главный администратор платформы может назначать пользователям каждого тенанта определенные роли, четко определяющие, какую информацию каждый пользователь может просматривать, создавать или изменять.
KUMA включает пакет стандартных правил корреляции, разработанный специалистами «Лаборатории Касперского». Все правила сопоставлены с матрицей MITRE ATTACK и могут использоваться в качестве основы для разработки собственных правил мониторинга угроз. Обратите внимание, что правила корреляции необходимо проверять и настраивать для корректной работы в определенных средах.
Значительно расширены возможности управления инцидентами. Эта функция в KUMA помогает расследовать инциденты, определять их первопричины и координировать совместную работу нескольких аналитиков.
Добавлены карточки инцидентов. Аналитик может создавать инциденты с нуля или на основе одного или нескольких алертов. Инцидент создается, если подтверждаются подозрения о возникновении нарушения политик безопасности. Карточка инцидента позволяет собрать в одном месте все признаки инцидента: подозрительные алерты и другие данные (например, информацию о затронутых устройствах и пользователях).
Поддерживается интеграция с российской инфраструктурой НКЦКИ (Национальный координационный центр по компьютерным инцидентам), что упрощает для пользователей платформы процесс информирования НКЦКИ об инцидентах, обязательный в рамках соблюдения нормативных требований.
Добавлена гибкая группировка алертов и инцидентов для снижения нагрузки на аналитиков. Она позволяет точно настраивать критерии для автоматического объединения корреляционных событий с алертами и алертов с инцидентами.
Добавлен мониторинг состояния источников событий для своевременного уведомления администраторов о проблемах, из-за которых значительно сокращается объем поступающих из источника событий данных или поток прерывается совсем. После настройки ожидаемого минимального количества событий в политике мониторинга и назначения этой политики источнику событий, указанные в параметрах политики пользователи будут получать уведомления об отклонениях от заданных параметров.
Реализована поддержка новых коннекторов для приема событий по следующим протоколам.
WMI (через RPC) – позволяет получать события Windows с удаленных компьютеров с помощью методов на основе протокола дистанционного вызова процедур (RPC). WMI работает без агента, в отличие от WEC, который позволяет принимать события Windows только с локального компьютера или с WEC-сервера, на котором установлен агент.
SNMP версии 1, 2 и 3 – позволяет в активном режиме запрашивать данные по протоколу SNMP.
NFS – позволяет получать события из файлов в общей папке NFS.
FTP – позволяет получать события из файлов, доступных по протоколу FTP.
Поддерживается автоматическая категоризация устройств (динамическая категоризация). Проактивная категоризация позволяет пользователю платформы задавать критерии для каждой категории (например, включать в категорию устройства с ОС Windows, расположенные в подсети 10.10.0.0/16). В то же время реактивная категоризация позволяет изменять категории устройств по итогам корреляции. Как и ранее, динамические категории можно учитывать при корреляции и сортировке алертов.
Добавлен REST API HTTP для управления устройствами и активными листами.
Значительно улучшена функциональность агента KUMA. Теперь он поддерживает все коннекторы, поддерживаемые KUMA (ранее поддерживал только коннектор WEC), и может использоваться для маршрутизации событий.
Поддерживается обновление с версий 1.0 и 1.1. Ресурсы (правила корреляции, нормализаторы и прочие) сохраняются во время обновления. По вопросам переноса накопленных данных (событий, алертов) при обновлении обратитесь к специалистам «Лаборатории Касперского».
Добавлены мастеры установки для подключения источников событий и создания корреляторов. Они упрощают эти процессы и предотвращают возможные ошибки. Мастеры обеспечивают интерактивное прохождение пользователем платформы всех необходимых шагов и помогают проверить настройки.