Что нового

• Реализована возможность автоматического и ручного обновления репозитория для получения пакетов с новыми правилами корреляции и коннекторами к источникам логов.
• Реализована возможность холодного хранения событий.
• Для уменьшения количества одновременных запросов на вставку данных в таблицы ClickHouse, начиная с версии 2.1.3 в ресурсе Хранилище появилась возможность настройки буферизации запросов на вставку.
• Начиная с версии 2.1.3 KUMA использует новый драйвер для подключения к oracle.
• Добавлены новые коннекторы: SNMP traps, 1С log, 1С xml.
• В версии 2.1.3 добавлена нумерация тэгов для нормализатора типа xml.
• Добавлена интеграция с платформой онлайн-обучения Kaspersky Automated Security Awareness Platform.
• Добавлен новый тип реагирования: правило реагирования через Active Directory.
• Расширен перечень форматов для генерации отчетов. Теперь доступны следующие форматы: HTML, PDF, CSV, раздельный CSV, Excel.
• Расширена интеграция с НКЦКИ.
• Добавлена возможность создавать единые для всех тенантов (универсальные) макеты панели мониторинга и наполнять их данными по доступным текущему пользователю тенантам. Таким образом количество используемых в системе макетов можно значительно сократить и не создавать отдельные типовые макеты для каждого тенанта.
• Добавлена интеграция с Active Directory Federation Services для входа в систему без ввода логина и пароля (сценарий Single Sign On - SSO).
• Добавлена поддержка домена FreeIPA для входа в систему.
• Добавлена возможность получать из LDAP пользовательские атрибуты учетных записей Active Directory и обогащать события по пользовательским атрибутам учетных записей AD.

  Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.

  Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:

  1. Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.

     Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартны

     й атрибут

     accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.

     Из Active Directory можно запросить следующие атрибуты учетных записей:

     • accountExpires
     • badPasswordTime
     • cn
     • co
     • company
     • department
     • description
     • displayName
     • distinguishedName
     • division
     • employeeID
     • givenName
     • l
     • lastLogon
     • lastLogonTimestamp
     • mail
     • mailNickname
     • managedObjects
     • manager
     • memberOf (по этому атрибуту события можно искать при корреляции)
     • mobile
     • name
     • objectCategory
     • objectGUID (этот атрибут запрашивается из Active Directory всегда)
     • objectSid
     • physicalDeliveryOfficeName
     • pwdLastSet
     • sAMAccountName
     • sAMAccountType
     • sn
     • streetAddress
     • telephoneNumber
     • title
     • userAccountControl
     • userPrincipalName
     • whenChanged
     • whenCreated

     После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.

     Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.  

  2. Импортируйте учетные записи.
  3. В коллекторе в таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP.
  4. Перезапустите коллектор.

     После перезапуска коллектора KUMA начнет обогащать события учётными записями.

      

• Расширены возможности работы с активами: появилась возможность добавлять активам настраиваемые поля, добавлена возможность поиска по активам с учетом названий полей, а также возможность экспорта результатов поиска в файл.
• В разделе с поиском по событиям добавлены пресеты полей событий, позволяющие быстро настраивать колонки таблицы поиска в зависимости от анализируемых логов.
• Расширена отказоустойчивость системы.
• В информации об активах теперь отображаются дополнительные сведения о защите хостов с KES for Windows и KES for Linux. Отображении информации доступно, если вы импортировали актив из KSC.
• Для событий о срабатываниях KATA/EDR добавлена ссылка, позволяющая перейти на карточку соответствующего алерта в интерфейс консоли управления KATA/EDR.
• На этапе получения событий появилась возможность использовать преобразования hex, base64, base64url для обработки бинарных значений в журналах.
• Расширены возможности корреляции:
  • Дополнен список функций переменных. С их помощью теперь можно преобразовывать ключи или формулировать условия.
  • Добавлена возможность управлять последовательностью применения правил корреляции в корреляторе.
• Добавлены правила сегментации алертов.
• Добавлены нормализаторы для источников событий.
• Добавлена новая роль Аналитик первой линии: такие пользователи смогут создавать собственный контент в системе, но не смогут изменять ресурсы, созданные другими пользователями.
• Расширено протоколирование системы и возможность экспортировать журналы компонентов программы в файлы.