Что нового

В Kaspersky Unified Monitoring and Analysis Platform появились следующие возможности и доработки:

• Изменено место хранения самоподписанного CA-сертификата и механизм перевыпуска сертификата.

Сертификат находится в СУБД. Недопустимо применять прежний метод перевыпуска внутренних сертификатов через удаление сертификатов из файловой системы Ядра и перезапуск Ядра - такой способ приведет к невозможности запуска Ядра. До завершения процесса перевыпуска сертификатов не следует подключать к Ядру новые сервисы.

После того как вы перевыпустите внутренние CA-сертификаты в разделе веб-интерфейса KUMA Параметры → Общие → Перевыпустить внутренние CA-сертификаты, необходимо будет остановить сервисы, удалить прежние сертификаты из директорий сервисов и вручную перезапустить все сервисы. Опция перевыпуска внутренних CA-сертификатов доступна только Главному администратору.

• Добавлена поддержка работы KUMA на следующих операционных системах:
  • Ubuntu 22.04 LTS.
  • Oracle® Linux 9.4.
  • Astra Linux 1.7.5.
• Добавлен сервис Маршрутизатор событий. Этот сервис позволяет принимать события от коллекторов и направлять события в заданные точки назначения в соответствии с заданными на сервисе фильтрами. Использование такого промежуточного сервиса позволяет эффективно распределять нагрузку на каналы связи и использовать каналы связи с невысокой пропускной способностью. Например, как показано на схеме в раскрывающемся блоке, вместо нескольких потоков событий от коллектора 5 до точек назначения, вы можете от отправлять события одним потоком: на схеме коллектор 1 + коллектор 2 + коллектор 3 отправляют события в маршрутизатор локального офиса, затем в маршрутизатор дата-центра, и в нем уже происходит передача событий в заданные точки назначения.

  Схема отправки событий с использованием маршрутизатора событий и без использования маршрутизатора

  

• Интеграция с НКЦКИ: обновлен список полей и типы инцидентов, добавлена возможность предоставления информации об утечке персональных данных. Экспортированые инциденты со старым типом, который больше не поддерживается, будут отображаться корректно.
• Выполнение группировки по произвольным полям, использование функций округления времени из интерфейса работы с событиями.

  При проведении расследования аналитику требуется находить выборки с событиями, строить агрегационные запросы. Теперь для выполнения запросов с агрегацией, достаточно выбрать одно или несколько полей, по которым следует выполнить группировку и запустить «Выполнить запрос». Для полей типа дата доступны агрегационные запросы с округлением времени.

  В результате, пользователь получает отображение и групп и самих событий, по которым сделана группировка, без переписывания поискового запроса. Аналитик может переходить по группам, листать списки входящих в группу событий, просматривать поля событий, что существенно упрощает работу и позволяет ускорить получение результата при расследовании.

• Добавлена возможность преобразования исходного поля с использованием функции вычисления информационной энтропии. В коллекторе можно настроить правило обогащения для исходного поля типа event, выбрать тип преобразования entropy и указать целевое поле типа float, куда KUMA поместит результат преобразования. Результатом преобразования будет число. Показатель вычисления информационной энтропии позволяет выявлять DNS-туннели, компрометацию паролей, например, когда пользователь ввел пароль вместо логина и этот пароль записывается в журнал в открытом виде. Обычно логин содержит буквы и функция преобразования вычислит информационную энтропию и запишет результат, например, 2,5416789. Если пользователь по ошибке ввел пароль в поле для логина и таким образом пароль оказался в журнале в открытом виде, KUMA вычислит информационную энтропию и запишет результат 4 - поскольку пароль содержит буквы, цифры и символы, показатель энтропии будет выше. Таким образом, можно искать события, где у имени пользователя показатель энтропии больше 3 и можно настроить правило реагирования "требуется смена пароля". После настройки в коллекторе обогащения следует обновить параметры, чтобы применить изменения.
• Доступен поиск событий одновременно по нескольким выбранным хранилищам с помощью простого запроса. Например, таким образом вы можете выполнять поиск событий, чтобы определить, где учетная запись блокируется, или на какой URL с каких IP-адресов был выполнен вход.

  В некоторых инсталляциях может потребоваться использование нескольких отдельных хранилищ – например, в случае слабых каналов связи, или из-за требования регулятора на хранение событий в определенной стране. Федеративный поиск предоставляет возможность запускать поисковый запрос одновременно в нескольких кластерах хранения и получать результат в одной общей таблице. Теперь в распределенных кластерах хранения можно быстрее и проще найти нужные события. В общей таблице с событиями указывается, в каком из хранилищ была найдена запись. При поиске по нескольким кластерам не поддерживаются группирующие запросы, ретроспективная проверка и экспорт в TSV.

• Покрытие матрицы правил на MITRE ATT&CK.

  Разрабатывая детектирующую логику, аналитик может ориентироваться на соответствие контента реальным угрозам. С помощью матриц MITRE ATT&CK можно определить, к каким техникам уязвимы ресурсы организации. В помощь аналитикам создан механизм, который позволяет визуализировать покрытие матрицы MITRE ATT&CK разработанными правилами и таким образом оценить уровень защищенности. Функционал позволяет:

  • Импортировать в KUMA актуальный файл с перечнем техник и тактик.
  • В свойствах правил перечислить техники и тактики, выявляемые этим правилом.
  • Экспортировать из KUMA список правил, размеченных по матрице в MITRE ATT&CK Navigator (можно указать отдельные папки с правилами).

  Файл со списком размеченных правил визуализируется в MITRE ATT&CK Navigator.

• Чтение файлов агентом Windows.

  Агент KUMA, устанавливаемый на системах c ОС Windows, получил возможность чтения текстовых файлов и передачи данных в коллектор KUMA. Один агент, установленный на сервере с ОС Windows, может передавать данные как из журналов Windows, так и из текстовых файлов с журналами. Например, больше не потребуется использовать сетевые папки для получения журналов транспорта Exchange Server, журналов IIS и т.п.

• Получение журналов DNS Analytics с использованием коннектора etw.

  Использование KUMA Windows агентом нового транспорта ETW (сервис Event Tracing for Windows) для чтения подписки DNS Analytics обеспечивает получение расширенного журнала DNS, событий диагностики, аналитических данных о работе DNS-сервера – больше информации, чем в журнале отладки DNS, и с меньшим влиянием на производительность DNS-сервера.

  Рекомендуемая конфигурация для чтения ETW журналов:

  • Создать новый коллектор:
    1. Создать отдельный коллектор для журналов ETW.
    2. Создать коннектор etw, агент будет создан автоматически.
    3. Указать коннектор в коллекторе.
    4. Установить коллектор и агент.
  • Создать коллектор и отредактировать параметры существующего агента, созданного вручную:
    1. Создать коллектор с транспортом http и разделителем \0, и указать нормализатор [OOTB] Microsoft DNS ETW logs json.
    2. Сохранить параметры коллектора.
    3. Установить коллектор.
    4. В существующем агенте WEC добавить дополнительную конфигурацию, в которой указать коннектор etw и в качестве точки назначения указать созданный в пункте e. коллектор, тип точки назначения http и разделитель \0.
    5. Сохранить параметры агента и запустить агент.
• Обогащение CyberTrace по API.

  Сybertrace-http - новый метод потокового обогащения событий в CyberTrace, который позволяет отправлять большое количество событий одним запросом на API-интерфейс CyberTrace. Рекомендуется применять в системах с большим потоком событий. Производительность Сybertrace-http значительно превосходит показатели прежнего метода cybertrace, который по-прежнему доступен для обеспечения обратной совместимости

• Активация с помощью кода.

  Реализована возможность активировать KUMA при помощи кода активации. Такой метод позволяет не беспокоиться об импорте в KUMA новых ключей при продлении или при изменении состава лицензии. Для использования активации кодом требуется доступ сервера Ядра к нескольким серверам в сети Интернет. При этом пользователям доступен и прежний метод активации - с использованием файла лицензии.

• Оптимизирована передача событий в формате CEF. Отправляемые события содержат заголовок CEF и только непустые поля. При передаче событий в сторонние системы в формате CEF поля, не содержащие данных, не передаются.
• Добавлена возможность получения событий из ClickHouse с помощью коннектора SQL. В параметрах коннектора SQL вы можете выбрать Тип базы данных для соединения - в поле URL будет автоматически указан префикс, соответствующий протоколу взаимодействия.
• В коннекторы file, 1c-log и 1c-xml добавлен параметр Интервал запросов, сек, отвечающий за интервал чтения файлов из директории. Настройка этого параметра позволяет снизить потребление CPU и RAM.
• Параметр airgap исключен из файла инвентаря. Если в вашем файле инвентаря остался параметр airgap, установщик его проигнорирует при выполнении установки или обновления.
• Вынесен логин и пароль из секрета типа URL и Proxy. Добавлена возможность преобразования пароля.
• В служебные события о выпадении записи из активного листа и контекстной таблицы добавлены поля, которые содержат не только ключ, но и значение. Поля со значениями дают больше гибкости в написании корреляционных правил для обработки таких служебных событий.
• Обновлен перечень статусов для сервисов: добавлен синий статус, расширено пременение желтого статуса.
• Теперь вы можете перейти из раздела Состояние источников к событиям выбранного источника событий. Уточняющие условия в строке поискового запроса будут сформированы автоматически после перехода по ссылке. По умолчанию отображаются события за последние 5 минут. При необходимости вы можете изменить параметр временного интервала и снова выполнить запрос.
• Сбор метрик с агента.

  В разделе Метрики появился раздел, где визуализируются параметры работы агента. Такое графическое представление облегчит работу администраторов, отвечающих за сбор событий при помощи агентов.

• Добавлена поддержка компактной встраиваемой СУБД SQLite версии 3.37.2.
• Добавлен коннектор elastic для получения событий из Elasticsearch версии 7 и 8. Для коннектора добавлен секрет fingerprint.
• Для коннекторов типа tcp, udp и file добавлены следующие параметры обработки событий журнала auditd:
  • Переключатель Auditd позволяет обрабатывать многострочные события и объединять записи в одно событие.
  • Параметр TTL буфера событий определяет, сколько времени коллектор будет накапливать строки события для последующей "склейки" в одно многострочное событие. Значение параметра задается в миллисекундах.
• Добавлена возможность настраивать список полей для определения источников событий. DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName – используемый по умолчанию набор полей для определения источников событий. Теперь перечень полей и их последовательность можно переопределить. Допускается указать максимум 9 полей в значимой для пользователей последовательности. После сохранения изменений в наборе полей ранее определенные источники событий будут удалены из веб-интерфейса KUMA и из базы данных. Сохраняется возможность использовать набор полей для определения источников событий по умолчанию.
• В графический конструктор поисковых запросов к событиям добавлен оператор iLike.
• Обновлен перечень методов REST API. Описание методов v2.1 доступно в формате OpenAPI.
• В параметрах коннектора snmp-trap, появился дополнительный параметр, позволяющий обозначить OID, являющийся MAC-адресом.
• Установщик KUMA проверяет состояние SELinux.
• Прекращена поддержка функционала создания резервной копии Ядра при помощи утилиты командной строки /opt/kaspersky/kuma/kuma tools backup
• Прекращена поддержка и поставка устаревших нормализаторов:
  • [Deprecated][OOTB] Microsoft SQL Server xml,
  • [Deprecated][OOTB] Windows Basic,
  • [Deprecated][OOTB] Windows Extended v.0.3,
  • [Deprecated][OOTB] Cisco ASA Extended v 0.1,
  • [Deprecated][OOTB] Cisco Basic.