Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Управление Kaspersky Unified Monitoring and Analysis Platform

Что нового

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Что нового

27 августа 2024

ID 283466

Скачать PDF

В обновлении от августа 2024 года в Kaspersky Unified Monitoring and Analysis Platform появились следующие возможности и улучшения:

  • Добавлен сервис маршрутизатора событий. Этот сервис позволяет получать события от коллекторов и отправлять события в указанные точки назначения в соответствии с фильтрами, настроенными для сервиса. Такой промежуточный сервис обеспечивает эффективное распределение нагрузки между каналами связи и позволяет использовать каналы связи с низкой пропускной способностью. Например, как показано на схеме в раскрывающемся блоке ниже, вместо отправки событий в виде нескольких потоков от коллектора 5 к точкам назначения вы можете отправлять события одним потоком. На схеме коллектор 1 + коллектор 2 + коллектор 3 отправляют события в маршрутизатор локального офиса, затем в маршрутизатор центра обработки данных, и оттуда события отправляются в указанные точки назначения.

    Схема отправки событий с маршрутизатором событий и без него

  • Реализована группировка по произвольным полям и функция округления времени из свойств событий.

    Для проведения расследования нужно получать выборки событий и строить агрегационные запросы. Теперь вы можете запускать агрегационные запросы, выбрав одно или несколько полей, по которым вы хотите сгруппировать события, и выполнив команду "Выполнить запрос". Для полей даты доступны агрегационные запросы с округлением по времени.

    В результате вы можете видеть как группы, так и сгруппированные события, не переписывая поисковый запрос. Вы можете перемещаться по группам, просматривать списки событий, включенных в группу, и поля событий. Это упрощает вашу работу и позволяет быстрее получить результат при расследовании.

  • Теперь вы можете конвертировать исходное поле с помощью функции вычисления информационной энтропии. Вы можете настроить правило обогащения для исходного поля типа "event" в коллекторе, выбрать тип преобразования "entropy" и указать целевое поле типа "float", в которое KUMA поместит результат преобразования. Результатом преобразования является число. Вычисление информационной энтропии позволяет обнаруживать DNS-туннели или скомпрометированные пароли, например, когда пользователь вводит пароль вместо учетной записи и этот пароль регистрируется в виде обычного текста. Обычно имя пользователя состоит из буквенных символов и функция преобразования вычисляет информационную энтропию и возвращает число, например 2,5416789. Если пользователь по ошибке введет пароль в поле для учетной записи и пароль в результате попадет в журнал событий в открытом виде, KUMA вычислит информационную энтропию и запишет результат 4, поскольку пароль, содержащий буквы, цифры и специальные символы, имеет более высокую энтропию. Таким образом, вы можете найти события, в которых имя пользователя имеет энтропию больше 3, и для таких случаев активировать правило "требуется изменение пароля". После настройки обогащения в коллекторе необходимо обновить параметры, чтобы изменения вступили в силу.
  • Вы можете искать события в нескольких выбранных хранилищах одновременно с помощью простого запроса. Например, вы можете найти события, чтобы определить, где учетная запись пользователя блокируется или на какой URL с каких IP-адресов был выполнен вход.

    Некоторые установки могут потребовать использования нескольких отдельных хранилищ, например, при наличии каналов с низкой пропускной способностью или нормативных требований по хранению событий в определенной стране. Федеративный поиск позволяет выполнять поисковый запрос одновременно на нескольких кластерах хранения и получать результат в одной общей таблице. Поиск событий в распределенных кластерах хранения стал быстрее и проще. В общей таблице событий указано хранилище, в котором была обнаружена запись. При поиске в нескольких кластерах запросы по группе, ретроспективная проверка и экспорт в формат TSV не поддерживаются.

  • Покрытие матрицы MITRE ATT&CK правилами.

    При разработке логики обнаружения аналитик может ориентироваться на соответствие контента реальным угрозами. Вы можете использовать матрицы MITRE ATT&CK, чтобы определить техники, к которым уязвимы ресурсы вашей организации. В помощь аналитикам разработан инструмент, позволяющий визуализировать покрытие матрицы MITRE ATT&CK разработанными правилами, чтобы оценивать уровень безопасности. Функциональность позволяет:

    • Импортировать актуальный файл со списком техник и тактик в KUMA.
    • Указывать техники и тактики, обнаруженные правилом, в свойствах правила.
    • Экспортировать из KUMA список правил, размеченных в соответствии с матрицей в MITRE ATT&CK Navigator (можно указать отдельные папки с правилами).
    • Файл со списком размеченных правил отображается в MITRE ATT&CK Navigator.
  • Чтение файлов агентом Windows.

    Агент KUMA, установленный на устройствах с операционной системой Windows, теперь может читать текстовые файлы и отправлять данные коллектору KUMA. Один агент, установленный на сервере Windows, может отправлять данные как из журналов событий Windows, так и из текстовых файлов журналов событий. Например, вам больше не нужно использовать общие папки для получения журналов транспорта Exchange Server и журналов событий IIS.

  • Получение журналов событий DNS Analytics с помощью коннектора ETW.

    Новый ETW-транспорт (Event Tracing for Windows), используемый KUMA для чтения подписки DNS Analytics, позволяет получать расширенный журнал событий DNS, события диагностики и аналитическую информацию о работе DNS-сервера, которая является более подробной информацией, чем журнал отладки DNS, и обеспечивает меньшее влияние на производительность DNS-сервера.

    Рекомендуемая конфигурация для чтения журналов событий ETW:

    • Создать коллектор.
      1. Создать специальный коллектор журналов событий ETW.
      2. Создать коннектор ETW. Агент будет создан автоматически.
      3. Указать коннектор в коллекторе.
      4. Установить коллектор и агент.
    • Создать коллектор и изменить параметры агента, созданного вручную:
    1. Создать коллектор с транспортом "http" и разделителем \0 и укажите нормализатор "[OOTB] Microsoft DNS ETW logs json".
    2. Сохранить параметры коллектора.
    3. Установить коллектор.
    4. В существующем агенте WEC добавить дополнительную конфигурацию, в которой указать ETW коннектор, а в качестве точки назначения указать коллектор, созданный на шаге "e", "http" в качестве типа назначения и \0 в качестве разделителя.
    5. Сохранить параметры агента и запустить агент.
  • Обогащение CyberTrace по API.

    Cybertrace-http – это новый тип потокового обогащения событий в CyberTrace, который позволяет отправлять большое количество событий с помощью одного запроса к CyberTrace API. Рекомендуется для систем с большим количеством событий. Cybertrace-http превосходит предыдущий тип "cybertrace", который по-прежнему доступен в KUMA для обеспечения обратной совместимости.

  • Оптимизирована передача событий в формате CEF. Передаваемые события включают заголовок CEF и только непустые поля. При отправке событий в сторонние системы в формате CEF пустые поля не передаются.
  • Теперь можно получать события от ClickHouse с помощью SQL коннектора. В параметрах SQL коннектора вы можете выбрать Тип базы данных для подключения, при котором в поле URL автоматически указывается префикс, соответствующий протоколу.
  • Коннекторы file, 1c-log и 1c-xml теперь имеют параметр "Период опроса, мс", который задает период чтения файлов из директории. Регулировка этого параметра может снизить потребление ресурсов процессором и оперативной памятью.
  • Секреты типов URL и Proxy теперь не содержат учетную запись и пароль. Добавлена возможность преобразования пароля.
  • В служебные события о выпадении записи из активного листа и контекстной таблицы добавлены поля, которые содержат не только ключ, но и значение. Поля со значениями обеспечивают большую гибкость при написании правил корреляции для обработки таких служебных событий.
  • Обновлен список статусов сервисов: добавлен фиолетовый статус, расширено применение желтого статуса.
  • Теперь вы можете перейти из раздела "Статус источника" к событиям выбранного источника событий. Уточняющие условия в строке поискового запроса формируются автоматически после перехода по ссылке. По умолчанию отображаются события за последние пять минут. При необходимости вы можете изменить период и снова запустить запрос.
  • Сбор метрик от агента.

    В разделе "Метрики" появился подраздел, в котором отображаются параметры работы агента. Графическое представление помогает администраторам, отвечающим за сбор событий с помощью агентов.

  • Добавлена поддержка компактной встраиваемой СУБД SQLite версии 3.37.2.
  • Добавлен "elastic" коннектор для получения событий от Elasticsearch версий 7 и 8. Для коннектора добавлен секрет "fingerprint".
  • Для коннекторов типов tcp, udp и file добавлены следующие параметры обработки событий журнала auditd:
    • Переключатель Auditd позволяет обрабатывать многострочные события и объединять записи в одно событие.
    • Параметр TTL буфера событий определяет, как долго коллектор должен накапливать строки событий, чтобы затем объединить их в одно многострочное событие. Значение указано в миллисекундах.
  • Теперь вы можете настраивать список полей для идентификации источника события. DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName – набор полей, используемых по умолчанию, для определения источников событий. Теперь вы можете переопределять список полей и их порядок. Вы можете указать до девяти полей в нужной для пользователя последовательности. После того как изменения в наборе полей сохранены, ранее определенные источники событий удаляются из Консоли KUMA и из базы данных. Вы можете использовать набор полей для определения источника событий по умолчанию.
  • В графический конструктор поисковых запросов к событиям добавлен оператор iLike.
  • Параметры коннектора snmp-trap теперь включают дополнительный параметр, позволяющий указать OID, который является MAC-адресом.
  • Прекращена поддержка и поставка следующих устаревших нормализаторов:
    • [Deprecated][OOTB] Microsoft SQL Server xml
    • [Deprecated][OOTB] Windows Basic
    • [Deprecated][OOTB] Windows Extended v.0.3
    • [Deprecated][OOTB] Cisco ASA Extended v 0.1
    • [Deprecated][OOTB] Cisco Basic

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!