Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Глоссарий

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Глоссарий

15 мая 2024

ID 90

Скачать PDF

Bootstrap

Базовая среда выполнения, включающая кластер Kubernetes и компоненты инфраструктуры для работы Kaspersky SMP. Bootstrap входит в транспортный архив и автоматически устанавливается при развертывании Kaspersky SMP.

Kaspersky Deployment Toolkit

Утилита, используемая для развертывания и управления кластером Kubernetes, компонентами Kaspersky SMP и веб-плагинами управления.

Агент

Сервисы KUMA, которые используются для получения событий на удаленных устройствах и пересылки их коллекторам KUMA.

Актив

Устройство или пользователь защищаемой инфраструктуры. Если на активе обнаружен алерт или инцидент, вы можете выполнить действия по реагированию для этого актива.

Алгоритм плейбука

Алгоритм, включающий последовательность действий по реагированию, которые помогают анализировать и обрабатывать алерты или инциденты.

Алерт

Событие в ИТ-инфраструктуре организации, которое было отмечено Kaspersky SMP как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуре организации.

Граф расследования

Инструмент для визуального анализа, который показывает отношения между событиями, алертами, инцидентами, наблюдаемыми объектами и активами (устройствами). На графе расследования отображается подробная информация об инциденте: соответствующие алерты, пользователи, активы и их общие свойства.

Действия по реагированию

Действия, запускаемые в плейбуках.

Дистрибутив

Архив, содержащий транспортный архив с компонентами Kaspersky SMP, шаблон конфигурационного файла, шаблон файла инвентаря KUMA, утилиту KDT для развертывания Kaspersky SMP и Лицензионные соглашения для Kaspersky SMP и KDT.

Инцидент

Контейнер алертов, который обычно указывает на проблему в ИТ-инфраструктуре организации. Инцидент может содержать один или несколько алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему.

Кластер Kubernetes

Набор устройств, объединенных с помощью Kubernetes в один вычислительный ресурс. Кластер Kubernetes используется для работы компонентов Kaspersky SMP (кроме сервисов KUMA). Кластер Kubernetes включает только целевые устройства.

Коллектор

Сервис KUMA, который получает сообщения от источников событий, обрабатывает их, а затем передает их в хранилище, коррелятор и/или сторонние службы для идентификации алертов.

Контекст

Набор параметров доступа, определяющих кластер Kubernetes, с которым пользователь может выбрать взаимодействие. Контекст также включает данные для подключения к кластеру с помощью KDT.

Конфигурационный файл

Файл в формате YAML, содержащий список целевых устройств для развертывания Kaspersky SMP и набор параметров для установки компонентов Kaspersky SMP. Конфигурационный файл используется KDT.

Коррелятор

Сервис KUMA, анализирующий нормализованные события.

Мультитенантность

Режим, который позволяет главному администратору предоставлять функциональность Kaspersky SMP нескольким клиентам независимо или разделять активы и параметры программы и объекты для разных офисов. Также режим мультитенантности позволяет копировать и наследовать параметры и объекты тенанта от родительского тенанта, а также автоматически распространять лицензионный ключ Kaspersky SMP для всех тенантов в иерархии.

Наблюдаемые объекты

Объекты, связанные с алертом и инцидентом, такие как хеши MD5 и SHA256, IP-адрес, веб-адрес, имя домена, имя пользователя или имя устройства.

Нормализованное событие

Событие, которое обрабатывается в соответствии с нормализованной моделью данных событий KUMA.

Плейбук

Объект, который реагирует на алерты или инциденты в соответствии с заданным алгоритмом (алгоритмом плейбука). Плейбуки позволяют автоматизировать рабочие процессы и сокращать время, необходимое для обработки алертов и инцидентов.

Пользовательские действия

KDT – это команда, позволяющая выполнять дополнительные операции, специфичные для компонентов Kaspersky SMP (кроме установки, обновления, удаления).

Правила сегментации

Правила, которые позволяют автоматически разделять связанные алерты на отдельные инциденты в зависимости от заданных условий.

Правило корреляции

Ресурс KUMA, используемый для распознавания определенных последовательностей обработанных событий и выполнения заданных действий после распознавания.

Реестр

Компонент инфраструктуры, в котором хранятся контейнеры программ и который используется для установки и хранения компонентов Kaspersky SMP.

Сервисы KUMA

Основные компоненты KUMA, которые помогают системе управлять событиями. Сервисы позволяют получать события из источников событий и в дальнейшем приводить их к общему виду, удобному для поиска корреляций, а также для хранения и ручного анализа. Сервисы KUMA (агенты, коллекторы, корреляторы и хранилища) устанавливаются на устройства, расположенные вне кластера Kubernetes.

Событие

События информационной безопасности, зарегистрированные на контролируемых элементах ИТ-инфраструктуры организации. Например, события включают попытки входа в систему, взаимодействия с базой данных и многоадресную рассылку информации. Каждое отдельное событие может показаться бессмысленным, но, если рассматривать их вместе, они формируют более широкую картину сетевой активности, которая помогает идентифицировать угрозы безопасности.

Тенант.

Логический объект, соответствующий организационной единице (клиенту или офису), которой предоставляется функциональность Kaspersky SMP. Каждый тенант может включать в себя активы, пользователей и их права доступа, события, алерты, инциденты, плейбуки, а также интеграцию с другими программами, службами и решениями "Лаборатории Касперского". Также тенант определяет набор доступных операций с включенными объектами.

Транспортный архив

Архив, который содержит компоненты Kaspersky SMP и веб-плагинов управления. Транспортный архив включен в дистрибутив.

Узел

Физическая или виртуальная машина, на которой будет развернут Kaspersky SMP. Есть первичный и рабочий узлы. Первичный узел предназначен для управления кластером, хранения метаданных и распределения рабочей нагрузки. Рабочие узлы предназначены для выполнения рабочей нагрузки компонентов Kaspersky SMP.

Устройство администратора

Устройство, которое используется для развертывания и управления кластером Kubernetes и Kaspersky SMP. Устройство администратора не входит в кластер Kubernetes.

Файл инвентаря KUMA

Файл в формате YAML, который содержит параметры для установки сервисов KUMA, не включенных в кластер Kubernetes. Путь к файлу инвентаря KUMA включен в конфигурационный файл, который используется KDT для развертывания Kaspersky SMP.

Хранилище

Сервис KUMA, который используется для хранения нормализованных событий, чтобы к ним можно было быстро и постоянно получать доступ из KUMA с целью извлечения аналитических данных.

Целевые устройства

Устройства входят в кластер Kubernetes и выполняют рабочую нагрузку компонентов Kaspersky SMP.

Цепочка развития угрозы

Последовательность шагов, позволяющих отслеживать стадии кибератаки. Цепочка развития угроз позволяет проанализировать причины возникновения угрозы. Для создания цепочки развития угрозы управляемая программа передает данные с устройства на Сервер администрирования с помощью Агента администрирования.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!