Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Продукт
Разработчики: Лаборатория Касперского (Kaspersky)
Дата премьеры системы: Май 2020
Дата последнего релиза: 2023/03/01
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

2023

Интеграция в Softline Universe

ГК Softline (ПАО «Софтлайн») внедрила решения «Лаборатории Касперского» в Softline Universe. В рамках развиваемой в Softline Universe экосистемы, основанной на продуктах «Лаборатории Касперского», для защиты конечных точек были интегрированы Kaspersky Endpoint Security, для защиты почтового трафика от вредоносного программного обеспечения и спама – Kaspersky Unified Monitoring and Analysis Platform (KUMA) как единая консоль мониторинга, анализа и реагирования на киберугрозы. Об этом Softline сообщил 22 ноября 2023 года. Подробнее здесь.

В составе ПАК для защиты служебной информации

Российские производители и разработчики представили совместный защищенный программно-аппаратный комплекс администратора информационной безопасности (ПАК ИБ). Он предназначен для защиты служебной информации и персональных данных в инфосистемах заказчиков. Об этом компания Fplus сообщила 10 ноября 2023 года. ПАК построен на базе SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA). Подробнее здесь.

Использование в SOC «К2 Кибербезопасности»

К2 Кибербезопасность запускает Центр мониторинга информационной безопасности (Security Operations Center, SOC). Он объединит экспертизу К2 Кибербезопасность в области защиты информации и технологии "Лаборатории Касперского". Используя платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA), построенную на микросервисной архитектуре, специалисты SOC К2 Кибербезопасность смогут в режиме реального времени отслеживать, анализировать и информировать клиента об атаках как извне, так и изнутри инфраструктуры. Об этом компания К2 Тех сообщила 4 октября 2023 года. Подробнее здесь.

В составе "Серверного ПАКа" отечественных разработчиков

Компании «Базис», Fplus, МойОфис, «Лаборатория Касперского», DION, Getmobit и Базальт СПО 21 сентября 2023 года представили программно-аппаратные комплексы для стационарного рабочего места и обеспечения работы серверного центра. Защищает инфраструктуру Серверного ПАКа SIEM-система Kaspersky Unified Monitoring and Analysis Platform. Подробнее здесь.

Совместимость с Delta Tioga Pass и Delta Argut

Delta Computers и «Лаборатория Касперского» подтвердили совместимость и корректность работы программного обеспечения Kaspersky Anti Targeted Attack Platform (KATA), Kaspersky Endpoint Detection and Response (KEDR) и Kaspersky Unified Monitoring and Analysis Platform (KUMA) с серверными продуктами Delta Tioga Pass и Delta Argut. Об этом 6 сентября 2023 года сообщила компания Delta Computers. Подробнее здесь.

Интеграция с МТС SOC

11 апреля 2023 года компания МТС RED представила обновление центра мониторинга и реагирования на кибератаки МТС SOC. Так, технологическая основа теперь реализуется на SIEM-системе Kaspersky Unified Monitoring and Analysis Platform. Решение от «Лаборатории Касперского» позволяет централизованно собирать, анализировать и проводить корреляцию событий кибербезопасности из различных источников данных для выявления и предотвращения инцидентов и сложных хакерских атак. Также ключевым обновлением МТС SOC стало появление личного кабинета, который делает процессы защиты более прозрачными, а реагирование на инциденты — более оперативным. Подробнее здесь.

KUMA 2.1

1 марта 2023 года компания «Лаборатория Касперского» представила обновлённую версию системы для мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform (KUMA). В KUMA 2.1 внедрён обновленный подход к хранению данных о событиях безопасности, осуществлена поддержка , повышена отказоустойчивость ядра системы и расширены возможности по обнаружению и реагированию на угрозы. Изменения также коснулись автообновления контента и интеграции с системой ГосСОПКА.

KUMA 2.1

Сокращение стоимости владения и затрат на оборудование

По информации компании, В KUMA 2.1 обеспечивается поддержка двух областей хранения: оперативное хранилище данных о событиях безопасности работает на ClickHouse, а архивное хранилище может быть реализовано на Hadoop. Такой подход реализуется во многих SIEM-системах, но в версии KUMA 2.1 специалисты могут создавать поисковые запросы в едином интерфейсе, не переключаясь между двумя областями данных.Как зародилась масштабная коррупционная схема при внедрении ИТ в ПФР при участии «Техносерва» и «Редсис». Подробности 38.5 т

Это позволяет полностью сосредоточиться на расследовании инцидента и сохранить оптимальную скорость работы. При этом обновленная область хранения не потребует дорогостоящих серверов и может быть развёрнута на бюджетном оборудовании: это даст возможность владельцам бизнеса уменьшить совокупную стоимость владения (ТСО) почти в два раза и сократить затраты на оборудование почти в 4 раза.

Система автообновления контента

Подсистема обновления расширяет возможности KUMA по реагированию на изменения ландшафта угроз и инфраструктуры. В версии 2.1 появилась возможность автоматически добавлять пакеты обновлений, необходимые для расследования инцидентов, и обновленной версии уже существующего контента. Это касается как правил корреляции, так и коннекторов к источникам логов. При этом скачивание обновленных версий коннекторов и правил корреляции может быть реализовано без прямого доступа к интернету, что обеспечивает конфиденциальность обрабатываемых системой данных. Встроенный чат и автоматизация работы с НКЦКИ. В KUMA 2.1 расширена автоматизированная поддержка сценариев с модулем ГосСОПКА. Теперь в личном кабинете пользователи могут передавать данные регулятору и получать обратную связь от представителей НКЦКИ непосредственно в чате в KUMA, а также обновлять данные об инциденте, полученные в процессе расследования. При этом благодаря интеграции с платформой Kaspersky CyberTrace, которая обрабатывает отчёты «Национального координационного центра по компьютерным инцидентам», исследователь может извлекать индикаторы компрометации и применять их для детектирования событий в SIEM. Это позволяет автоматизировать часть задач по работе с НКЦКИ.

Автореагирование и интеграция с обучающей платформой для сотрудников

Более 80% инцидентов в компаниях возникают из-за низкой осведомлённости сотрудников в области IT-безопасности. Чтобы минимизировать подобные риски, в KUMA 2.1 добавлены продвинутые инструменты для реагирования, контекстного анализа и сдерживания. За счёт интегрированной обучающей платформы Kaspersky Automated Security Awareness Platform (KASAP) и каталога Active Directory, который хранит сведения о действиях пользователей, специалисты могут управлять группой учётных записей в домене и пользоваться системой обучения непосредственно в интерфейсе SIEM. Например, блокировать аккаунты пользователей, совершающих подозрительные действия, инициировать смену пароля, управлять членством учётной записи пользователя в группах AD, просматривать информацию о курсах сотрудников или записывать их на тренинги.

«
SIEM – центральный элемент большинства зрелых систем информационной безопасности, поэтому она должна отвечать всем актуальным требованиям рынка и учитывать меняющийся ландшафт киберугроз. KUMA 2.1 расширяет возможности аналитиков, позволяет оптимизировать бюджет на информационную безопасность, обеспечивая защиту на оптимальном уровне.

отметил Илья Маркелов, руководитель направления развития единой корпоративной платформы «Лаборатории Касперского»
»

Доступность для клиентов Solar JSOC

Для оказания сервисов по мониторингу и реагированию на кибератаки «Ростелеком-Солар» запустил в работу SIEM-платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA). Она позволяет централизованно собирать, анализировать и проводить корреляцию событий кибербезопасности из различных источников данных для оперативного выявления и предотвращения киберинцидентов. Об этом 20 января 2023 года сообщили в Лаборатории Касперского. Подробнее здесь.

2022

В составе ПАКа на базе Depo Storm Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Компании Axoft, «Лаборатория Касперского» и DEPO Computers представили российские программно-аппаратные комплексы, созданные на базе серверных платформ DEPO Storm и программных продуктов компании «Лаборатория Касперского». Комплексы протестированы инженерами технологического центра DEPO Computers и готовы к использованию в государственных учреждениях и на предприятиях корпоративного сектора. Подробнее здесь.

Версия 2.0 с расширеными возможностями по обогащению событий от защитных решений актуальными данными

«Лаборатория Касперского» 10 августа 2022 года сообщила о том, что усилила систему мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform (KUMA). Обновленная функциональность позволяет повысить продуктивность специалистов по информационной безопасности, работающих с системой, и расширяет возможности по обнаружению и реагированию на угрозы в рамках XDR-платформы.

Реагирование на конечных точках. За счёт более тесной интеграции с Kaspersky Security Center и Kaspersky EDR теперь прямо из интерфейса KUMA 2.0 можно вручную или автоматически настроить более строгую политику безопасности для атакованного компьютера: изолировать его от сети, запустить установку патча для уязвимого ПО или заблокировать подозрительный файл. В результате пользователи смогут более оперативно реагировать на угрозу и минимизировать её последствия.

В KUMA 2.0 добавлены десятки дополнительных операторов SQL-like, что значительно расширяет возможности проактивного поиска угроз (threat hunting).

В дополнение к уже имеющейся интеграции с Kaspersky EDR по обработке оповещений обновленная версия KUMA позволяет собирать и нормализовать «сырую» телеметрию. Это улучшает проактивный поиск угроз и помогает выстраивать корреляции данных с конечных точек с событиями из других источников.

В обновлённой KUMA расширены возможности по обогащению событий от защитных решений актуальными данными. Например, доступно обогащение информацией геолокации по IP-адресу (GeoIP), а также из различных словарей, содержащих данные, например, из корпоративных HR-систем, СКУД и т.д.

Выявление сложных сценариев атак. За счёт поддержки более 20 дополнительных функций и вычисляемых переменных повышается эффективность обнаружения кибератак любой сложности.

«
Всё больше организаций осознают важность комплексного подхода к информационной безопасности. Тесная интеграция решений в рамках единой платформы даёт самое главное качество в борьбе — сокращает время обнаружения и повышает скорость реакции. KUMA 2.0 — центральный элемент Kaspersky Symphony XDR, которая объединяет защитные решения во всеобъемлющую систему киберзащиты, — сказал Дмитрий Стеценко, руководитель направления развития единой платформы кибербезопасности «Лаборатории Касперского».
»

Помимо вышеперечисленного в релиз KUMA 2.0 вошло множество других доработок, которые были добавлены на основе отзывов и пожеланий заказчиков.

Совместимость со специализированной платформой для автоматизации процессов информационной безопасности Security Vision

«Лаборатория Касперского» и Security Vision подтвердили совместимость SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA) и автоматизированной платформы информационной безопасности Security Vision в ходе всестороннего тестирования. Об этом сообщила компания «Лаборатория Касперского» 27 июля 2022 года.

Интеграция включает в себя два потока взаимодействия:

  • Информация по ИT-активам: Security Vision обогащает внутреннюю базу активов данными из KUMA;
  • Информация по подозрениям на инцидент (алертам) и исходным событиям передаётся в рамках двунаправленной схемы взаимодействия.

Работая в связке, продукты дополняют функциональность друг друга: KUMA реализует мониторинг событий на предмет нарушений принятых политик безопасности, а Security Vision автоматизирует процесс расследования и реагирования на выявленные события ИБ. Результат интеграции будет наиболее востребован в компаниях с высоким уровнем зрелости процессов ИБ в рамках их Security Operation Center.

«
Российские компании всё чаще сталкиваются с критичными киберинцидентами. Своевременно отразить атаку и минимизировать её последствия возможно при оперативной реакции на неё. По статистике Kaspersky Global Emergency Response Team, в 2021 году более половины инцидентов были выявлены только после наступления неблагоприятных последствий, и в 37% случаев потребовалось более месяца на восстановление бизнес-процессов. Существенно сократить время обнаружения и реагирования позволит автоматизация основных ИБ-функций. Для крупных же компаний, которые работают с большими объёмами данных из множества разных источников, автоматизация — это уже необходимость. KUMA — ядро нашей XDR-платформы, один из принципов которой — открытость внешним интеграциям. Взаимодействие с Security Vision IRP дополнит имеющиеся в KUMA коробочные интеграции и значительно расширит возможности наших заказчиков по автоматизации даже самых сложных и ресурсоёмких ИБ-процессов, позволяя, например, выстроить многоэтапные цепочки реагирования на инциденты,
прокомментировал Дмитрий Стеценко, руководитель направления развития единой платформы кибербезопасности «Лаборатория Касперского».
»

«
Очень важно своевременно и качественно реагировать на возникающие угрозы информационной безопасности, а в сложившейся геополитической ситуации на июль 2022 года, это актуально. Поэтому возрастает актуальность ИБ-решений от надёжных отечественных поставщиков. Применение комплекса решений KUMA и Security Vision позволит осуществлять непрерывный мониторинг и выявление потенциальных инцидентов кибербезопасности, а также выполнять автоматическое реагирование с целью минимизации их влияния и снижения потерь,
сказал Роман Овчинников, руководитель отдела исполнения Security Vision.
»

Kaspersky Unified Monitoring and Analysis Platform (KUMA) — решение класса SIEM (Security Information and Event Management), которое предназначено для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и их своевременной нейтрализации. В основе системы лежит микросервисная архитектура, открывающая возможности для гибкого масштабирования и быстрого обновления отдельных модулей. KUMA обладает высокой производительностью — более 300 тысяч событий в секунду (EPS) на один узел, и при этом относительно невысокими системными требованиями для её развертывания.

Security Vision — платформа автоматизации процессов информационной безопасности, мониторинга и реагирования на инциденты кибербезопасности, впервые позволяющая роботизировать исполнение программно-технических функций оператора с долей автоматизации до 95% за счёт:

  • создания элементов саморегулирующихся программных средств с использованием математических методов для высвобождения человека от участия в рутинных операциях и процессах получения, преобразования, передачи и использования информации;
  • использования алгоритмов и методов машинного обучения;
  • использования алгоритмов предиктивной аналитики больших данных и когнитивного поиска информации.

2021: Интеграция с НКЦКИ

«Лаборатория Касперского» 5 октября 2021 года сообщила об обновлении своей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA). Решение предназначено для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и своевременной их нейтрализации.

Основное внимание разработчики уделили функциям, востребованным у компаний с крупными инфраструктурами, а также инструментам, которые упрощают выполнение требований регуляторов. Обновленная версия версия интегрирована с российским Национальным координационным центром по компьютерным инцидентам (НКЦКИ) благодаря встроенному модулю ГосСОПКА. В KUMA значительно расширены возможности управления инцидентами. В обновленном разделе интерфейса, «Инцидент», предоставляется возможность координировать совместную работу нескольких аналитиков, назначать ответственных, изменять приоритет и производить эскалацию отдельных случаев.

В платформу добавлены карточки инцидентов, которые помогают собирать в одном месте всю информацию по каждому случаю: подозрительные события безопасности и другие данные, например о затронутых устройствах и пользователях. Инциденты можно создавать как автоматически, так и вручную, а также формировать карточки в необходимом виде для экспорта из интерфейса в Национальный координационный центр по компьютерным инцидентам.

Ещё одним изменением стала поддержка мультиарендности (multitenancy) для поставщиков услуг безопасности (MSSPs) и крупных предприятий. Это позволяет компаниям с несколькими филиалами и MSSP-провайдерам выявлять и приоритизировать угрозы для нескольких отделений в единой централизованной среде. При этом главный администратор платформы может назначать пользователям каждого «арендатора» роли, чётко определяющие, какую информацию они могут просматривать, создавать или изменять.

Также среди новых возможностей KUMA:

  • мониторинг состояния источников событий для своевременного уведомления администраторов о проблемах;
  • пополнение базы коннекторов для приёма событий;
  • автоматическая категоризация устройств (динамическая категоризация);
  • полное резервное копирование данных ядра KUMA;
  • набор предустановленных правил корреляции, подготовленных экспертами «Лаборатории Касперского» в соответствии с MITRE ATTACK;
  • HTTPRest API для управления устройствами и активными списками.

«
Kaspersky Unified Monitoring and Analysis Platform — ключевой компонент экосистемы решений `Лаборатории Касперского` для защиты крупного бизнеса. Мы проанализировали нужды наших клиентов на основе более чем 150 запросов за последний год и добавили в обновлённую версию целый ряд функций и возможностей, важных для защиты ИТ-инфраструктур крупных компаний. В том числе это multitenancy для провайдеров MSSP-услуг и географически распределённых компаний, удобные инструменты управления инцидентами, а также обмен данными с НКЦКИ, который помогает соответствовать требованиям российских регуляторов в области безопасности объектов критической инфраструктуры, — сказал Михаил Прибочий, управляющий директор «Лаборатории Касперского» в России и странах СНГ. — KUMA зарекомендовала себя как мощный инструмент и показывает впечатляющую производительность по потоковой корелляции: более 300 тысяч событий в секунду (EPS) на один узел.
»

2020: Презентация продукта

21 мая «Лаборатория Касперского» анонсировала свой новый продукт, который находится в активной разработке – платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA). Она относится к классу систем SIEM (Security Information and Event Management).

В компании отмечают, что изначально не собирались создавать продукт такого рода. Павел Таратынов, архитектор центров информационной безопасности, «Лаборатория Касперского», в ходе онлайн-презентации рассказал, почему компания решила-таки его создать, несмотря на то, что мировой рынок SIEM-систем является довольно зрелым и конкурентным.

«
Как показывают результаты опроса наших клиентов, многим все-таки не хватает альтернативы. И если несколько лет назад, когда мы оценивали необходимость выхода на этот рынок, мы ее не увидели, то сейчас ситуация изменилась. Сейчас на выбор решений ИБ очень сильно влияет геополитика. Если посмотреть на лидеров рынка по данным ведущих аналитических агентств, то мы увидим, что все они из одной страны. А многие наши крупные клиенты по тем или иным причинам не могут или не хотят использовать эти решения, - отметил Таратынов.
»

По его словам, и сама «Лаборатория Касперского» отчасти стала заложником этой ситуации, когда в 2019 году Splunk, клиентом которого была компания, внезапно ушел из России. Тогда «Лаборатория Касперского» столкнулась с необходимостью срочно искать альтернативу.

Еще до выпуска коммерческой версии, служба безопасности «Лаборатории Касперского» для себя выбрала KUMA в качестве основной SIEM и по состоянию на май находится в процессе внедрения, добавил представитель компании.

По данным «магического квадранта» Gartner (2020 Gartner Magic Quadrant for SIEM), мировыми лидерами на этом рынке являются IBM, Splunk, Exabeam, Securonics, LogRhythm, Rapid7 и Dell Technologies (RSA)[1]. Свежие исследования российского рынка SIEM от аналитиков в последнее время не выходили. По данным исследования IDC 2018 года, наиболее заметные отечественные игроки на этом рынке в России - компании Positive Technologies и «НПО «Эшелон».

Отвечая на вопрос о том, чем компанию не устроили уже существующие российские системы, представитель компании сказал следующее. Основными требованиями внутренней службы ИБ «Лаборатории Касперского» к SIEM были производительность, гибкость архитектуры и низкие системные требования. Также им было необходимо иметь возможность оперативной техподдержки, влиять на развития продукта с точки зрения функционала. То же самое нужно и заказчикам компании, считает Таратынов.

Однако, утверждает Павел Таратынов, основной причиной, подтолкнувшей компанию к созданию собственной SIEM, стало то, что за последнее время в ее портфолио появилось много разных решений, которые при этом не всегда интегрированы между собой. Не хватало центрального связующего звена, чтобы предлагать заказчикам единую экосистему, а не просто набор решений.

В связи с этим было принято решение разрабатывать не только SIEM, а развивать и разрабатывать единую модульную платформу безопасности, где SIEM будет одним из компонентов. Она должна объединить все решения и предоставить единое окно для задач мониторинга, реагирования на инциденты, оркестрации решений «Лаборатории Касперского», а также единую консоль управления. Роль последней, в совокупности с мониторингом инцидентов и будет выполнять SIEM. При этом платформа будет открытой для интеграции с решениями сторонних поставщиков.

По словам Павла Таратынова, стек технологий KUMA был разработан с нуля и не основан на других продуктах компании. Он изначально проектировался под высоконагруженные системы. Решение основано на микросервисной архитектуре, где каждый компонент является микросервисом, работающим независимо от других, пояснил представитель «Лаборатории Касперского».

Из презентации Павла Таратынова – перечень источников событий, которые будет поддерживать KUMA в конце 2020 года, дальше его планируется расширять

Решение содержит компоненты, характерные для SIEM: коллекторы, корелляторы, ядро системы, которое обеспечивает централизованное управление, прокси для защищенного соединения и связи с базой данных, где хранятся события и агент для сбора логов с Windows-машин. Также используются open source компоненты, но решение на них не завязано, и они могут быть заменены в дальнейшем, если будет необходимо. Например, Elastic используется как база для хранения событий.

Помимо базового набора функций, таких как поддержка сторонних источников, ретроспективный анализ, поддержка сохранения «сырых» событий и др., разработчики планируют реализовать ряд «фирменных» функций через его интеграции с другими продуктами компании, говорит Таратынов.

Из презентации Павла Таратынова

Набор источников данных, поддержку которых планируется реализовать в первую очередь, представитель компании объяснил тем, что у «Лаборатории Касперского» есть ряд коммерческих заказчиков, которые планируют внедрять KUMA в ближайшее время, или уже внедряют ее, и этот список – требование от этих заказчиков.

Первый релиз продукта запланирован на декабрь 2020 года, но пилотные проекты можно проводить, начиная с июня, сообщил Таратынов. Цену нового продукта в компании не уточнили TAdviser в ходе презентации.

Развитие SIEM расписано до 2021 года. Помимо общего развития функционала продукта, для российского рынка планируется локализовать решение с точки зрения интерфейса, документации, получения всех необходимых сертификатов, включения в реестр отечественного ПО и др.

Примечания





Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год