О решении

Kaspersky Unified Monitoring and Analysis Platform (KUMA) — высокопроизводительное решение класса SIEM российского производства, предназначенное для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и своевременной их нейтрализации.

Центральный элемент комплексной защиты

Kaspersky Unified Monitoring and Analysis Platform - объединяет продукты «Лаборатории Касперского» и сторонних поставщиков в единую систему ИБ и является ключевым компонентом на пути реализации комплексного защитного подхода, способного обезопасить от актуальных киберугроз не только корпоративную или индустриальную среду, но и наиболее инфраструктуру на стыке IT/OT-систем.

Также Kaspersky Unified Monitoring and Analysis Platform - помогает подойти комплексно к вопросу соответствия требованиям законодательства в области обеспечения безопасности объектов КИИ. В частности, встроенный модуль ГосСОПКА позволяет напрямую обмениваться данными об инцидентах с НКЦКИ

Интеграция «из коробки»

Kaspersky Unified Monitoring and Analysis Platform поддерживает следующую интеграцию:

• ПО с открытым исходным кодом (Unbound, Dovecot, Nginx, Apache, DNS BIND, pfSense (с OpenVPN), Exim, Squid, Postfix и др.)
• Операционные системы(Windows, Linux, FreeBSD и др.)
• Интеграция IRP / SOAR(Security Vision, R-Vision)
• Свыше 200 продуктов различных поставщиков(Microsoft, Palo Alto Networks, Cisco, Juniper, TrendMicro, VMware, «Код безопасности», CheckPoint, Fortinet, Positive Technologies, Infotecs, InfoWatch, «Бастион», Huawei, Oracle, MikroTik, «Бифит», 1C, «С-Терра» и др.)
• Поддерживаемые способы сбора и получения событий(Netflow, Kafka, NATS, SQL, TCP, UDP, HTTP, Files, SNMP, WMI и др.)

Плавный переход к XDR-концепции

Всесторонняя защита -Это комплексное решение помогает ИБ-службам отражать продвинутые кибератаки на всех уровнях значительно быстрее и с меньшими усилиями благодаря оптимально настроенной автоматизации защитных действий, кросс-продуктовому взаимодействию, обогащению достоверной аналитикой о киберугрозах и многоуровневому контролю потенциальных точек входа злоумышленников

Kaspersky Symphony XDR

Kaspersky Unified Monitoring and Analysis Platform является центральным элементом в решении класса XDR (Extended Detection and Response) — Kaspersky Symphony XDR.

Решение объединяет технологии EPP и EDR, почтовый и интернет шлюзы, песочницу, инструменты анализа сетевого трафика, платформу повышения осведомленности сотрудников, аналитические данные о киберугрозах и систему мониторинга и корреляции событий безопасности (SIEM). Все элементы Kaspersky Symphony XDR взаимосвязаны между собой, дополняют друг друга и входят в одну лицензию

Ключевые преимущества

• Масштабируемая архитектура и низкие системные требования
• Высокая производительность Масштабируемая архитектура и низкие
• Потоковая корреляция в реальном времени
• Автоматический сбор информации о конечных точках и реагирования
• Тесное взаимодействие с Kaspersky Threat Intelligence
• Интегрированный модуль ГосСОПКА

Ключевые возможности версии 3.4

Сбор событий агентом KES

Конвертор правил Sigma

Реализация структуры категорий и механизма категоризации событий

Версионный контроль ресурсов

Расширенные возможности поиска

График связанности ресурсов

Трассировка использования ресурсов

Отображение правил, не подключенных к корреляторам

Сохранение значений Unique fields в полях корреляционного события

Сохранение истории поисковых запросов

Новый модуль ИИ

Шаблоны уведомлений

Расширение параметров файлового коллектора

Гранулярный доступ к событиям

Определение временного интервала в пользовательском интерфейсе

Улучшения в разделе источники событий

Агент: именованные подключения; пароль и eula – параметры запуска

Шаблоны уведомлений

Категоризация событий

Ценность решения для бизнеса

Более 25 лет практического опыта «Лаборатории Касперского» в области создания средств защиты информации, противодействия целевым атакам и анализа вредоносного ПО легли в основу решения Kaspersky Unifed Monitoring and Analysis Platform. Промышленные компании по-разному подходят кзащите IT- и OT-сред. Большинство компаний давно используют проверенные системы обнаружения угроз и реагирования на инциденты в корпоративных сетях

1.Снижение рисков - Снижение рисков информационной безопасности

2.Сокращение потерь - Сокращение прямых потерь от целенаправленных действий злоумышленников

3.Эффективное решение - Предоставление выскопроизводительного решения в условиях политики импортозамещения

4.Единая платформа безопасности - Объединение в целостную платформу безопасности интегрированных решений «Лаборатории Касперского» и сторонних производителей

5.Повышение продуктивности - Повышение продуктивности работы ИБ-служб по выявлению, расследованию и реагированию на сложные киберинциденты

6.Соответствие требованиям - Обеспечение помощи в соответствии требованиям внутренних политик безопасности и внешних регулирующих органов (в частности, требованиям ФЗ-187 и приказа ФСТЭК России №239)

Покрытие матрицы MITRE ATT&CK

MITRE ATT&CK — это публичная база знаний, в которой собраны тактики и техники целевых атак, применяемые различными группировками киберпреступников. Сегодня она считается общемировым отраслевым стандартом и включает сотни техник и подтехник и тысячи процедур. Выбирая направления развития SIEM-системы Kaspersky Unified Monitoring and Analysis Platform, мы во многом опираемся именно на базу знаний MITRE. Мы начали включать в KUMA разметку текущих правил в соответствии с методами и тактиками атак MITRE, чтобы расширить возможности по анализу угроз и визуализировать степень защиты. Мы также ориентируемся на MITRE, когда разрабатываем OOTB (Out-of-the-box) контент нашей SIEM-платформы.

Сколько техник покрывает KUMA?

можно ознакомиться по ссылке Покрытие матрицы MITRE ATT&CK в Kaspersky Unified Monitoring and Analysis Platform | Лаборатория Касперского