Разработчики: | Лаборатория Касперского (Kaspersky) |
Дата премьеры системы: | Май 2020 |
Дата последнего релиза: | 2024/12/12 |
Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
2024
Интеграция с GigaChat
«Лаборатория Касперского» добавила в SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA) возможность анализировать события безопасности с помощью нейросетевой модели GigaChat от Сбера. Данная функциональность получила название KIRA — Kaspersky Investigation and Response Assistant. Она позволит организациям уменьшить объём рутинных операций в информационной безопасности (ИБ) и снизить вероятность ошибки при анализе событий. Об этом Сбер сообщил 12 декабря 2024 года.
AI-функциональность KIRA доступна непосредственно в интерфейсе системы KUMA в разделе «События». Благодаря интеграции с GigaChat специалисты по кибербезопасности смогут увидеть в карточке события автоматически сформированный подробный анализ его параметров, краткое содержание и оценку степени его риска, что позволит оперативно принять решение о приоритетности реагирования. Также искусственный интеллект в KUMA позволит работать с системой профильным сотрудникам с разным уровнем подготовки. Так, опираясь на анализ от GigaChat, начинающие специалисты смогут принимать более быстрые и точные решения по реагированию на инциденты.
Крупные компании, государственные структуры и организации, работающие с критической инфраструктурой, ежедневно сталкиваются со сложными вызовами в области кибербезопасности. Им требуется обрабатывать большие массивы данных и событий информационной безопасности, генерируемых корпоративными сетями и системами. Уверен, что GigaChat сможет успешно решить эти задачи и сделать SIEM-систему «Лаборатории Касперского» еще более гибкой и удобной в использовании, сказал Сергей Крылов, вице-президент по развитию технологического бизнеса Сбербанка.
|
Мы продолжаем повышать удобство и эффективность работы с нашей SIEM-системой, ведь от этого напрямую зависит то, насколько надёжно организации будут защищены от киберугроз. При этом «Лаборатория Касперского» внедряет инструменты искусственного интеллекта в свои решения уже более 20 лет. Интеграция KUMA с GigaChat — логичное продолжение развития наших защитных продуктов с опорой на передовые технологии и прекрасный пример того, как лидеры в своих областях объединяют усилия, чтобы усовершенствовать безопасность организаций и помочь специалистам в их работе, отметил Антон Иванов, технический директор «Лаборатории Касперского».
|
KUMA 3.2 с возможностью отправки событий из удалённых офисов в один поток
«Лаборатория Касперского» существенно обновила свою SIEM-систему. Об этом компания сообщила 2 июля 2024 года.
Добавлены функции, которые позволяют ИБ-специалистам работать максимально эффективно и автоматизируют рутинные действия.Михаил Садиров, SMART technologies: На тестирование мультивендорных решений есть спрос
Добавленная функциональность позволяет повысить продуктивность специалистов по информационной безопасности и администраторов системы, расширяет возможности по обнаружению и реагированию на угрозы в рамках XDR-платформы.
Отправка событий из удалённых офисов в один поток. Добавлен маршрутизатор событий. Это сервис, который предназначен для снижения нагрузки на каналы связи, уменьшения количества портов, открываемых на межсетевых экранах. Он позволяет принимать события от коллекторов, собирающих данные с источников, и направлять события в заданные точки назначения в соответствии с заданными на сервисе фильтрами. Использование такого промежуточного сервиса позволяет эффективно распределять нагрузку на каналы связи и использовать каналы связи с невысокой пропускной способностью.
Выполнение группировки по произвольным полям, использование функций округления времени из интерфейса работы с событиями. При проведении расследования аналитику требуется находить выборки с событиями, строить запросы с группировками и агрегатными функциями. Теперь для выполнения запросов с агрегацией не требуется переписывать SQL-запрос — достаточно выбрать одно или несколько полей, по которым следует выполнить группировку, и запустить операцию «Выполнить запрос».
Поиск событий по нескольким хранилищам, или федеративный поиск. Появилась возможность запускать поисковый запрос одновременно в нескольких кластерах хранения и получать результат в одной общей таблице. Таким образом в распределённых кластерах хранения можно быстрее и проще найти нужные события. В общей таблице с событиями указывается, в каком из хранилищ была найдена запись.
Маппинг правил на MITRE ATT&CK. В помощь аналитикам создан механизм, который позволяет визуализировать покрытие матрицы MITRE ATT&CK разработанными правилами и таким образом оценить уровень защищённости. Это позволяет импортировать в KUMA актуальный файл с перечнем техник и тактик; в свойствах правил перечислить техники и тактики, выявляемые этим правилом; экспортировать из KUMA список правил и увидеть покрытие в MITRE ATT&CK Navigator (можно указать отдельные папки с правилами).
Сбор журналов DNS Analytics. Использование KUMA Windows агентом нового транспорта ETW (сервис Event Tracing for Windows) для чтения подписки DNS Analytics обеспечивает получение расширенного журнала DNS, событий диагностики, аналитических данных о работе DNS-сервера — это больше информации, чем в журнале отладки DNS, и с меньшим влиянием на производительность DNS-сервера.
Для специалистов по ИБ SIEM-система является одним из основных рабочих инструментов, и безопасность компании в значительной мере зависит от того, насколько экспертам удобно взаимодействовать с SIEM, концентрируясь непосредственно на борьбе с угрозами, а не на рутине. Мы продолжаем активно совершенствовать решение, которое является центральной частью нашей экосистемы Kaspersky Symphony XDR, опираемся на потребности рынка и обратную связь от заказчиков и постоянно вводим новые функции для упрощения работы аналитиков, — сказал Илья Маркелов, руководитель направления развития единой корпоративной платформы в «Лаборатории Касперского». |
В составе ПАК «Nerpa + KUMA»
Производитель ИТ-оборудования Nerpa и разработчик решений в области информационной безопасности «Лаборатория Касперского» при участии OCS Distribution выпустили два программно-аппаратных комплекса (ПАК) — для защиты компаний от различных киберугроз и единого управления ИБ. Об этом OCS Distribution сообщил 6 июня 2024 года.
ПАК «Nerpa + KUMA» это решение класса Security Information and Event Management (SIEM), которое предназначено для управления ИБ и событиями безопасности. В комплекс были включены ПО Kaspersky Unified Monitoring and Analysis Platform и производительный двухпроцессорный сервер Nerpa Nord. Подробнее здесь.
2023
Интеграция в Softline Universe
ГК Softline (ПАО «Софтлайн») внедрила решения «Лаборатории Касперского» в Softline Universe. В рамках развиваемой в Softline Universe экосистемы, основанной на продуктах «Лаборатории Касперского», для защиты конечных точек были интегрированы Kaspersky Endpoint Security, для защиты почтового трафика от вредоносного программного обеспечения и спама – Kaspersky Unified Monitoring and Analysis Platform (KUMA) как единая консоль мониторинга, анализа и реагирования на киберугрозы. Об этом Softline сообщил 22 ноября 2023 года. Подробнее здесь.
В составе ПАК для защиты служебной информации
Российские производители и разработчики представили совместный защищенный программно-аппаратный комплекс администратора информационной безопасности (ПАК ИБ). Он предназначен для защиты служебной информации и персональных данных в инфосистемах заказчиков. Об этом компания Fplus сообщила 10 ноября 2023 года. ПАК построен на базе SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA). Подробнее здесь.
Использование в SOC «К2 Кибербезопасности»
К2 Кибербезопасность запускает Центр мониторинга информационной безопасности (Security Operations Center, SOC). Он объединит экспертизу К2 Кибербезопасность в области защиты информации и технологии "Лаборатории Касперского". Используя платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA), построенную на микросервисной архитектуре, специалисты SOC К2 Кибербезопасность смогут в режиме реального времени отслеживать, анализировать и информировать клиента об атаках как извне, так и изнутри инфраструктуры. Об этом компания К2 Тех сообщила 4 октября 2023 года. Подробнее здесь.
В составе "Серверного ПАКа" отечественных разработчиков
Компании «Базис», Fplus, МойОфис, «Лаборатория Касперского», DION, Getmobit и Базальт СПО 21 сентября 2023 года представили программно-аппаратные комплексы для стационарного рабочего места и обеспечения работы серверного центра. Защищает инфраструктуру Серверного ПАКа SIEM-система Kaspersky Unified Monitoring and Analysis Platform. Подробнее здесь.
Совместимость с Delta Tioga Pass и Delta Argut
Delta Computers и «Лаборатория Касперского» подтвердили совместимость и корректность работы программного обеспечения Kaspersky Anti Targeted Attack Platform (KATA), Kaspersky Endpoint Detection and Response (KEDR) и Kaspersky Unified Monitoring and Analysis Platform (KUMA) с серверными продуктами Delta Tioga Pass и Delta Argut. Об этом 6 сентября 2023 года сообщила компания Delta Computers. Подробнее здесь.
Интеграция с МТС SOC
11 апреля 2023 года компания МТС RED представила обновление центра мониторинга и реагирования на кибератаки МТС SOC. Так, технологическая основа теперь реализуется на SIEM-системе Kaspersky Unified Monitoring and Analysis Platform. Решение от «Лаборатории Касперского» позволяет централизованно собирать, анализировать и проводить корреляцию событий кибербезопасности из различных источников данных для выявления и предотвращения инцидентов и сложных хакерских атак. Также ключевым обновлением МТС SOC стало появление личного кабинета, который делает процессы защиты более прозрачными, а реагирование на инциденты — более оперативным. Подробнее здесь.
KUMA 2.1
1 марта 2023 года компания «Лаборатория Касперского» представила обновлённую версию системы для мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform (KUMA). В KUMA 2.1 внедрён обновленный подход к хранению данных о событиях безопасности, осуществлена поддержка 1С, повышена отказоустойчивость ядра системы и расширены возможности по обнаружению и реагированию на угрозы. Изменения также коснулись автообновления контента и интеграции с системой ГосСОПКА.
Сокращение стоимости владения и затрат на оборудование
По информации компании, В KUMA 2.1 обеспечивается поддержка двух областей хранения: оперативное хранилище данных о событиях безопасности работает на ClickHouse, а архивное хранилище может быть реализовано на Hadoop. Такой подход реализуется во многих SIEM-системах, но в версии KUMA 2.1 специалисты могут создавать поисковые запросы в едином интерфейсе, не переключаясь между двумя областями данных.
Это позволяет полностью сосредоточиться на расследовании инцидента и сохранить оптимальную скорость работы. При этом обновленная область хранения не потребует дорогостоящих серверов и может быть развёрнута на бюджетном оборудовании: это даст возможность владельцам бизнеса уменьшить совокупную стоимость владения (ТСО) почти в два раза и сократить затраты на оборудование почти в 4 раза.
Система автообновления контента
Подсистема обновления расширяет возможности KUMA по реагированию на изменения ландшафта угроз и инфраструктуры. В версии 2.1 появилась возможность автоматически добавлять пакеты обновлений, необходимые для расследования инцидентов, и обновленной версии уже существующего контента. Это касается как правил корреляции, так и коннекторов к источникам логов. При этом скачивание обновленных версий коннекторов и правил корреляции может быть реализовано без прямого доступа к интернету, что обеспечивает конфиденциальность обрабатываемых системой данных. Встроенный чат и автоматизация работы с НКЦКИ. В KUMA 2.1 расширена автоматизированная поддержка сценариев с модулем ГосСОПКА. Теперь в личном кабинете пользователи могут передавать данные регулятору и получать обратную связь от представителей НКЦКИ непосредственно в чате в KUMA, а также обновлять данные об инциденте, полученные в процессе расследования. При этом благодаря интеграции с платформой Kaspersky CyberTrace, которая обрабатывает отчёты «Национального координационного центра по компьютерным инцидентам», исследователь может извлекать индикаторы компрометации и применять их для детектирования событий в SIEM. Это позволяет автоматизировать часть задач по работе с НКЦКИ.
Автореагирование и интеграция с обучающей платформой для сотрудников
Более 80% инцидентов в компаниях возникают из-за низкой осведомлённости сотрудников в области IT-безопасности. Чтобы минимизировать подобные риски, в KUMA 2.1 добавлены продвинутые инструменты для реагирования, контекстного анализа и сдерживания. За счёт интегрированной обучающей платформы Kaspersky Automated Security Awareness Platform (KASAP) и каталога Active Directory, который хранит сведения о действиях пользователей, специалисты могут управлять группой учётных записей в домене и пользоваться системой обучения непосредственно в интерфейсе SIEM. Например, блокировать аккаунты пользователей, совершающих подозрительные действия, инициировать смену пароля, управлять членством учётной записи пользователя в группах AD, просматривать информацию о курсах сотрудников или записывать их на тренинги.
SIEM – центральный элемент большинства зрелых систем информационной безопасности, поэтому она должна отвечать всем актуальным требованиям рынка и учитывать меняющийся ландшафт киберугроз. KUMA 2.1 расширяет возможности аналитиков, позволяет оптимизировать бюджет на информационную безопасность, обеспечивая защиту на оптимальном уровне. отметил Илья Маркелов, руководитель направления развития единой корпоративной платформы «Лаборатории Касперского» |
Доступность для клиентов Solar JSOC
Для оказания сервисов по мониторингу и реагированию на кибератаки «Ростелеком-Солар» запустил в работу SIEM-платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA). Она позволяет централизованно собирать, анализировать и проводить корреляцию событий кибербезопасности из различных источников данных для оперативного выявления и предотвращения киберинцидентов. Об этом 20 января 2023 года сообщили в Лаборатории Касперского. Подробнее здесь.
2022
В составе ПАКа на базе Depo Storm Kaspersky Unified Monitoring and Analysis Platform (KUMA)
Компании Axoft, «Лаборатория Касперского» и DEPO Computers представили российские программно-аппаратные комплексы, созданные на базе серверных платформ DEPO Storm и программных продуктов компании «Лаборатория Касперского». Комплексы протестированы инженерами технологического центра DEPO Computers и готовы к использованию в государственных учреждениях и на предприятиях корпоративного сектора. Подробнее здесь.
Версия 2.0 с расширеными возможностями по обогащению событий от защитных решений актуальными данными
«Лаборатория Касперского» 10 августа 2022 года сообщила о том, что усилила систему мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform (KUMA). Обновленная функциональность позволяет повысить продуктивность специалистов по информационной безопасности, работающих с системой, и расширяет возможности по обнаружению и реагированию на угрозы в рамках XDR-платформы.
Реагирование на конечных точках. За счёт более тесной интеграции с Kaspersky Security Center и Kaspersky EDR теперь прямо из интерфейса KUMA 2.0 можно вручную или автоматически настроить более строгую политику безопасности для атакованного компьютера: изолировать его от сети, запустить установку патча для уязвимого ПО или заблокировать подозрительный файл. В результате пользователи смогут более оперативно реагировать на угрозу и минимизировать её последствия.
В KUMA 2.0 добавлены десятки дополнительных операторов SQL-like, что значительно расширяет возможности проактивного поиска угроз (threat hunting).
В дополнение к уже имеющейся интеграции с Kaspersky EDR по обработке оповещений обновленная версия KUMA позволяет собирать и нормализовать «сырую» телеметрию. Это улучшает проактивный поиск угроз и помогает выстраивать корреляции данных с конечных точек с событиями из других источников.
В обновлённой KUMA расширены возможности по обогащению событий от защитных решений актуальными данными. Например, доступно обогащение информацией геолокации по IP-адресу (GeoIP), а также из различных словарей, содержащих данные, например, из корпоративных HR-систем, СКУД и т.д.
Выявление сложных сценариев атак. За счёт поддержки более 20 дополнительных функций и вычисляемых переменных повышается эффективность обнаружения кибератак любой сложности.
Всё больше организаций осознают важность комплексного подхода к информационной безопасности. Тесная интеграция решений в рамках единой платформы даёт самое главное качество в борьбе — сокращает время обнаружения и повышает скорость реакции. KUMA 2.0 — центральный элемент Kaspersky Symphony XDR, которая объединяет защитные решения во всеобъемлющую систему киберзащиты, — сказал Дмитрий Стеценко, руководитель направления развития единой платформы кибербезопасности «Лаборатории Касперского». |
Помимо вышеперечисленного в релиз KUMA 2.0 вошло множество других доработок, которые были добавлены на основе отзывов и пожеланий заказчиков.
Совместимость со специализированной платформой для автоматизации процессов информационной безопасности Security Vision
«Лаборатория Касперского» и Security Vision подтвердили совместимость SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA) и автоматизированной платформы информационной безопасности Security Vision в ходе всестороннего тестирования. Об этом сообщила компания «Лаборатория Касперского» 27 июля 2022 года.
Интеграция включает в себя два потока взаимодействия:
- Информация по ИT-активам: Security Vision обогащает внутреннюю базу активов данными из KUMA;
- Информация по подозрениям на инцидент (алертам) и исходным событиям передаётся в рамках двунаправленной схемы взаимодействия.
Работая в связке, продукты дополняют функциональность друг друга: KUMA реализует мониторинг событий на предмет нарушений принятых политик безопасности, а Security Vision автоматизирует процесс расследования и реагирования на выявленные события ИБ. Результат интеграции будет наиболее востребован в компаниях с высоким уровнем зрелости процессов ИБ в рамках их Security Operation Center.
Российские компании всё чаще сталкиваются с критичными киберинцидентами. Своевременно отразить атаку и минимизировать её последствия возможно при оперативной реакции на неё. По статистике Kaspersky Global Emergency Response Team, в 2021 году более половины инцидентов были выявлены только после наступления неблагоприятных последствий, и в 37% случаев потребовалось более месяца на восстановление бизнес-процессов. Существенно сократить время обнаружения и реагирования позволит автоматизация основных ИБ-функций. Для крупных же компаний, которые работают с большими объёмами данных из множества разных источников, автоматизация — это уже необходимость. KUMA — ядро нашей XDR-платформы, один из принципов которой — открытость внешним интеграциям. Взаимодействие с Security Vision IRP дополнит имеющиеся в KUMA коробочные интеграции и значительно расширит возможности наших заказчиков по автоматизации даже самых сложных и ресурсоёмких ИБ-процессов, позволяя, например, выстроить многоэтапные цепочки реагирования на инциденты, прокомментировал Дмитрий Стеценко, руководитель направления развития единой платформы кибербезопасности «Лаборатория Касперского».
|
Очень важно своевременно и качественно реагировать на возникающие угрозы информационной безопасности, а в сложившейся геополитической ситуации на июль 2022 года, это актуально. Поэтому возрастает актуальность ИБ-решений от надёжных отечественных поставщиков. Применение комплекса решений KUMA и Security Vision позволит осуществлять непрерывный мониторинг и выявление потенциальных инцидентов кибербезопасности, а также выполнять автоматическое реагирование с целью минимизации их влияния и снижения потерь, сказал Роман Овчинников, руководитель отдела исполнения Security Vision.
|
Kaspersky Unified Monitoring and Analysis Platform (KUMA) — решение класса SIEM (Security Information and Event Management), которое предназначено для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и их своевременной нейтрализации. В основе системы лежит микросервисная архитектура, открывающая возможности для гибкого масштабирования и быстрого обновления отдельных модулей. KUMA обладает высокой производительностью — более 300 тысяч событий в секунду (EPS) на один узел, и при этом относительно невысокими системными требованиями для её развертывания.
Security Vision — платформа автоматизации процессов информационной безопасности, мониторинга и реагирования на инциденты кибербезопасности, впервые позволяющая роботизировать исполнение программно-технических функций оператора с долей автоматизации до 95% за счёт:
- создания элементов саморегулирующихся программных средств с использованием математических методов для высвобождения человека от участия в рутинных операциях и процессах получения, преобразования, передачи и использования информации;
- использования алгоритмов и методов машинного обучения;
- использования алгоритмов предиктивной аналитики больших данных и когнитивного поиска информации.
2021: Интеграция с НКЦКИ
«Лаборатория Касперского» 5 октября 2021 года сообщила об обновлении своей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA). Решение предназначено для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и своевременной их нейтрализации.
Основное внимание разработчики уделили функциям, востребованным у компаний с крупными инфраструктурами, а также инструментам, которые упрощают выполнение требований регуляторов. Обновленная версия версия интегрирована с российским Национальным координационным центром по компьютерным инцидентам (НКЦКИ) благодаря встроенному модулю ГосСОПКА. В KUMA значительно расширены возможности управления инцидентами. В обновленном разделе интерфейса, «Инцидент», предоставляется возможность координировать совместную работу нескольких аналитиков, назначать ответственных, изменять приоритет и производить эскалацию отдельных случаев.
В платформу добавлены карточки инцидентов, которые помогают собирать в одном месте всю информацию по каждому случаю: подозрительные события безопасности и другие данные, например о затронутых устройствах и пользователях. Инциденты можно создавать как автоматически, так и вручную, а также формировать карточки в необходимом виде для экспорта из интерфейса в Национальный координационный центр по компьютерным инцидентам.
Ещё одним изменением стала поддержка мультиарендности (multitenancy) для поставщиков услуг безопасности (MSSPs) и крупных предприятий. Это позволяет компаниям с несколькими филиалами и MSSP-провайдерам выявлять и приоритизировать угрозы для нескольких отделений в единой централизованной среде. При этом главный администратор платформы может назначать пользователям каждого «арендатора» роли, чётко определяющие, какую информацию они могут просматривать, создавать или изменять.
Также среди новых возможностей KUMA:
- мониторинг состояния источников событий для своевременного уведомления администраторов о проблемах;
- пополнение базы коннекторов для приёма событий;
- автоматическая категоризация устройств (динамическая категоризация);
- полное резервное копирование данных ядра KUMA;
- набор предустановленных правил корреляции, подготовленных экспертами «Лаборатории Касперского» в соответствии с MITRE ATTACK;
- HTTPRest API для управления устройствами и активными списками.
Kaspersky Unified Monitoring and Analysis Platform — ключевой компонент экосистемы решений `Лаборатории Касперского` для защиты крупного бизнеса. Мы проанализировали нужды наших клиентов на основе более чем 150 запросов за последний год и добавили в обновлённую версию целый ряд функций и возможностей, важных для защиты ИТ-инфраструктур крупных компаний. В том числе это multitenancy для провайдеров MSSP-услуг и географически распределённых компаний, удобные инструменты управления инцидентами, а также обмен данными с НКЦКИ, который помогает соответствовать требованиям российских регуляторов в области безопасности объектов критической инфраструктуры, — сказал Михаил Прибочий, управляющий директор «Лаборатории Касперского» в России и странах СНГ. — KUMA зарекомендовала себя как мощный инструмент и показывает впечатляющую производительность по потоковой корелляции: более 300 тысяч событий в секунду (EPS) на один узел. |
2020: Презентация продукта
21 мая «Лаборатория Касперского» анонсировала свой новый продукт, который находится в активной разработке – платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA). Она относится к классу систем SIEM (Security Information and Event Management).
В компании отмечают, что изначально не собирались создавать продукт такого рода. Павел Таратынов, архитектор центров информационной безопасности, «Лаборатория Касперского», в ходе онлайн-презентации рассказал, почему компания решила-таки его создать, несмотря на то, что мировой рынок SIEM-систем является довольно зрелым и конкурентным.
Как показывают результаты опроса наших клиентов, многим все-таки не хватает альтернативы. И если несколько лет назад, когда мы оценивали необходимость выхода на этот рынок, мы ее не увидели, то сейчас ситуация изменилась. Сейчас на выбор решений ИБ очень сильно влияет геополитика. Если посмотреть на лидеров рынка по данным ведущих аналитических агентств, то мы увидим, что все они из одной страны. А многие наши крупные клиенты по тем или иным причинам не могут или не хотят использовать эти решения, - отметил Таратынов. |
По его словам, и сама «Лаборатория Касперского» отчасти стала заложником этой ситуации, когда в 2019 году Splunk, клиентом которого была компания, внезапно ушел из России. Тогда «Лаборатория Касперского» столкнулась с необходимостью срочно искать альтернативу.
Еще до выпуска коммерческой версии, служба безопасности «Лаборатории Касперского» для себя выбрала KUMA в качестве основной SIEM и по состоянию на май находится в процессе внедрения, добавил представитель компании.
По данным «магического квадранта» Gartner (2020 Gartner Magic Quadrant for SIEM), мировыми лидерами на этом рынке являются IBM, Splunk, Exabeam, Securonics, LogRhythm, Rapid7 и Dell Technologies (RSA)[1]. Свежие исследования российского рынка SIEM от аналитиков в последнее время не выходили. По данным исследования IDC 2018 года, наиболее заметные отечественные игроки на этом рынке в России - компании Positive Technologies и «НПО «Эшелон».
Отвечая на вопрос о том, чем компанию не устроили уже существующие российские системы, представитель компании сказал следующее. Основными требованиями внутренней службы ИБ «Лаборатории Касперского» к SIEM были производительность, гибкость архитектуры и низкие системные требования. Также им было необходимо иметь возможность оперативной техподдержки, влиять на развития продукта с точки зрения функционала. То же самое нужно и заказчикам компании, считает Таратынов.
Однако, утверждает Павел Таратынов, основной причиной, подтолкнувшей компанию к созданию собственной SIEM, стало то, что за последнее время в ее портфолио появилось много разных решений, которые при этом не всегда интегрированы между собой. Не хватало центрального связующего звена, чтобы предлагать заказчикам единую экосистему, а не просто набор решений.
В связи с этим было принято решение разрабатывать не только SIEM, а развивать и разрабатывать единую модульную платформу безопасности, где SIEM будет одним из компонентов. Она должна объединить все решения и предоставить единое окно для задач мониторинга, реагирования на инциденты, оркестрации решений «Лаборатории Касперского», а также единую консоль управления. Роль последней, в совокупности с мониторингом инцидентов и будет выполнять SIEM. При этом платформа будет открытой для интеграции с решениями сторонних поставщиков.
По словам Павла Таратынова, стек технологий KUMA был разработан с нуля и не основан на других продуктах компании. Он изначально проектировался под высоконагруженные системы. Решение основано на микросервисной архитектуре, где каждый компонент является микросервисом, работающим независимо от других, пояснил представитель «Лаборатории Касперского».
Решение содержит компоненты, характерные для SIEM: коллекторы, корелляторы, ядро системы, которое обеспечивает централизованное управление, прокси для защищенного соединения и связи с базой данных, где хранятся события и агент для сбора логов с Windows-машин. Также используются open source компоненты, но решение на них не завязано, и они могут быть заменены в дальнейшем, если будет необходимо. Например, Elastic используется как база для хранения событий.
Помимо базового набора функций, таких как поддержка сторонних источников, ретроспективный анализ, поддержка сохранения «сырых» событий и др., разработчики планируют реализовать ряд «фирменных» функций через его интеграции с другими продуктами компании, говорит Таратынов.
Набор источников данных, поддержку которых планируется реализовать в первую очередь, представитель компании объяснил тем, что у «Лаборатории Касперского» есть ряд коммерческих заказчиков, которые планируют внедрять KUMA в ближайшее время, или уже внедряют ее, и этот список – требование от этих заказчиков.
Первый релиз продукта запланирован на декабрь 2020 года, но пилотные проекты можно проводить, начиная с июня, сообщил Таратынов. Цену нового продукта в компании не уточнили TAdviser в ходе презентации.
Развитие SIEM расписано до 2021 года. Помимо общего развития функционала продукта, для российского рынка планируется локализовать решение с точки зрения интерфейса, документации, получения всех необходимых сертификатов, включения в реестр отечественного ПО и др.
Примечания
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Буровая компания Евразия | ITProtect (Инфозащита) | 2024.03 | |
- Русский стандарт Банк | Лаборатория Касперского (Kaspersky) | 2023.08 | |
- Абинский ЭлектроМеталлургический завод (АЭМЗ) | Лаборатория Касперского (Kaspersky) | 2022.09 |
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (24)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (15)
Другие (144)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Инфосекьюрити (Infosecurity) (2)
Инфосистемы Джет (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
CyberOK (СайберОК) (4)
InnoSTage (Инностейдж) (4)
SearchInform (СёрчИнформ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 40)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 14)
Micro Focus (5, 13)
Другие (280, 113)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
Инфосекьюрити (Infosecurity) (2, 2)
IBM (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Уральский центр систем безопасности (УЦСБ) (1, 2)
SearchInform (СёрчИнформ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 2)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
Инфосекьюрити (Infosecurity) (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Перспективный мониторинг (1, 4)
Лаборатория Касперского (Kaspersky) (3, 3)
Русием (RuSIEM) (1, 2)
Другие (7, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37
MaxPatrol SIEM - 33
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
СёрчИнформ SIEM - 17
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
Другие 160
R‑Vision SOAR (ранее R-Vision IRP) - 3
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
MaxPatrol SIEM - 2
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
Ngenix Облачная платформа - 2
Другие 13
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
Innostage SOAR (ранее Innostage IRP) - 4
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
CyberART Сервисная служба киберзащиты - 4
MaxPatrol SIEM - 2
Другие 13