«Лаборатория Касперского» расширила возможности своей SIEM-системы

Основное внимание разработчики уделили функциям, востребованным у компаний с крупными инфраструктурами, а также инструментам, которые упрощают выполнение требований регуляторов

Новая версия интегрирована с российским Национальным координационным центром по компьютерным инцидентам (НКЦКИ) благодаря встроенному модулю ГосСОПКА. В KUMA значительно расширены возможности управления инцидентами. В новом разделе интерфейса, «Инцидент», предоставляется возможность координировать совместную работу нескольких аналитиков, назначать ответственных, изменять приоритет и производить эскалацию отдельных случаев. 

В платформу добавлены карточки инцидентов, которые помогают собирать в одном месте всю информацию по каждому случаю: подозрительные события безопасности и другие данные, например о затронутых устройствах и пользователях. Инциденты можно создавать как автоматически, так и вручную, а также формировать карточки в необходимом виде для экспорта из интерфейса в Национальный координационный центр по компьютерным инцидентам.

Ещё одним нововведением стала поддержка мультиарендности (multitenancy) для поставщиков услуг безопасности (MSSPs) и крупных предприятий. Это позволяет компаниям с несколькими филиалами и MSSP-провайдерам выявлять и приоритизировать угрозы для нескольких отделений в единой централизованной среде. При этом главный администратор платформы может назначать пользователям каждого «арендатора» роли, чётко определяющие, какую информацию они могут просматривать, создавать или изменять.

Также среди новых возможностей KUMA:

-мониторинг состояния источников событий для своевременного уведомления администраторов о проблемах;

-пополнение базы коннекторов для приёма событий;

-автоматическая категоризация устройств (динамическая категоризация);

-полное резервное копирование данных ядра KUMA;

-набор предустановленных правил корреляции, подготовленных экспертами «Лаборатории Касперского» в соответствии с MITRE ATTACK;

-HTTP Rest API для управления устройствами и активными списками.

«Kaspersky Unified Monitoring and Analysis Platform — ключевой компонент экосистемы решений “Лаборатории Касперского” для защиты крупного бизнеса. Мы проанализировали нужды наших клиентов на основе более чем 150 запросов за последний год и добавили в обновлённую версию целый ряд новых функций и возможностей, важных для защиты инфраструктур крупных компаний. В том числе это multitenancy для провайдеров MSSP-услуг и географически распределённых компаний, удобные инструменты управления инцидентами, а также обмен данными с НКЦКИ, который помогает соответствовать требованиям российских регуляторов в области безопасности объектов критической инфраструктуры, — комментирует Михаил Прибочий, управляющий директор «Лаборатории Касперского» в России и странах СНГ. — KUMA зарекомендовала себя как мощный инструмент и показывает впечатляющую производительность по потоковой корелляции: более 300 тысяч событий в секунду (EPS) на один узел».

Материал подготовлен АО "Лаборатория Касперского"