Специальный выпуск KUMA.TV: всё о масштабном апдейте Kaspersky SIEM

Специальный выпуск KUMA.TV: всё о масштабном апдейте SIEM

00:00:06 Введение

• Обсуждение корреляционных правил и использования системы от лаборатории Касперского.

• Основные фичи будущего релиза Kuma.

• Технологии завтрашнего дня и роль искусственного интеллекта.

00:00:51 Визуализация связей

• Визуализация связей между корреляционными ресурсами и сервисами Kuma.

• Упрощение разработки и редактирования контента.

• Трассировка использования ресурсов и граф связности.

00:01:51 Контроль версий ресурсов

• Новый функционал контроля версий контента.

• Возможность анализа изменений и восстановления корректной версии.

• Визуальное сравнение версий и тегирование ресурсов.

00:03:02 Полнотекстовый поиск

• Полнотекстовый поиск по ресурсам.

• Переработка интерфейса ресурсы и сервисы.

• Корреляция по индексированным данным.

00:04:16 Конвертер и исключения

• Конвертер для преобразования правил и фильтров.

• Исключение из правил без изменения корреляционных правил.

• Категоризация событий и сбор телеметрии операционных систем.

00:06:31 Объединение событий и атрибутов

• Объединение событий с атрибутами активов и учетных записей.

• Сохранение истории поисковых запросов.

• Администраторы могут указывать глубину хранения событий.

00:08:00 Распределение событий

• Механизм распределения событий по пространствам.

• Гранулярное ограничение доступа к событиям.

00:08:19 Технологии искусственного интеллекта

• Илья Маркелов рассказывает о новых технологиях искусственного интеллекта в Kuma.

• ИИ помогает декодировать команды и объясняет их значение.

• Система приоритизирует срабатывания и выделяет рискованные хосты.

00:11:21 Мнение сотрудников

• Специальный корреспондент Александр спрашивает сотрудников о ИИ и Кире.

• Сотрудники положительно отзываются о новых технологиях и ИИ.

00:12:34 Введение и обсуждение продуктов

• Обсуждение продуктов лаборатории Касперского, таких как Кира и другие.

• Благодарность за поддержку и пожелания хорошего дня.

00:13:03 Внедрение системы мониторинга

• Представление Михаила Шаховцова, руководителя центра мониторинга компании Бастион.

• Описание проекта по внедрению системы мониторинга для Газпром Медиа.

• Преимущества решения Касперского: мультитантность и возможность предоставления услуг организациям холдинга.

00:14:36 Тестирование и внедрение системы

• Создание тестового сегмента и проведение нагрузочных тестов.

• Разработка проектной документации и технического задания.

• Подключение ключевых инфраструктур холдинга Газпром Медиа.

00:15:35 Процесс внедрения и масштабирование

• Детальный план внедрения системы для каждого корпоративного актива.

• Процесс заведения организации на мониторинг и настройка аудита.

• Перевод активов Газпром Медиа в режим полноценного мониторинга.

00:16:33 Сроки внедрения и масштабирования

• Сроки внедрения системы мониторинга зависят от сложности инфраструктуры.

• Опыт работы с Газпром Медиа стал универсальной методикой подключения и мониторинга.

• Возможность масштабирования на различные инфраструктуры.

00:18:17 Нюансы внедрения и реклама

• Важность преодоления нюансов внедрения.

• Рекламная пауза и анонс рубрики "Ревизор".

00:19:16 Рубрика "Ревизор"

• Ведущий Роман Назаров рассказывает о проблемах и ошибках в инсталляциях Кумы.

• Важность покрытия инфраструктуры и контроля телеметрии.

• Рекомендации по обновлению и адаптации контента.

00:22:21 Вопросы и ответы

• Ответы на вопросы зрителей о записи и доступности материалов.

• Обсуждение лицензии и использования модуля Киры.

• Локальная работа Киры и передача данных для обучения моделей.

00:25:35 Вопросы о Kira и Kuma

• Kira может выходить в интернет для декодирования команд.

• Точные сроки выхода Kuma Community Edition пока неизвестны.

• Планируется добавить функционал синхронизации активных листов для отказоустойчивости корреляторов.

00:27:35 Релизы и обновления

• Релиз версии 4.0 планируется в середине года.

• Джойны работают в поисковых запросах и дашбордах.

• Обновления нужно проводить в соответствии с лучшими стандартами, включая резервное копирование и поддержку.

00:30:01 Проблемы и поддержка

• При возникновении проблем, нарушающих стабильную эксплуатацию, следует обращаться в техническую поддержку.

• В случае специфических проблем могут выпускаться приватные патчи.

• Комьюнити помогает решать проблемы, но лучше обращаться в техподдержку.

00:31:19 Централизованное обновление агентов

• Возможность централизованного обновления агентов Kira на конечных устройствах.

• Использование Kaspersky Endpoint Security для Linux и Windows вместо отдельных агентов Kira.

• Централизованное управление агентами Kira через Kaspersky Endpoint Security.

00:34:44 Интеграция с Kaspersky Security Network

• Планы по подключению Kaspersky Security Network KNS к Kira для отправки логов.

• Процесс слияния KNS и Kira продолжается, но конкретные сроки неизвестны.

00:37:13 Лицензирование и тестирование

• Гибкие тарифы для покупки Kira, включая лицензирование по количеству хостов и событий в секунду.

• Возможность получения тестовой версии через партнеров или аккаунт-менеджеров.

• Возможность установки Kira на домашние компьютеры в будущем.

00:40:29 Отличия в телеметрии и правилах разметки

• Съем не перекрывает Едиар, у Кедра телеметрия более насыщенная.

• Кума собирает только стандартные события, которые можно получить через Век или Эма.

• Правила разметки телеметрии у Кумы и Едиар различаются, что требует комплексного решения.

00:41:20 Реагирование и темная тема

• Реагирование доступно в Куме при наличии Едиар.

• Работа над темной темой ведется интенсивно.

• Планируется централизованный сбор событий и управление пользователями.

00:42:49 Отказ-устойчивый режим и сканирование сети

• Ядро Кумы может работать в отказ-устойчивом режиме через Kubernetes.

• Работа над продуктом для сканирования сети на наличие активов и уязвимостей ведется.

• Это будет расширение, а не базовая возможность Кумы.

00:45:07 Переход на СМП и ролевая модель

• Переход на СМП будет безболезненным для заказчиков.

• Процесс разработки и работы системы будет болезненным, но команда работает над унификацией.

• Ролевая модель Кумы подробно описана в документации.

00:47:35 Доработка отчетов и сравнение вендоров

• Ведется работа по доработке расширенных отчетов для отправки по почте.

• Система отчетности гибкая, но требует доработки для расширения функциональности.

• Сравнение вендоров может быть объективным только у тех, кто использует несколько систем.

00:51:41 Дашборды и нормализация кода

• Дашборды в Куме разрабатываются самостоятельно для интерактивности и работы со специфическими структурами данных.

• Возможность писать нормализаторы кодом активно развивается, и это одна из приоритетных целей.

00:54:20 Заключение

• В студии были Илья Маркелов, Евгений Лагутина, Александр Ильин, Антон Иванов, Борис Осипов и Роман Назаров.

• Благодарность за внимание и приглашение оставаться на связи.

00:54:57 Введение в систему

• Система работает быстро и эффективно.

• Анализирует все данные из коробки без необходимости настройки.

• Обеспечивает высокую производительность и отсутствие задержек.

• Микросервисная архитектура и интеграция с другими системами.

• Быстро находит и устраняет угрозы, такие как вирусы и скрипты.

• Простота управления и удобство для администраторов.

00:55:56 Преимущества системы

• Система быстро реагирует на угрозы и события.

• Аналитик системы влюбляется в свою работу.

• События и правила совпадают в один поток.

• Система ловит угрозы в момент их появления.

• Нет задержек, все работает без проблем.

• Системные требования и архитектура системы на высоком уровне.

Материал подготовлен АО "Лаборатория Касперского"