Kaspersky Unified Monitoring and Analysis Platform
Kaspersky Unified Monitoring and Analysis Platform (KUMA) — это программная платформа класса SIEM (Security Information and Event Management), предназначенная для сбора, нормализации, корреляции и анализа событий информационной безопасности, а также для автоматизации реагирования на инциденты. Разработана и поддерживается компанией «Лаборатория Касперского».
История
Разработка KUMA началась в 2015 году как внутреннего продукта для нужд самой «Лаборатории Касперского». Первоначально платформа создавалась для централизованного мониторинга и управления событиями безопасности в собственной инфраструктуре компании, которая включает тысячи серверов и рабочих станций по всему миру. В 2017 году продукт был выделен в самостоятельное коммерческое решение и впервые представлен на рынке.
В 2018 году вышла версия 2.0, которая включала расширенный набор коннекторов для интеграции с различными источниками событий (системами защиты, сетевым оборудованием, операционными системами). В 2020 году, с выходом версии 3.0, была добавлена поддержка корреляции событий в реальном времени и улучшен механизм автоматического реагирования (SOAR — Security Orchestration, Automation and Response). В 2022 году была выпущена версия 3.5, в которой появилась встроенная поддержка работы с данными из облачных сред (AWS, Azure, Google Cloud) и расширены возможности машинного обучения для выявления аномалий.
Архитектура и компоненты
KUMA построена по модульной архитектуре, что позволяет масштабировать систему горизонтально в зависимости от объёмов обрабатываемых данных. Основные компоненты платформы:
- Коллекторы (Collectors) — агенты или серверные компоненты, отвечающие за сбор событий из различных источников. Поддерживают протоколы Syslog, SNMP, NetFlow, а также API многих вендоров средств защиты информации.
- Ядро (Core) — центральный компонент, выполняющий нормализацию, обогащение, корреляцию событий и управление правилами.
- Хранилище (Storage) — база данных для хранения событий (как краткосрочного, так и долгосрочного). Используется собственная высокопроизводительная СУБД, оптимизированная для работы с временными рядами.
- Веб-интерфейс (Web UI) — консоль управления, доступная через браузер. Предоставляет инструменты для настройки правил, поиска событий, построения отчётов и визуализации данных.
- Модуль реагирования (Response Engine) — реализует сценарии автоматического реагирования на инциденты (например, блокировка IP-адреса на межсетевом экране, отключение учётной записи пользователя, отправка уведомления).
Функциональные возможности
Сбор и нормализация событий
KUMA поддерживает сбор событий из более чем 300 различных источников, включая:
- Средства антивирусной защиты (в том числе продукты «Лаборатории Касперского»).
- Межсетевые экраны (Cisco, Fortinet, Check Point, UserGate и др.).
- Системы обнаружения вторжений (IDS/IPS).
- Операционные системы (Windows, Linux, FreeBSD).
- Базы данных и приложения (Oracle, Microsoft SQL Server, PostgreSQL).
- Облачные сервисы (AWS CloudTrail, Azure Monitor, Google Cloud Audit Logs).
События нормализуются в единый формат, что упрощает их последующую обработку и корреляцию.
Корреляция и анализ
Корреляция событий осуществляется на основе правил, написанных на специальном языке (KUMA Query Language). Поддерживаются как простые правила (например, «обнаружение более 5 неудачных попыток входа за 1 минуту»), так и сложные многоэтапные корреляции, учитывающие временные последовательности и атрибуты событий.
Платформа включает в себя встроенные библиотеки правил (плейбуки) для выявления типовых атак, таких как:
- Брутфорс (подбор паролей).
- Распространение вредоносного ПО.
- Несанкционированный доступ к критическим ресурсам.
- Атаки типа «человек посередине» (MitM).
Автоматизация реагирования (SOAR)
Модуль SOAR позволяет автоматизировать типовые действия по реагированию на инциденты. Например, при обнаружении подозрительной активности система может автоматически:
- Заблокировать IP-адрес атакующего на межсетевом экране.
- Отключить учётную запись пользователя в Active Directory.
- Создать заявку в системе Service Desk (ServiceNow, Jira).
- Отправить уведомление ответственному сотруднику.
Отчётность и визуализация
KUMA предоставляет инструменты для построения отчётов по требованиям регуляторов (например, ФСТЭК России, Банка России). Поддерживаются настраиваемые дашборды (панели мониторинга) для отображения текущей ситуации с безопасностью в реальном времени.
Применение
KUMA используется в различных отраслях, где требуется централизованный мониторинг информационной безопасности:
- Корпоративный сектор — крупные предприятия с распределённой IT-инфраструктурой.
- Государственные учреждения — организации, подведомственные ФСТЭК России, Минцифры, а также объекты критической информационной инфраструктуры (КИИ).
- Финансовый сектор — банки и страховые компании, обязанные соблюдать требования ЦБ РФ по мониторингу инцидентов.
- Промышленность — предприятия, использующие системы автоматизации (SCADA) и промышленные сети.
Интеграция с другими продуктами
KUMA тесно интегрируется с другими решениями «Лаборатории Касперского»:
- Kaspersky Endpoint Security — для получения событий с рабочих станций и серверов.
- Kaspersky Anti Targeted Attack Platform — для обогащения данных о целевых атаках.
- Kaspersky Security Center — для централизованного управления политиками безопасности.
Также поддерживаются интеграции с продуктами сторонних вендоров через открытые API и стандартные протоколы (Syslog, REST API).
Лицензирование и модели поставки
KUMA поставляется в двух основных моделях:
- On-Premise — установка на собственной инфраструктуре заказчика.
- Облачная версия — предоставляется как сервис (SaaS) через облачную платформу «Лаборатории Касперского».
Лицензирование осуществляется на основе объёма обрабатываемых событий (количество событий в секунду, EPS — Events Per Second). Для государственных и критически важных объектов предусмотрены специальные условия лицензирования, соответствующие требованиям российского законодательства.
Сертификация
Продукт имеет сертификаты соответствия требованиям российских регуляторов:
- ФСТЭК России (сертификат на соответствие требованиям к средствам защиты информации, в том числе для объектов КИИ).
- Минобороны России (для использования в государственных информационных системах).
Критика
Некоторые специалисты отмечают, что KUMA уступает зарубежным аналогам (Splunk, IBM QRadar, ArcSight) по глубине анализа и количеству встроенных корреляционных правил «из коробки». Также высказываются замечания по поводу сложности настройки системы для неспециалистов и относительно высокой стоимости лицензирования для небольших организаций. Вместе с тем, продукт активно развивается, и в новых версиях эти недостатки частично устраняются.
Источники
- Официальная документация «Лаборатории Касперского» по продукту KUMA.
- Материалы конференций по информационной безопасности (Positive Hack Days, SOC-Forum).
- Публикации в отраслевых изданиях («Anti-Malware.ru», «SecurityLab.ru»).
- Реестр сертифицированных средств защиты информации ФСТЭК России.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →