Открыть сервис

Kaspersky Unified Monitoring and Analysis Platform

Kaspersky Unified Monitoring and Analysis Platform (KUMA) — это программная платформа класса SIEM (Security Information and Event Management), предназначенная для сбора, нормализации, корреляции и анализа событий информационной безопасности, а также для автоматизации реагирования на инциденты. Разработана и поддерживается компанией «Лаборатория Касперского».

История

Разработка KUMA началась в 2015 году как внутреннего продукта для нужд самой «Лаборатории Касперского». Первоначально платформа создавалась для централизованного мониторинга и управления событиями безопасности в собственной инфраструктуре компании, которая включает тысячи серверов и рабочих станций по всему миру. В 2017 году продукт был выделен в самостоятельное коммерческое решение и впервые представлен на рынке.

В 2018 году вышла версия 2.0, которая включала расширенный набор коннекторов для интеграции с различными источниками событий (системами защиты, сетевым оборудованием, операционными системами). В 2020 году, с выходом версии 3.0, была добавлена поддержка корреляции событий в реальном времени и улучшен механизм автоматического реагирования (SOAR — Security Orchestration, Automation and Response). В 2022 году была выпущена версия 3.5, в которой появилась встроенная поддержка работы с данными из облачных сред (AWS, Azure, Google Cloud) и расширены возможности машинного обучения для выявления аномалий.

Архитектура и компоненты

KUMA построена по модульной архитектуре, что позволяет масштабировать систему горизонтально в зависимости от объёмов обрабатываемых данных. Основные компоненты платформы:

  • Коллекторы (Collectors) — агенты или серверные компоненты, отвечающие за сбор событий из различных источников. Поддерживают протоколы Syslog, SNMP, NetFlow, а также API многих вендоров средств защиты информации.
  • Ядро (Core) — центральный компонент, выполняющий нормализацию, обогащение, корреляцию событий и управление правилами.
  • Хранилище (Storage) — база данных для хранения событий (как краткосрочного, так и долгосрочного). Используется собственная высокопроизводительная СУБД, оптимизированная для работы с временными рядами.
  • Веб-интерфейс (Web UI) — консоль управления, доступная через браузер. Предоставляет инструменты для настройки правил, поиска событий, построения отчётов и визуализации данных.
  • Модуль реагирования (Response Engine) — реализует сценарии автоматического реагирования на инциденты (например, блокировка IP-адреса на межсетевом экране, отключение учётной записи пользователя, отправка уведомления).

Функциональные возможности

Сбор и нормализация событий

KUMA поддерживает сбор событий из более чем 300 различных источников, включая:

События нормализуются в единый формат, что упрощает их последующую обработку и корреляцию.

Корреляция и анализ

Корреляция событий осуществляется на основе правил, написанных на специальном языке (KUMA Query Language). Поддерживаются как простые правила (например, «обнаружение более 5 неудачных попыток входа за 1 минуту»), так и сложные многоэтапные корреляции, учитывающие временные последовательности и атрибуты событий.

Платформа включает в себя встроенные библиотеки правил (плейбуки) для выявления типовых атак, таких как:

Автоматизация реагирования (SOAR)

Модуль SOAR позволяет автоматизировать типовые действия по реагированию на инциденты. Например, при обнаружении подозрительной активности система может автоматически:

  • Заблокировать IP-адрес атакующего на межсетевом экране.
  • Отключить учётную запись пользователя в Active Directory.
  • Создать заявку в системе Service Desk (ServiceNow, Jira).
  • Отправить уведомление ответственному сотруднику.

Отчётность и визуализация

KUMA предоставляет инструменты для построения отчётов по требованиям регуляторов (например, ФСТЭК России, Банка России). Поддерживаются настраиваемые дашборды (панели мониторинга) для отображения текущей ситуации с безопасностью в реальном времени.

Применение

KUMA используется в различных отраслях, где требуется централизованный мониторинг информационной безопасности:

  • Корпоративный сектор — крупные предприятия с распределённой IT-инфраструктурой.
  • Государственные учреждения — организации, подведомственные ФСТЭК России, Минцифры, а также объекты критической информационной инфраструктуры (КИИ).
  • Финансовый сектор — банки и страховые компании, обязанные соблюдать требования ЦБ РФ по мониторингу инцидентов.
  • Промышленность — предприятия, использующие системы автоматизации (SCADA) и промышленные сети.

Интеграция с другими продуктами

KUMA тесно интегрируется с другими решениями «Лаборатории Касперского»:

  • Kaspersky Endpoint Security — для получения событий с рабочих станций и серверов.
  • Kaspersky Anti Targeted Attack Platform — для обогащения данных о целевых атаках.
  • Kaspersky Security Center — для централизованного управления политиками безопасности.

Также поддерживаются интеграции с продуктами сторонних вендоров через открытые API и стандартные протоколы (Syslog, REST API).

Лицензирование и модели поставки

KUMA поставляется в двух основных моделях:

  • On-Premise — установка на собственной инфраструктуре заказчика.
  • Облачная версия — предоставляется как сервис (SaaS) через облачную платформу «Лаборатории Касперского».

Лицензирование осуществляется на основе объёма обрабатываемых событий (количество событий в секунду, EPS — Events Per Second). Для государственных и критически важных объектов предусмотрены специальные условия лицензирования, соответствующие требованиям российского законодательства.

Сертификация

Продукт имеет сертификаты соответствия требованиям российских регуляторов:

  • ФСТЭК России (сертификат на соответствие требованиям к средствам защиты информации, в том числе для объектов КИИ).
  • Минобороны России (для использования в государственных информационных системах).

Критика

Некоторые специалисты отмечают, что KUMA уступает зарубежным аналогам (Splunk, IBM QRadar, ArcSight) по глубине анализа и количеству встроенных корреляционных правил «из коробки». Также высказываются замечания по поводу сложности настройки системы для неспециалистов и относительно высокой стоимости лицензирования для небольших организаций. Вместе с тем, продукт активно развивается, и в новых версиях эти недостатки частично устраняются.

Источники

  • Официальная документация «Лаборатории Касперского» по продукту KUMA.
  • Материалы конференций по информационной безопасности (Positive Hack Days, SOC-Forum).
  • Публикации в отраслевых изданиях («Anti-Malware.ru», «SecurityLab.ru»).
  • Реестр сертифицированных средств защиты информации ФСТЭК России.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →