Описание
Kaspersky Unified Monitoring and Analysis Platform (KUMA) представляет собой решение класса SIEM (управление информацией и событиями безопасности), предназначенное для централизованного сбора, анализа и корреляции событий информационной безопасности из различных источников.
Платформа обеспечивает единую консоль для мониторинга, анализа и реагирования на угрозы информационной безопасности, объединяя как продукты от «Лаборатории Касперского», так и решения сторонних производителей. Основные функциональные возможности KUMA включают обработку и хранение событий, анализ и корреляцию, поиск событий и создание уведомлений о инцидентах.
Программа построена на микросервисной архитектуре, что дает возможность адаптации только необходимых микросервисов для целей пользователя. KUMA может использоваться как система управления журналами, так и полноценная SIEM-система. Гибкая маршрутизация потоков данных позволяет интеграцию с сторонними сервисами для дополнительной обработки событий.
Поддерживаемые платформы включают физическое оборудование и виртуальные среды, с рекомендуемыми требованиями для серверов Коллекторов (8 vCPU, 4 ГБ ОЗУ, 100 ГБ дискового пространства), Корреляторов (8 vCPU, 16 ГБ ОЗУ), Ядра (4 vCPU, 8 ГБ ОЗУ) и Хранилищ (24 vCPU, 48 ГБ ОЗУ, 500 ГБ диска). Все серверы должны использовать операционную систему CentOS 8.x и обеспечивать сетевую пропускную способность не менее 100 Мбит/с. Для веб-консоли необходим браузер Google Chrome версии 78 или выше или Mozilla Firefox версии 70 или выше.
Архитектура KUMA состоит из нескольких компонентов: Коллекторов, которые получают и обрабатывают события; Корреляторов, анализирующих события и создающих инциденты; Ядра, обеспечивающего управление системой через графический интерфейс; и Хранилища для нормализованных событий. Ключевые этапы работы включают получение сообщений, их парсинг и нормализацию, применение правил корреляции, а также хранение нормализованных событий в кластерной системе Elasticsearch.
Установка KUMA может быть выполнена на одном сервере с использованием инсталлятора, а для ее развертывания требуются root-привилегии. Инсталлятор автоматически настраивает все компоненты и открывает необходимые порты для передачи сообщений. Все компоненты KUMA обмениваются событиями через защищенные транспортные протоколы, что позволяет настраивать балансировку нагрузки и резервирование в случае сбоя.
Платформа KUMA подходит для организаций, стремящихся централизовать управление событиями безопасности и повысить эффективность реагирования на инциденты. Продукт полезен в областях, связанных с информационной безопасностью, включая защиты сетевой инфраструктуры и управление рисками в крупных корпоративных системах.
Aльтернативные названия:
Kaspersky Unified Monitoring and Analysis Platform GosSOPKA compatible with Netflow and HA support
Если вы обнаружили ошибку, пожалуйста, уведомите нас — выделите текст с ошибкой и нажмите клавиши Ctrl+Enter. Отключите блокировщик рекламы, если после нажатия комбинации кнопок не срабатывает всплывающее окно.
