Описание
Kaspersky Unified Monitoring and Analysis Platform (KUMA) представляет собой решение в области управления информационной безопасностью класса SIEM (Security Information and Event Management), предназначенное для централизованного сбора, анализа и корреляции событий информационной безопасности из множества источников данных. Программа обеспечивает объединённый интерфейс для мониторинга, анализа и реагирования на угрозы, поддерживая как продукты «Лаборатории Касперского», так и сторонние решения.
Среди ключевых возможностей KUMA следует выделить возможность получения, обработки и хранения данных о событиях информационной безопасности, анализ и корреляцию этих событий, поиск среди полученных данных, а также создание уведомлений о зафиксированных инцидентах. Решение построено на основе микросервисной архитектуры, что позволяет пользователям разрабатывать и использовать только необходимые компоненты, а также осуществлять гибкую маршрутизацию потоков данных для интеграции сторонних систем обработки.
KUMA совместима с физическими и виртуальными средами, при этом рекомендуется использовать операционную систему CentOS 8.x на всех серверах, где размещены микро-сервисы KUMA. Минимальные сетевые требований включают пропускную способность не менее 100 Мбит/с. К числу требований к аппаратным ресурсам относятся:
— Для Коллектора: 8 vCPU, 4 ГБ ОЗУ, 100 ГБ дискового пространства;
— Для Корреляторов: 8 vCPU, 16 ГБ ОЗУ, 100 ГБ дискового пространства;
— Для Ядра: 4 vCPU, 8 ГБ ОЗУ, 100 ГБ дискового пространства;
— Для Хранилищ: 24 vCPU, 48 ГБ ОЗУ, 500 ГБ дискового пространства. Применение твердотельных накопителей (SSD) рекомендовано для повышения эффективности работы системы.
Стандартная установка включает компоненты: один или несколько Коллекторов для получения и обработки событий, Коррелятор для анализа и создания инцидентов, Ядро для управления настройками и Хранилище для хранения нормализованных данных. События обрабатываются через надежные транспортные протоколы с возможностью шифрования. Программа осуществляет создание правил корреляции и управление активными списками, основанное на сигнатурном анализе, а также уведомление об инцидентах.
Программа предлагает следующие уникальные функции: автоматическое переключение на резервный компонент при сбоях, возможность настройки правил фильтрации и агрегации нормализованных событий, а также возможность централизованного управления компонентами через графический интерфейс веб-консоли. Для установки и настройки KUMA предусмотрен простой в использовании установщик, который требует root-привилегий и предоставляет доступ к веб-сервису через браузеры Google Chrome или Mozilla Firefox.
Для оптимальной работы программы необходимо, чтобы сервера имели корректные FQDN и соответствовали требованиям по оборудованию и программному обеспечению. Рекомендуется разворачивать все серверные компоненты в одном центре обработки данных для повышения эффективности системы.
Если вы обнаружили ошибку, пожалуйста, уведомите нас — выделите текст с ошибкой и нажмите клавиши Ctrl+Enter. Отключите блокировщик рекламы, если после нажатия комбинации кнопок не срабатывает всплывающее окно.
