Лаборатория Касперского обновила свою SIEM-систему KUMA 3.4, значительно расширив возможности искусственного интеллекта

«Лаборатория Каперского» выпустила масштабное обновление SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA). В новой версии улучшена визуализация ресурсов, расширены возможности коррелятора и упрощена работа с поиском событий.

Функция приоритизации событий с помощью ИИ поможет выделить наиболее важные инциденты. Модуль машинного обучения анализирует характер активности на различных устройствах, и если система выявляет аномалию, это обозначается специальным статусом, что позволяет аналитикам быстрее реагировать на критические ситуации.

Кроме того, в KUMA появился помощник аналитика KIRA, который облегчит работу пользователей с разным уровнем квалификации. Благодаря интеграции с ИИ, новички смогут быстрее и точнее реагировать на инциденты.

Сбор данных с помощью единого агента Kaspersky Endpoint Security. Ранее для получения данных с рабочих станций на Windows и Linux нужно было устанавливать агент SIEM на каждую станцию или организовывать передачу данных на промежуточный хост. Теперь, если агент Kaspersky Endpoint Security установлен на хосте, он может напрямую передавать данные в SIEM-систему, что упрощает процесс и исключает необходимость установки дополнительных агентов SIEM.

Визуализация взаимосвязанных ресурсов. В обновленном решении добавлен граф связанных ресурсов, позволяющий визуально оценивать, какие ресурсы применяют различные правила и к какому коррелятору они принадлежат. Это улучшает контроль над настройками и помогает понять, как изменения в конфигурации влияют на работу системы.

Добавление исключений из правил через интерфейс. Это позволяет аналитикам, не имеющим доступа к правилам корреляции, вносить исключения в интерфейсе, если нужно обозначить событие как ложноположительное, без изменения самих правил корреляции.

Версионирование контента. KUMA сохраняет историю изменений ресурсов в виде версий, которые создаются автоматически при создании нового ресурса или сохранении изменений. Хранение версий облегчает взаимодействие среди аналитиков, позволяя отслеживать изменения и отменять их при необходимости.

«Для команд SOC и ИБ-департаментов SIEM — один из основных инструментов, поэтому мы уделяем много внимания тому, чтобы работать с KUMA было просто. Новые возможности помогут быстрее и с меньшими усилиями реагировать на события, — говорит Илья Маркелов, руководитель направления развития единой корпоративной платформы „ Лаборатории Касперского ” . — Второе важное направление, которое непосредственно связано с коробочным контентом, — активное обогащение KUMA коннекторами к источникам событий и правилами корреляции. Сегодня наши правила уже из коробки покрывают более 400 техник матрицы MITRE ATTACK, а количество поддерживаемых источников приблизилось к 300. И это количество постоянно растёт».