Kaspersky KUMA (Kaspersky Unified Monitoring and Analysis Platform) ile SIEM’e Yeni Bir Bakış!
Öncelikle SIEM, “Security Incident and Event Management” baş harflerinin oluşturduğu Güvenlik Bilgileri Ve Olay Yönetimi anlamına gelen bir Bilişim Güvenliği çözümüdür.
Dünyanın önde gelen güvenlik üreticilerinden olan Kaspersky; SIEM çözümü için KUMA olarak isimlendirdiği Birleşik İzleme ve Analiz Platformu ‘nu uzun bir süre test ettikten sonra satışa sundu.
KUMA ile merkezi olarak güvenlik olaylarının izlenmesi sağlanmaktadır. Özellikle Kaspersky ekosistemi içinde; Kaspersky Security for Business, EDR, KATA, Internet Gateway, Mail Server, KSC, Threat Data Feeds, CyberTrace, Threat Lookup, Industrial Security ve diğer güvenlik çözümleriyle uyumlu çalışıp telemetri toplama ve yorumlama yapmaktadır.
KUMA ile öne çıkan avantajlar;
- Yüksek Performans: Her bir KUMA kurulumu başına 300.000+ EPS log toplama desteği.
- Düşük Kaynak Kullanımı: Sanal veya fiziksel sunucuya kurulum ve tek bir sanal sunucuda tüm modüller dahil olarak 10.000 EPS log toplama.
- Ölçeklenebilirlik: Esnek mikroservis mimarisi sayesinde tam yedeklilik (HA) ve yüksek ölçeklenebilirlik.
- Merkezi WEB Arayüzü: Tüm yönetim ve izleme için web tabanlı arayüz.
- Hazır Entegrasyonlar: Hem 3. Parti ürünleri hem de tüm Kaspersky ürünlerini kapsayan hazır entegrasyon modülleri.
- Kolay Kullanım: Özel dil veya komutları öğrenmeye gerek kalmadan kullanabilmek.
Desteklenen Hazır Entegrasyon Modülleri;
- Açık Kaynak Yazılımlar: Unbound, Dovecot, Nginx, Apache, DNS BIND, pfSense (с OpenVPN), Exim, Squid, Postfix
- Markalarla İşbirliği: Microsoft, Palo Alto Networks, Cisco, Juniper, TrendMicro, VMware, Security Code, CheckPoint, Fortinet, Positive Technologies, Infotecs, InfoWatch, Bastion, Huawei, Oracle, MikroTik, Bifit, 1C, S-Terra
- Desteklenen Genel Protokoller: NetFlow, Kafka, SQL,TCP/UDP,HTTP, Dosya izleme, SNMP
JSON, CEF, Syslog, WEC, KV, RegExp, CSV
- İşletim Sistemleri: Windows, Linux, FreeBSD
- IRP/SOAR Entegrasyonu: Security Vision, R-Vision
- Destek: Yeni entegrasyonlar yazılabilir, Yeni müşterilerin eğitimi için destek, Telefon veya portal üzerinden 24/7 destek
Esnek Depolama Yapılandırması – Uzun Dönem Depolama
- Farklı depolama seviyeleri için yapılandırılabilir uzun dönem depolama seçenekleri
- Apache Hadoop entegrasyonu
- ”Eski” verinin belirli aralıklarla uygun depolama ünitelerine taşınması
- Verinin bulunduğu depolama ünitesinden bağımsız, ortak arama ve inceleme özellikleri
KUMA + KEDR ile Direkt Olay Müdahalesi Özellikleri
KUMA Arayüzü Üzerinden,
Ağ izolasyonu,
Önleme Kurulları,
Özel Uygulama Çalıştırma gibi işlemleri yapabilirsiniz.
KUMA + KICS for Networks ile Endüstriyel Altyapıda Direkt Olay Müdahalesi
KUMA Arayüzü Üzerinden,
- Cihazların içeri aktarılması
- Cihazların yetkili / yetkisiz olarak işaretlenmesi
Kaspersky KUMA + XDR – Yol Haritası
- Araştırma Grafikleri
- Müdahale playbook’ları
- Otomasyon ve Entegrasyon
Detaylı Olay Araştırması (Investigation) Kabiliyetleri
- SQL Benzeri Sorgu Dili
- Kolay Sorgu yaratıcı
EPS-bazlı lisanslama
- Son 24 saat için ortalama saniyedeki olay sayısı (EPS) – Minimum 500 EPS
- Yalnızca pre-process edilmiş event’ler sayılmaktadır (tüm gelen event’ler değil)
- Tüm versiyonlarda yedeklilik (HA) dahil
- Olağanüstü durumlarda EPS limitinin aşılmasına izin verilmektedir
- Ek opsiyonlar: Netflow ve Tehdit İstihbaratı Paketi
EPS Sayma Kriterleri
- Collector tarafından toplanmış ancak herhangi bir destination filter’a uymayan event’ler EPS olarak sayılmaz
- Birden fazla destination filter’a uyan event’ler tek bir EPS olarak sayılmaktadır
- Yalnızca correlator filtresine uyan ve storage yani depolama alanına gitmeyen event’ler tek bir EPS olarak sayılmaktadır
350 ‘den fazla korelasyon kuralı hazır!
Elfanet olarak sizleri, kurumunuzdaki tehlikeleri detaylı bir şekilde keşfetmek ve hızlı aksiyonlar almak adına Kaspersky KUMA SIEM ile tanışmaya bekliyoruz.