انتشار نسخه‌ی جدید Kaspersky Unified Monitoring and Analysis Platform 4.0.1

در این نسخه، ویژگی‌ها و بهبودهای زیر ارائه شده است:

• اکنون می‌توانید از Variables برای فیلتر کردن داده‌های ویجت‌ها در داشبورد استفاده کنید. ویجت‌های نوع Event نمودارهایی بر اساس SQL Query به ClickHouse Cluster ایجاد می‌کنند. شما می‌توانید این Query را در تنظیمات ویجت مشخص کنید. Variables این امکان را می‌دهند که Query را بدون تغییر دستی ویرایش کرده و داده‌هایی که در ویجت مشاهده می‌کنید در Query جایگزین شوند. سپس ویجت بر اساس مقادیر جدید فیلتر شده و نمودار به‌ روزرسانی می‌شود.
• از نسخه‌ی ۴٫۰٫۱، امکان دریافت داده‌های OSINT در صورت پیکربندی Integration با Kaspersky Threat Intelligence Portal فراهم شده است. پس از پیکربندی EULA، رویدادها و Correlation Events به ‌طور خودکار با داده‌های OSINT غنی می‌شوند.
• روش جدید Parsing به نام Normalizer اضافه شده که امکان استفاده‌ی مجدد از Normalizerهای قبلی را به‌عنوان Normalizer اصلی یا کمکی برای پردازش رویدادها فراهم می‌کند.
• امکان ایجاد چندین اتصال به KICS for Networks یا KATA در یک Tenant وجود دارد.
• می‌توانید Alerts مرتبط با یک Asset را بیابید و با کلیک روی دکمه‌ی Find related alerts اطلاعات مربوط به آن‌ها را مشاهده کنید.
• در بخش Events اکنون می‌توانید تنظیمات فیلترینگ رویدادها را تغییر دهید، چندین شرط اضافه کنید و Queryها را به ‌صورت دستی یا خودکار اجرا نمایید.
• در بخش Events با کلیک روی دکمه‌ی Format می‌توانید نمایش رویدادها را بین فرمت تک‌خطی و چندخطی تغییر دهید.
• امکان Integration بین KUMA و Kaspersky Managed Detection and Response اضافه شده تا رویدادها به ‌طور خودکار از MDR Console وارد KUMA شوند.
• در بخش Resources → Active services می‌توانید Partitions را بر اساس Tenantها فیلتر کنید.
• در پروفایل کاربری می‌توانید نمایش Alert Notifications را در رابط کاربری وب فعال یا غیرفعال کنید.
• امکان تغییر نام Core Service و Metrics Service فراهم شده است.
• می‌توانید Collectorهای انتخابی را با داده‌های Asset (مثل UUID، IP Address، FQDN) غنی کنید.
• KUMA اکنون امکان مانیتورینگ رویدادهای Audit در وب ‌سرور Angie روی Linux را پشتیبانی می‌کند.
• امکان Drill-down از ویجت‌های Event یک داشبورد به داشبورد دیگر با استفاده از Variables اضافه شده است.
• برخی از Correlation Ruleها تغییر نام داده‌اند و در نسخه‌ی بعدی حذف خواهند شد. این قوانین تنها در نصب‌های جدید KUMA 4.0.1 با برچسب [DEMO] نمایش داده می‌شوند.
• امکان Distributed Installation با چندین KUMA Core Services در یک Raft Cluster فراهم شده است. عملیات نوشتن توسط Leader انجام و به سرورها Broadcast می‌شود و عملیات خواندن توسط هر Service از SQLite Database محلی انجام می‌گیرد. این موضوع علاوه بر افزایش دسترس‌پذیری باعث Horizontal Scaling می‌شود.
• برای Alerts اکنون می‌توانید مدت زمان و وضعیت پر شدن آن‌ها با Correlation Events و همچنین محل ذخیره‌سازی آن‌ها را مشخص کنید.
• مهاجرت کامل از MongoDB به SQLite انجام شده است. پس از ارتقا، باید رویدادهای Alert از MongoDB به ClickHouse منتقل شوند.
• سرویس مشترک Metrics جایگزین Grafana و VictoriaMetrics شده است.
• پشتیبانی از سیستم‌عامل‌های جدید Ubuntu 22.04 LTS، Oracle Linux 9.2، Astra Linux 1.7.7 و ۱٫۸٫۱٫UU.2
• پشتیبانی از نسخه‌های Python 3.6 تا ۳٫۱۲ (با محدودیت در ترکیب نسخه‌های قدیمی و جدید در یک Instance).
• اضافه شدن Security Policy برای ورود به KUMA Web Interface به ‌منظور کاهش ریسک دسترسی غیرمجاز.
• داده‌های پردازش ‌شده توسط KUMA شامل پیام‌های GosSOPKA و NCIRCC و اطلاعات لایسنس‌های معتبر گسترش یافته است.
• مکانیزم جدیدی برای ادغام کلیدهای لایسنس معرفی شده است.
• سیستم‌های جدیدی به فهرست منابع رویداد پشتیبانی‌شده اضافه شده‌اند، از جمله:

1. Alcatel AOS-W
2. Alcatel Network Switch
3. Avanpost PKI
4. Cyberprotect Cyber Backup
5. Dell Network Switch
6. Eset Protect
7. Fortinet FortiAnalyzer
8. Kaspersky DFI
9. Kaspersky NDR
10. Kaspersky Secure Mail Gateway (KSMG) نسخه ۲٫۱٫۱
11. Microsoft → Windows → DNS-Server → Audit
12. Netwrix Endpoint Protector
13. Proftpd
14. SecurityCode Continent 3.9
15. Solar webProxy
16. SolarWinds SFTP & SCP Server file
17. Sophos Central
18. Staffcop Enterprise
19. VK WorkSpace Mail
20. Vsftpd
21. Konfident – Dallas Lock Unified Management Center
22. Microsoft → Windows → Group Policy → Operational
23. Bastion Synonyx
24. Angie web server
25. Cisco FWSM
26. Webmonitorx
27. Veeam Software Veeam Backup & Replication
28. Cisco NGIPS

• قابلیت شناسایی Unknown Assets در زیرساخت که در لیست دارایی‌های KUMA وجود ندارند.
• اضافه شدن Connector از نوع DFI برای دریافت داده از Kaspersky Digital Footprint Intelligence .
• مکانیزم جدید برای شناسایی حملات DLL Hijacking با استفاده از AI Module.
• بهبود در عملکرد Additional Normalizers و ثبت خطاها در Collector Log.
• امکان Import فایل .TSV برای پیکربندی WMI Agents در سرورهای متعدد.
• اکنون با استفاده از دکمه‌ی نمایش همه‌ی فیلدهای رویداد می‌توانید تمام فیلدهای تکمیل ‌شده در event card را مشاهده کنید. برای دریافت سریع‌تر نتایج کوئری‌ها، توصیه می‌شود به جای استفاده از SELECT ، تنها مجموعه مشخصی از فیلدها را در کوئری اجرا کنید. در گذشته فقط فیلدهایی که در کوئری تعیین شده بودند در event card نمایش داده می‌شدند، اما حالا با این دکمه می‌توانید همه‌ی فیلدهای رویداد را ببینید. این قابلیت هیچ تغییری در کوئری اصلی یا جدول رویدادها ایجاد نمی‌کند.
• پشتیبانی ویجت‌های Events از Extended Event Schema Fields و قابلیت ساخت نمودارهای پیشرفته.
• امکان ایجاد نمودارهای دارای Gradient Fill و مقایسه داده‌های مختلف در یک ویجت.
• تنظیمات جدید برای مدیریت و نمایش ساختار Normalization Rules.
• بهبود در منطق دسته ‌بندی Active Assets.
• تغییر در نحوه‌ی استفاده از Lookup Function در SQL Queries (استفاده از Like به جای Match و Imatch).
• امکان مشخص کردن نسخه‌ی Kaspersky CyberTrace در تنظیمات Integration.
• پشتیبانی از Retrospective Indicator Scan در CyberTrace.
• بهینه‌ سازی مدیریت Active Lists و قابلیت‌های جدید در نمایش و شخصی‌سازی جداول.
• بهبود در رابط کاربری وب برای افزایش کارایی و سهولت استفاده.
• امکان Export و Importکردن داشبوردها و قالب گزارش‌ها در بخش Resources → List.
• اضافه شدن نمودار Speedometer Chart برای نمایش داده‌ها با روش‌های بصری جدید.

منبع: support.kaspersky.com