انتشار نسخه جدید Kaspersky Unified Monitoring and Analysis Platform (KUMA) 4.0

شرکت کسپرسکی نسخه ۴.۰ از پلتفرم Kaspersky Unified Monitoring and Analysis (KUMA) را با مجموعه‌ای گسترده از قابلیت‌های جدید و بهبودهای پیشرفته منتشر کرده است.  در این نسخه، قابلیت‌ها و بهبودهای زیر به KUMA افزوده شده است:

• نصب به‌ صورت distributed با استفاده از Raft cluster

اکنون امکان نصب KUMA به‌ صورت distributed فراهم شده است. در این حالت، چندین سرویس KUMA Core به ‌صورت یک Raft cluster اجرا می‌شوند. تمامی عملیات نوشتن تنها از طریق leader node انجام می‌گیرد و سپس به سایر سرورها در cluster ارسال و broadcast می‌شود. عملیات خواندن نیز به‌ طور مستقل توسط هر سرویس از پایگاه داده محلی SQLite انجام می‌شود. این معماری، علاوه بر فراهم‌ سازی high availability، قابلیت horizontal scaling را نیز در اختیار سازمان‌ها قرار می‌دهد.

• قابلیت‌های جدید برای مدیریت alertها

در نسخه جدید KUMA، امکانات دقیق‌تری برای مدیریت هشدارها (Alert) و رخدادها (Incident) ارائه شده است. اکنون می‌توان تعیین کرد که یک Alert تا چه مدت زمان و در چه شرایطی با correlation events(رویدادهای همبسته) به‌روزرسانی شود. همچنین قابلیت تعریف فضای ذخیره‌سازی مجزا برای داده‌های مربوط به Alert Eventها اضافه شده است تا این اطلاعات به ‌صورت مستقل نگهداری شوند. علاوه بر این، شرایط مربوط به حذف هشدارها و رخدادها نیز بازنگری و به‌روزرسانی شده‌اند تا امکان کنترل دقیق‌تری بر فرآیند حذف خودکار یا دستی آن‌ها فراهم گردد. این تغییرات نقش مهمی در بهبود مدیریت رویدادهای امنیتی در KUMA دارند.

• انتقال کامل از MongoDB به SQLite

در نسخه جدید KUMA 4.0، انتقال داده‌ها از MongoDB به SQLite به‌ طور کامل انجام شده است. پس از ارتقاء به این نسخه، ضروری است کهAlert Eventها را از MongoDB به ClickHouse منتقل کرده و در تنظیمات مربوط به Alert Filling، محل ذخیره‌سازی جدید را مشخص کنید. در غیر این صورت، هشدارها ثبت می‌شوند اما شامل اطلاعات مربوط به رویداد نخواهند بود. این مرحله برای عملکرد صحیح سیستم در پردازش و نمایش داده‌های هشدار ضروری است.

• استفاده از سرویس مشترک Metrics به‌ جای Grafana و VictoriaMetrics

در این نسخه، از سرویس Metrics استفاده شده است که به‌ صورت پیش‌فرض روی یکی از سرورهای گروه kuma_core نصب شده و داده‌ها در مسیر /opt/kaspersky/kuma/metrics/<KUMA Core service ID>/data ذخیره می‌شوند.

• پشتیبانی از سیستم‌عامل‌های جدید

KUMA اکنون از سیستم‌عامل‌های زیر نیز پشتیبانی می‌کند:

1. Ubuntu 24.04 LTS
2. Oracle Linux 9.5
3. Astra Linux 1.7.7  و ۱٫۸٫۱٫UU.2

• سیاست امنیتی برای ورود به رابط کاربری وب

قابلیت جدیدی برای تنظیم security policy در ورود به KUMA web interface اضافه شده که به کاهش خطر unauthorized access کمک می‌کند. برای مثال، می‌توان ورود از طریق brute-force را غیرفعال کرد.

• پردازش داده‌های جدید

KUMA اکنون قادر به دریافت، ذخیره و پردازش داده‌هایی از منابعی مانند GosSOPKA، پیام‌های NCIRCC و اطلاعات valid licenses می‌باشد.

• مکانیزم جدید برای ترکیب license keyها

اگر چندین license group شامل Active-Reserve License Pair به یک نمونه KUMA اضافه شوند، کلیدهای فعال (active keys) به‌ طور خودکار merge شده و یک merged license با مجموع مقدار Available EPS همه کلیدهای فعال ایجاد می‌شود.

• منابع جدید در فهرست event sourceهای پشتیبانی‌شده

1. Eset Protect
2. Microsoft → Windows → DNS-Server → Audit
3. Netwrix Endpoint Protector
4. SolarWinds SFTP & SCP Server file
5. Kaspersky DFI

• شناسایی unknown assets

KUMA می‌تواند unknown assets را که در eventها مشاهده شده ولی در لیست assetهای تعریف ‌شده نیستند، شناسایی کند. این asset‌ها باید دارای IP یا hostname باشند.

• اتصال جدید از نوع dfi

Connector جدید از نوع dfi برای دریافت داده از Kaspersky Digital Footprint Intelligence (DFI) از طریق API افزوده شده است.

• شناسایی حملات DLL Hijacking با کمک  AI

KUMA اکنون می‌تواند DLL Hijacking attacks را با تحلیل launch و runtime parameters توسط AI module شناسایی کند. این نوع حمله شامل اجرای یک نرم‌افزار قانونی به‌ همراه malicious DLL در سیستم قربانی است.

• بهبود در نحوه عملکرد additional normalizers

در گذشته اگر event فقط توسط main normalizer پردازش می‌شد و شرایط additional normalizer را نداشت، داده از بین می‌رفت. اکنون KUMA در collector log خطا ثبت کرده و event را در Raw field می‌نویسد تا بتوان خطا را بررسی و اصلاح کرد.

• وارد کردن فایل .TSV برای تنظیمات  WMI Agent

امکان وارد کردن فایل .TSV شامل لیست سرورها و logهای مورد نظر برای WMI agent فراهم شده است. این ویژگی به جای وارد کردن دستی هر سرور استفاده می‌شود. در صورت وجود خطا در فایل وارد شده، تنظیمات ذخیره نمی‌شوند و خطاها برجسته می‌شوند.

• مشاهده تمام فیلدهای موجود در event

با افزودن دکمه View all event fields، می‌توان تمام فیلدهای پرشده در یک event card را مشاهده کرد؛ حتی اگر در query ذکر نشده باشند.

• استفاده از array fieldها در widgetها

اکنون می‌توان با تنظیم فیلدهای SA. در Extended event schema fields و استفاده از توابع arrayJoin و groupArray در ClickHouse، نمودارهایی بر اساس داده‌های array مانند پرکاربردترین URLها ایجاد کرد.

• قابلیت‌های جدید برای Table، Bar chart و Date Histogram

در ایجاد ویجت‌ها، امکان استفاده از gradient fill و نمایش هم‌ زمان چندین نمودار در ویجت‌های نوع Date Histogram با Line chart فراهم شده است.

• تنظیم نمایش ساختار normalization ruleها

امکان duplicate کردن normalizerها، جابه‌جایی extranormalizerها و شخصی‌سازی ساختار نمایش ruleها اضافه شده است.

• منطق جدید در دسته‌بندی active assetها

اگر یک asset، دیگر با شرط تعیین ‌شده سازگار نباشد، از دسته مورد نظر حذف می‌شود؛ چه به‌ صورت دستی افزوده شده باشد و چه به‌ صورت خودکار.

• تغییر در عملکرد lookup در SQL

عملکرد Lookup در کوئری‌های SQL از این پس به ‌جای عملگرهای match و imatch از عملگر like استفاده می‌کند. در نتیجه، کوئری‌هایی که پیش‌تر با استفاده از عملگرهای قبلی نوشته شده‌اند، قابل انتقال یا استفاده مجدد نخواهند بود.

• تنظیم نسخه CyberTrace در KUMA

در بخش تنظیمات integration، می‌توان نسخه CyberTrace را از طریق Major version of CyberTrace مشخص کرد. نسخه‌های ۵٫۱ به بالا از API type جدید پشتیبانی کرده و داده‌های آماری و تحلیلی را در پاسخ به KUMA enrichment request از طریق HTTP ارائه می‌دهند.

• اسکن retrospective indicator

با فعال‌سازی retrospective indicator scan، KUMA می‌تواند alertهایی برای eventهایی که در ابتدا با هیچ indicator تطابق نداشتند ولی پس از بروزرسانی feed شناسایی شدند، به‌ صورت خودکار تولید کند.

• بهینه‌سازی در مدیریت active listها

اکنون مدیریت active listها علاوه بر مسیر قبلی، از مسیر
Resources → Resources configuration → Active lists
نیز قابل انجام است. ستون‌های پیش‌فرض نمایش داده می‌شوند و امکان افزودن comma-separated key values در قالب JSON نیز وجود دارد.

• بهبود رابط کاربری وب KUMA

رابط کاربری بهینه‌ سازی شده و اکنون مدیریت وظایف (Tasks)، داشبوردها و الگوهای گزارش‌گیری (Report Templates) با سهولت بیشتری انجام می‌گیرد. همچنین، فرآیند یکپارچه‌سازی (Integration) با سایر نرم‌افزارها نیز ساده‌تر و کارآمدتر شده است.

• امکان import و export برای dashboard و  report template

در بخش Resources → List می‌توان dashboardها و قالب‌های گزارش را بین tenantها import یا export کرد.

• نمودار جدید  Speedometer

نمودار Speedometer chart برای نمایش گرافیکی داده‌ها در dashboardها افزوده شده است. این نمودار امکان نمایش trendهای صعودی و نزولی و نیز مقدار average را فراهم می‌کند.

منبع: support.kaspersky.com