02141764000
ایمیل
پشتیبانی
kaspersky kuma 3.4

انتشار نسخه جدید Kaspersky Unified Monitoring and Analysis Platform 3.4

پلتفرم Kaspersky Unified Monitoring and Analysis Platform 3.4 ویژگی‌ها و بهبودهای زیر را معرفی می‌کند:

  • اکنون Kaspersky Unified Monitoring and Analysis Platform از سیستم‌عامل‌های زیر پشتیبانی می‌کند:
  • Astra Linux 1.7.6
  • اکنون شما می‌توانید وابستگی‌های میان منابع و همچنین ارتباط آن‌ها با سایر اشیاء را در گراف تعاملی مشاهده کنید. به عبارت دیگر، می‌توانید ببینید که هر منبع به چه منابع یا اشیاء دیگری وابسته است. همچنین، هنگام ویرایش منابع، این امکان را دارید که متوجه شوید تغییرات اعمال شده به کدام منابع مرتبط اعمال خواهد شد. شما قادر خواهید بود تا انواع خاصی از منابع را در گراف نمایش دهید و سپس گراف نهایی را در فرمت SVG ذخیره کنید.
  • اکنون شما می‌توانید تگ‌هایی به منابع اضافه کنید که این کار جستجوی منابع با تگ‌های مشابه را راحت‌تر می‌کند.
  • ورژن‌بندی منابع (به جز دیکشنری‌ها و جداول) اضافه شده است، که این امکان را فراهم می‌کند تا تاریخچه تغییرات منابع ذخیره شود.

هنگام ذخیره تغییرات در تنظیمات منابع، نسخه جدیدی از منبع ایجاد می‌شود. شما می‌توانید نسخه قبلی یک منبع را بازیابی کنید، مثلاً برای بازگرداندن عملکرد آن؛ همچنین می‌توانید نسخه‌های منابع را مقایسه کنید تا تغییرات را پیگیری کنید.
پس از ارتقا به نسخهKUMA 3.4 ، منابع موجود تنها زمانی دارای ورژن می‌شوند که تغییراتی در آن‌ها ایجاد شده و تغییرات ذخیره شوند.

  • اکنون شما می‌توانید منابع را بر اساس محتوای آن‌ها با استفاده از جستجوی full-text پیدا کنید. می‌توانید منابعی را پیدا کنید که حداقل یک فیلد آن‌ها شامل یک کلمه خاص باشد، برای مثال، این حالت هنگامی کاربرد دارد که شما نیاز دارید قوانینی که یک کلمه خاص در شرط دارد را جستجو کنید. 
  • یک نوع جدید از منابع KUMA معرفی شده است، به نام “قوانین جمع‌آوری و تحلیل داده‌ها”، که به شما این امکان را می‌دهد تا درخواست‌های SQL را برای ذخیره‌سازی زمان‌بندی کرده و همبستگی را بر اساس داده‌های دریافتی انجام دهید.
  • اکنون شما می‌توانید مقادیر فیلدهای منحصر به فرد(unique) را به فیلدهای رویدادهای همبستگی(correlation events) هنگام ایجاد قوانین همبستگی(correlation rules) از نوع استاندارد منتقل کنید.
  • مجموعه‌های جدید توابع SQL به نام‌های “enrich” و “lookup” این امکان را می‌دهند که از ویژگی‌های دارایی‌ها و حساب‌ها، همچنین داده‌های دیکشنری‌ها و جداول در جستجوهای SQL استفاده کنید تا رویدادها را فیلتر کرده، گزارش‌ها و ویجت‌ها (نوع گراف: جدول) را تولید کنید. شما می‌توانید از این مجموعه توابع در یک درخواست SQL در قوانین جمع‌آوری و تحلیل داده‌ها استفاده کنید.
  • اکنون شما می‌توانید تاریخچه جستجوها را ذخیره کنید. سپس می‌توانید به تاریخچه درخواست‌ها مراجعه کرده و به‌ سرعت جستجویی که قبلاً استفاده کرده‌اید را پیدا کنید.
  • اکنون شما می‌توانید درخواست‌های ذخیره‌شده را در یک ساختار درختی از پوشه‌ها سازمان‌دهی کنید تا ذخیره‌سازی منظم و جستجوی سریع درخواست‌ها امکان‌پذیر شود. سپس می‌توانید درخواست‌های ذخیره‌شده قبلی را ویرایش کرده، آن‌ها را نامگذاری مجدد کنید، درخواست‌ها را به‌ صورت سلسله‌مراتبی در گروه‌ها (پوشه‌ها) مرتب کنید و درخواست‌های ذخیره‌شده قبلی را در نوار جستجو پیدا کنید. همچنین می‌توانید درخواست‌ها را ویرایش کرده و با افزودن آن‌ها به لیست مورد علاقه، لینک‌هایی به درخواست‌های پرکاربرد ایجاد کنید.
  • اکنون شما می‌توانید یک لیست موقت از استثنائات ایجاد کنید (برای مثال، ایجاد استثنائات برای نتایج false positives هنگام مدیریت هشدارها یا حوادث). شما می‌توانید یک لیست استثنا برای هر قانون همبستگی(correlation rules) ایجاد کنید. 
  • هنگام ایجاد یک جمع‌آورنده(collecto)، در مرحله تجزیه رویداد، اکنون شما می‌توانید نام یا مسیر فایلی که توسط جمع‌آورنده در حال پردازش است را به فیلد رویداد KUMA منتقل کنید. 
  • تنظیمات زیر به کانکتور نوع فایل اضافه شده است:

فیلد “Modification timeout, sec” به شما این امکان را می‌دهد که مدت زمانی را (به ‌صورت ثانیه) مشخص کنید که در آن فایل نباید هیچ تغییراتی در آن ایجاد شود. پس از اتمام این زمان، KUMA اقدام مورد نظر شما را که در فهرست کشویی “Action after timeout” برای فایل تعیین کرده‌اید، اجرا می‌کند؛ این اقدامات شامل حذف فایل، افزودن پیشوند به نام فایل یا نگه‌داشتن فایل بدون تغییر می‌باشد.

فهرست کشویی “Action after timeout” به شما اجازه می‌دهد اقداماتی را که KUMA پس از مدت زمان مشخص‌شده در فیلد “Modification timeout, sec” روی فایل اعمال می‌کند، تعیین کنید.

  • تنظیمات زیر به کانکتورهای از نوع فایل  ۱с-xml و ۱c-log  اضافه شده است:

فهرست کشویی “File/folder polling mode” به شما امکان می‌دهد مدلی را که در آن کانکتور فایل‌ها را در دایرکتوری دوباره می‌خواند، مشخص کنید.

فیلد “Poll interval, ms” به شما این امکان را می‌دهد که فاصله زمانی (بر حسب میلی‌ثانیه) را که در آن کانکتور فایل‌ها را دوباره می‌خواند، تعیین کنید.

  • یک رویکرد جدید برای تعیین مدت زمان نگهداری رویدادها هنگام استفاده از cold storage در نظر گرفته شده است، زیرا حالا شما می‌توانید شرایط ذخیره‌سازی را در ClickHouse cluster تنظیم کرده و مقدار فضای دیسک (به ‌صورت قطعی به گیگابایت و درصدی) را هنگام ایجاد فضای ذخیره‌سازی مشخص کنید. تنظیم جدید “Event retention time” به شما این امکان را می‌دهد که مدت زمان کل نگهداری رویدادها را در KUMA تنظیم کنید، که از زمان دریافت رویداد آغاز می‌شود. این تنظیم جایگزین “Cold retention period” شده است. 
  • اکنون شما می‌توانید با تنظیم شرایط ذخیره‌سازی رویدادها در ClickHouse  cluster  به‌ صورت انعطاف‌پذیر و با استفاده از تنظیم”Event storage options”، ذخیره‌سازی را پایدارتر کنید: از طریق مدت زمان ذخیره‌سازی، حجم ذخیره‌سازی به گیگابایت یا نسبت حجم ذخیره‌سازی به فضای دیسک موجود. زمانی که یکی از شرایط مشخص‌شده فعال شود، رویدادها به دیسک cold storage منتقل یا حذف می‌شوند.

شما می‌توانید شرایط ذخیره‌سازی را برای کل فضای ذخیره‌سازی به ‌صورت جداگانه تنظیم کنید. تنظیم “Event storage options” جایگزین تنظیم “Retention period” شده است.

  • کاربران با سطح دسترسی‌های مختلف می‌توانند دسترسی دقیق‌تری به رویدادها داشته باشند. دسترسی به رویدادها در سطح فضای ذخیره‌سازی کنترل می‌شود. پس از ارتقا به نسخه ۳٫۴ از KUMA، مجموعه فضای “All spaces” به تمام کاربران موجود اختصاص می‌یابد، به این معنی که دسترسی به تمام فضاها بدون محدودیت است. برای تفکیک دسترسی‌ها، باید مجموعه فضاها را پیکربندی کرده و مجوزهای دسترسی را تنظیم کنید. همچنین، پس از به ‌روزرسانی، تمامی فضای‌های ذخیره‌سازی موجود در تمام ویجت‌هایی که فضاها در آن‌ها انتخاب شده بودند، به ‌طور پیش‌فرض انتخاب می‌شوند. اگر فضای جدیدی ایجاد شود، این فضا به‌ طور خودکار در تنظیمات ویجت انتخاب نمی‌شود و باید این فضای جدید را به‌ طور دستی در تنظیمات ویجت انتخاب کنید.
  • حالا شما می‌توانید فیلدهای extended event schema  را در بخش “Settings  Extended event schema fields”  مدیریت کنید. شما می‌توانید این فیلدها و منابعی که از آن‌ها استفاده می‌کنند را مشاهده کنید، فیلدها را ویرایش کنید، فیلدهای جدید را به ‌صورت دستی ایجاد یا از یک فایل وارد کنید و فیلدها و اطلاعات مربوط به آن‌ها را صادر کنید.
  • هنگام ارتقا به نسخه ۳٫۴ KUMA، فیلدهای extended event schema که قبلاً ایجاد شده بودند به ‌طور خودکار منتقل شده و در بخش “Settings → Extended event schema fields” نمایش داده می‌شوند. نکات زیر در در رابطه با این قابلیت وجود دارند:

اگر چندین فیلد از نوع مشابه با نام یکسان داشتید، تنها یکی از این فیلدها به KUMA 3.4 منتقل می‌شود.

تمام فیلدهایی که پیشوند “KL” در نام خود دارند، با وضعیت “Enabled” به KUMA 3.4 منتقل می‌شوند. اگر هر یک از این فیلدها به فیلدهای سرویس تبدیل شوند، شما قادر به حذف، ویرایش، غیرفعال کردن یا صادر کردن آن‌ها نخواهید بود.

فیلدهای extended event schema که الزامات نسخه ۳٫۴ را برای فیلدها برآورده نمی‌کنند، با وضعیت “Disabled” به KUMA 3.4 منتقل می‌شوند .

  • پس از به ‌روزرسانی، توصیه می‌شود این‌گونه فیلدها را بررسی کرده و مشکلات موجود را به‌ صورت دستی برطرف کنید یا پیکربندی‌های منابعی که از این فیلدها استفاده می‌کنند را تغییر دهید.
  • اکنون شما می‌توانید داده‌ها را برای یک بازه زمانی نسبی فیلتر کرده و نمایش دهید. این قابلیت برای فیلتر کردن رویدادها بر اساس بازه زمانی و برای سفارشی‌سازی نحوه نمایش داده‌ها در چیدمان داشبورد و ویجت‌ها در دسترس است. 
  • اکنون شما می‌توانید چندین سیاست نظارتی(monitoring policies) را به یک منبع رویداد(event source) اعمال کنید، همچنین می‌توانید سیاست‌های نظارتی را به طور همزمان به چندین منبع رویداد اعمال کرده یا یک سیاست نظارتی را از چندین منبع به طور همزمان غیرفعال کنید. سیاست‌های نظارتی تنظیم جدیدی به نام “Schedule” دارند که به شما این امکان را می‌دهد که تعیین کنید هر چند وقت یکبار می‌خواهید سیاست‌های نظارتی را به منابع رویداد اعمال کنید.
  • اکنون شما می‌توانید اتصالات ایجاد شده برای یک عامل را مدیریت کنید. شما می‌توانید اتصالات را تغییر نام دهید (که به شما نشان می‌دهد رویداد از کدام اتصال و از کدام عامل وارد شده است)، اتصالات را تکثیر کنید تا اتصالات جدیدی مبتنی بر اتصالات موجود ایجاد کنید و اتصالات را حذف کنید. همچنین، عملکردی که به شما این امکان را می‌دهد که از یک عامل برای خواندن چندین فایل استفاده کنید، دوباره بازگردانده شده است. 
  • در حال حاضر، اگر لایسنس شما از ماژول AI پشتیبانی کند، می‌توانید AI score و asset status را نصب کنید. سرویس AI به شما کمک می‌کند شدت correlation events که توسط قوانین همبستگی فعال شده‌اند، دقیق‌تر ارزیابی شود. 
  • انواع جدیدی از قالب‌های اعلان سفارشی(custom notification) اضافه شده است.
  • در نسخه‌های قبلی، قالب‌های اعلان تنها برای اعلان‌های مربوط به ایجاد هشدار در دسترس بودند. حالا شما می‌توانید انواع جدیدی از قالب‌های اعلان را ایجاد کنید:
  1. Report generated
  2. Task finished 
  3. Sources monitoring alert
  4. KASAP group changed
  • اکنون شما می‌توانید از فیلتر استفاده کرده و چندین دارایی(assets) را انتخاب کرده و تمام دارایی‌های انتخاب‌شده را حذف کنید. همچنین حالا می‌توانید تمام دارایی‌های یک دسته‌بندی را انتخاب کرده و آن‌ها را به دسته‌بندی مرتبط کنید یا دارایی‌ها را از یک دسته‌بندی جدا کنید.
  • اکنون می‌توانید چندین منبع را انتخاب کرده و آن‌ها را حذف کنید. شما می‌توانید تمام منابع یا انواع خاصی از منابع را حذف کنید.
  • ویجت‌های پیش‌فرض جدیدی در گروه assets در دسترس هستند، همچنین یک نوع جدید به نام ” Custom widget” معرفی شده که به شما امکان می‌دهد تحلیلی سفارشی برای دارایی‌ها(assets) دریافت کنید.
  • موافقت‌نامه مجوز کاربر نهایی (EULA) اکنون می‌تواند به ‌طور خودکار هنگام نصب عامل KUMA بر روی دستگاه‌های لینوکس و ویندوز با استفاده از گزینه accept-eula پذیرفته شود. همچنین، برای عامل ویندوز، اکنون می‌توانید از خط فرمان(command line) برای تنظیم رمز عبور حساب کاربری عامل استفاده کنید. 
  • در بخش Resources → Active services، ستونی جدید به نام UUID به جدول خدمات اضافه شده است که شناسه منحصر به فرد هر خدمت را نمایش می‌دهد. این ستون به‌ طور پیش‌فرض مخفی است. شناسایی خدمات KUMA با استفاده از UUID می‌تواند در عیب‌یابی در سطح سیستم‌عامل مفید باشد.
  • KUMA از عملگر UNION برای ارتباطات با پایگاه داده Oracle به عنوان منبع رویداد پشتیبانی می‌کند.
  • برای بهینه‌سازی مدیریت دارایی‌ها(asset management)، فرآیند وارد کردن اطلاعات دارایی‌ها از Kaspersky Security Center به دو قسمت تقسیم شده است:
وارد کردن اطلاعات مربوط به پارامترهای اصلی دارایی‌ها (وضعیت حفاظت، نسخه‌های پایگاه‌های داده آنتی ویروس، اطلاعات سخت‌افزاری) که زمان کمتری می‌برد و پیش‌بینی می‌شود که به ‌طور مکرر انجام شود.

  • وارد کردن اطلاعات مربوط به پارامترهای دیگر دارایی‌ها (آسیب‌پذیری‌ها، نرم‌افزارها، مالکان) که ممکن است نیاز به دانلود حجم زیادی از اطلاعات داشته باشد و زمان بیشتری برای تکمیل آن نیاز است. 
  • اکنون می‌توانید نمودارهای رویدادهای ورودی(diagrams of incoming events) را برای چندین منبع رویداد به ‌طور همزمان نمایش دهید و همچنین نموداری از رویدادهای ورودی برای چندین منبع رویداد بسازید. شما می‌توانید حجم رویدادها را در هر واحد زمان مقایسه کرده و تغییرات آن را برای چندین منبع رویداد مشاهده کنید.  
  • connector جدید برای Office 365 به شما این امکان را می‌دهد که دریافت رویدادها از راه‌حل Microsoft 365 (Office 365) را از طریق API پیکربندی کنید.
  • برخی منابع قدیمی دیگر پشتیبانی یا ارائه نمی‌شوند:
  • [OOTB] Linux audit and iptables syslog
  • [OOTB] Linux audit.log file
  • [OOTB] Checkpoint Syslog CEF by CheckPoint
  • [OOTB] Eltex MES Switches
  • [OOTB] PTsecurity NAD
  • [OOTB][AD] Granted TGS without TGT (Golden Ticket)
  • [OOTB][AD] Possible Kerberoasting attack
  • [OOTB][AD][Technical] 4768. TGT Requested
  • [OOTB][AD] List of requested TGT. EventID 4768

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اشتراک گذاری این مطلب

دسته‌بندی‌ها

مطالب پر طرفدار