معرفی Kaspersky Unified Monitoring and Analysis Platform (SIEM)

Kaspersky Unified Monitoring and Analysis Platform (KUMA) یک راه‌حل SIEM پیشرفته است که به منظور جمع‌آوری، تجزیه و تحلیل و همبستگی رویدادهای امنیتی اطلاعات از منابع مختلف طراحی شده است. هدف این پلتفرم شناسایی و خنثی‌سازی به ‌موقع حوادث سایبری است. KUMA به ‌گونه‌ای طراحی شده است که محصولات کسپرسکی و راهکارهای third-party را در یک سیستم امنیتی یکپارچه ادغام می‌کند. این پلتفرم جزء کلیدی در پیاده‌سازی یک رویکرد جامع حفاظتی است که نه‌تنها محیط‌های شرکتی و صنعتی را در برابر تهدیدات سایبری محافظت می‌کند، بلکه اتصالات IT/OT را که بیشتر مورد هدف مهاجمان قرار می‌گیرند را نیز ایمن می‌سازد. پلتفرم Kaspersky Unified Monitoring and Analysis به‌ طور مؤثر برای مدیریت داده‌ها و رویدادهای امنیتی طراحی شده است. این پلتفرم توانایی بالایی در دریافت، پردازش و ذخیره‌سازی رویدادهای امنیتی دارد و با دقت بالا به تحلیل و همبستگی داده‌های ورودی می‌پردازد. KUMA قابلیت جستجوی پیشرفته‌ای دارد و در صورت شناسایی تهدیدات، به‌ سرعت هشدارهای لازم را صادر می‌کند. همچنین، این پلتفرم از قابلیت پاسخ‌ خودکار به هشدارها و عملیات شکار تهدیدات نیز پشتیبانی می‌کند. این سیستم همچنین توانایی شناسایی حملات سایبری که از سیستم‌های IT به سیستم‌های OT منتقل می‌شوند را دارد. معماری ماژولار و با عملکرد بالای این پلتفرم امکان پردازش صدها هزار رویداد در هر ثانیه (EPS) را فراهم می‌آورد و هزینه کل مالکیت (TCO) را از طریق بهینه‌سازی نیازهای سیستم کاهش می‌دهد. به لطف معماری میکروسرویس، مدیران می‌توانند میکروسرویس‌های دلخواه خود را ایجاد و پیکربندی کنند و از Kaspersky SIEM به عنوان یک سیستم جامع SIEM یا به عنوان یک سیستم مدیریت لاگ استفاده نمایند.

Real-time streaming correlation

هماهنگ‌سازی رویدادهای امنیتی با بیش از ۵۰۰ قانون از پیش پیکربندی‌شده، برای شناسایی انواع مختلف سناریوهای حمله. این قوانین به‌ طور منظم با MITRE mapping و توصیه‌های جدید برای واکنش به تهدیدات به‌روزرسانی می‌شوند.

kuma SIEM

Log management with data sovereignty

نظارت، پردازش و ذخیره‌سازی اطلاعات مربوط به رویدادهای امنیتی با بهره‌گیری از ذخیره‌سازی امن و محلی که به ‌منظور رعایت الزامات قانونی و تسهیل در انجام تحقیقات مرتبط با حوادث امنیتی انجام می‌شود.

Tight integration with world-leading Threat Intelligence

داده‌ها با استفاده از اطلاعات مرتبط با تهدیدات مختلف که از سوی تحلیلگران جهانی در پورتال Kaspersky Threat Intelligence ارائه می‌شود، غنی‌سازی می‌شوند. این امر باعث افزایش ارتباط بین داده‌ها و تسریع در شناسایی و تحلیل تهدیدات می‌شود.

مزایای کلیدی راه حل Kaspersky KUMA (SIEM)

عملکرد بالا

بیش از 300000 EPS در هر گره

امکان ادغام گسترده

با راه حل های خود مان و محصولات شخص ثالث

قابلیت مقیاس‌پذیری و مقاومت در برابر خطا

معماری میکروسرویس مدرن

ماژول داخلی GosSOPKA

کمک در برآوردن الزامات نظارت

ویژگی‌های کلیدی راه حل Kaspersky KUMA (SIEM)

نظارت، پردازش و ذخیره‌سازی داده‌های رویداد امنیتی

نمایش رویدادها به‌ صورت لحظه‌ای و جستجوی پیشرفته رویدادهای تاریخی(historical events)

تحلیل لحظه‌ای (correlation) و بازبینی تاریخی (historical correlation) رویدادهای امنیتی

داشبوردها و گزارش‌ها به ‌طور مؤثر داده‌های جمع‌آوری‌شده را نمایش می‌دهند و به شناسایی روندها، الگوها و ناهنجاری‌ها کمک می‌کنند.

معماری ماژولار با عملکرد بالا که قادر به پردازش صدها هزار رویداد در هر ثانیه (EPS) در هر گره(node) است.

بهبود ارتباط ‌پذیری داده‌های جمع‌آوری‌شده

بهبود ارتباط ‌پذیری داده‌های جمع‌آوری‌شده با غنی‌سازی آن‌ها از طریق موراد زیر به دست می‌آید:

داده‌های تحلیلی به‌ دست‌آمده از Kaspersky Threat Intelligence Portal )با استفاده از Kaspersky Threat Lookup و پلتفرم تحلیلی Kaspersky CyberTrace)
اطلاعات مربوط به دارایی‌ها و زیرساخت‌های به ‌دست‌آمده از Kaspersky Security Center
اطلاعات مربوط به کاربران (حساب‌ها) به ‌دست‌آمده از Microsoft Active Directory

چگونگی عملکرد Kaspersky KUMA(SIEM)

نظارت، پردازش و ذخیره‌سازی اطلاعات در مورد رویدادهای امنیتی

(Monitor, process and store information about security events)

پلتفرم Kaspersky Unified Monitoring and Analysis رویدادها را از لاگ‌ها جمع‌آوری کرده و داده‌ها را از منابع مختلف به ‌طور یکپارچه و هماهنگ پردازش می‌کند تا ارتباط میان آن‌ها به‌ درستی برقرار شود. این رویدادها می‌توانند شامل تلاش‌های ناموفق برای ورود به سیستم، تعاملات با پایگاه‌داده‌ها یا انتقال اطلاعات از سنسورها باشند و از تمامی زیرساخت‌های محافظت‌شده IT شرکت جمع‌آوری می‌شوند. در حالی که ممکن است هر یک از این رویدادها به‌ تنهایی چندان اهمیت نداشته باشد، ترکیب چندین رویداد می‌تواند تصویری کامل‌تر از فعالیت‌های مخرب ارائه دهد که برای شناسایی تهدیدات و مشکلات امنیتی بسیار مفید است. Data lake، به‌ عنوان مخزن مرکزی محلی، بستری را فراهم می‌کند تا لاگ‌ها از منابع مختلف شامل ابزارهای امنیتی (مانند EPP، FW، IAM و غیره)، سیستم‌عامل‌ها، برنامه‌های تجاری (سیستم‌های منابع انسانی، ابزارهای اداری)، سیستم‌های امنیت فیزیکی (مانند سیستم‌های کنترل دسترسی خودکار) و دیگر دستگاه‌ها جمع‌آوری، ایندکس و تحلیل شوند. پس از فیلتر کردن و تجمیع داده‌ها، این رویدادها به correlator ارسال می‌شوند تا تحلیل شده و برای ذخیره‌سازی و نگهداری بیشتر آماده شوند. این فرآیند کمک می‌کند تا تمام رویدادهای مهم به درستی تحلیل شوند و در صورت لزوم، اقدامات امنیتی مناسب انجام گردد.

ذخیره‌سازی داده‌های رویداد امنیتی

(security event data storage)

مولفه ذخیره‌سازی Kaspersky SIEM برای ذخیره‌سازی رویدادهای پردازش‌شده به ‌کار می‌رود تا دسترسی سریع و مستمر به داده‌های تحلیلی از پلتفرم Kaspersky Unified Monitoring and Analysis امکان‌پذیر شود. سیستم ClickHouse به گونه‌ای طراحی شده که دسترسی به داده‌ها همواره سریع و بدون هیچ وقفه‌ای انجام می‌شود. داده‌ها از طریق ClickHouse cluster به سرویس ذخیره‌سازی Kaspersky SIEM منتقل می‌شوند. همچنین امکان افزودن دیسک‌های ذخیره‌سازیcold storage به کلاسترها وجود دارد. کاربران می‌توانند فضای اضافی برای ذخیره‌سازی داده‌ها در مخازن اختصاص دهند و رویدادها را بر اساس ویژگی‌های خاصشان دسته‌بندی کنند. این کار به مدیران این امکان را می‌دهد که مدت زمان نگهداری داده‌ها را بر اساس ویژگی‌های هر رویداد تنظیم کنند. پلتفرم Kaspersky Unified Monitoring and Analysis همچنین با فشرده‌سازی داده‌ها، فضای ذخیره‌سازی را به ‌طور قابل‌توجهی کاهش می‌دهد بدون آنکه مشکلی در بازیابی اطلاعات به وجود آید. راهکار Kaspersky از دو بخش اصلی پشتیبانی می‌کند: یکی برای بازیابی سریع داده‌ها و دیگری برای ذخیره‌سازی حجم زیادی از اطلاعات. این پلتفرم شامل دو بخش مجزا است: یکی برای cold storage که می‌تواند بر روی سیستم فایل توزیع‌شده Hadoop یا دیسک‌های محلی انجام شود و دیگری برای ذخیره‌سازی عملیاتی که از ClickHouse استفاده می‌کند.

Real-time and historical correlation of security events

همبستگی رویدادهای امنیتی به ‌صورت بلادرنگ

(Real-time and historical correlation of security events)

Kaspersky SIEM همبستگی بلادرنگ تقریبی را با استفاده از قوانین سفارشی برای شناسایی حملات و تهدیدات ایجاد می‌کند. علاوه بر این، صدها قانون از پیش تعریف‌شده که توسط تیم SOC کسپرسکی، یکی از موفق‌ترین و باتجربه‌ترین تیم‌های شناسایی تهدیدات فعال در صنعت، توسعه یافته‌اند، به این فرایند کمک می‌کنند. کارشناسان Kaspersky SOC دارای گواهینامه‌های متعددی هستند که سطح بالای تخصص و دانش آن‌ها را تأیید می‌کند. این پلتفرم از historical data برای شناسایی روندها، یافتن تهدیداتی که قبلاً شناسایی نشده بودند و شناسایی حملاتی که توسط برخی از اجزای امنیتی نادیده گرفته شده بودند، استفاده می‌کند که همگی به بهبود شناسایی تهدیدات کمک می‌کنند.

امکانات پاسخ‌دهی یکپارچه

(Integrated response capabilities)

عملکرد پاسخ‌دهی داخلی با استفاده از محصولات Kaspersky کارایی امنیتی را افزایش می‌دهد. به‌عنوان مثال، برای گسترش قابلیت‌های پاسخ‌دهی نقاط انتهایی، Kaspersky SIEM می‌تواند با Kaspersky Endpoint Detection and Response ترکیب شود تا به مدیریت ایزوله‌سازی شبکه دارایی‌ها، یا اجرای برنامه‌ها و اسکریپت‌ها کمک کند. این اقدامات پاسخ‌دهی می‌توانند به صورت دستی یا خودکار بر روی دارایی‌ها با عامل Kaspersky Endpoint Security انجام شوند. Kaspersky SIEM از Kaspersky CyberTrace استفاده می‌کند، یک پلتفرم جامع تهدید اطلاعاتی که از ده‌ها Threat data feeds آماده استفاده پشتیبانی می‌کند تا به صورت خودکار و در زمان واقعی غنی‌سازی رویدادها را با اطلاعات زمینه‌ای درباره شاخص‌های نفوذ انجام دهد.

همچنین در این پلتفرم بدون نیاز به جابجایی بین آرشیوها، اپراتورها می‌توانند درخواست‌های جستجو را در یک رابط واحد ایجاد کرده و تمام تلاش خود را برای تحقیقات متمرکز کنند. این امر هزینه مالکیت سیستم را کاهش داده و در عین حال تجربه کاربری عالی را حفظ می‌کند. پلتفرم از جستجو در رویدادها در چندین مخزن پشتیبانی می‌کند تا به اپراتورها کمک کند تا رویدادهای مرتبط را در کلاسترهای ذخیره‌سازی توزیع‌شده سریع‌تر و آسان‌تر پیدا کنند. سازمان‌ها می‌توانند با جمع‌آوری و ذخیره امن لاگ‌ها از منابع مختلف، با الزامات قانونی برای حفظ داده‌ها، حسابرسی و بررسی حوادث سازگار بمانند. علاوه بر این، ذخیره‌سازی متمرکز و ساختار یافته، به شرکت‌ها امکان می‌دهد تا به راحتی لاگ‌ها را بازیابی و تحلیل کنند.

Kaspersky KUMA (SIEM) برای چه سازمان‌هایی مفید است؟

راه حل نظارت و تجزیه و تحلیل یکپارچه (Kaspersky SIEM) برای سازمان هایی با فرآیندهای امنیت اطلاعات کامل که چالش های زیر برای آنها مرتبط است مفید خواهد بود.

ابزارهای امنیتی پراکنده که کار متخصصان امنیت اطلاعات را پیچیده می کند، منابع زیادی را مصرف می کند و هزینه مالکیت را افزایش می دهد.

نیاز به رعایت الزامات در حوزه امنیت زیرساخت‌های انتقال اطلاعات (CII)، از جمله تعامل با مرکز ملی کنترل و کاهش حوادث سایبری (NCCCI) - دریافت و ارسال داده‌های مربوط به حوادث.

جستجوی سیستم های جایگزین SIEM در زمینه سیاست جایگزینی واردات.

تقاضاهای بالا در عملکرد سیستم های SIEM به عنوان یک نیاز کلیدی.

نیاز به به دست آوردن اطلاعات متنی در مورد رویدادهای امنیتی برای ساده کردن فرآیند پاسخ.

Kaspersky Unified Monitoring and Analysis Platform یک راه‌حل یکپارچه نسل جدید برای مدیریت رویدادها و داده‌های امنیتی .

Kaspersky SIEM داده‌های لاگ را جمع‌آوری کرده و آن‌ها را با اطلاعات متنی و تهدیدات قابل اقدام غنی‌سازی می‌کند تا تمامی اطلاعات لازم برای بررسی و پاسخ به حوادث امنیتی فراهم شود. علاوه بر این، این سیستم قابلیت پاسخ‌دهی خودکار به هشدارها و جستجوی تهدیدات را نیز ارائه می‌دهد.

چرا Kaspersky KUMA(SIEM) را انتخاب کنید؟

صرفه‌جویی تا ۵۰٪

شما می‌توانید تا ۵۰٪ در هزینه‌های نصب صرفه‌جویی کنید؛ چرا که این راه‌حل در زمینه بهره‌وری هزینه، حتی از فروشندگان قدیمی SIEM نیز پیشی می‌گیرد.

کاهش TCO

با معماری ماژولار و با عملکرد بالا، نیازهای سیستم خود را بهینه‌سازی کنید. این معماری قادر است صدها هزار EPS را در هر نمونه پردازش کند، که باعث کاهش هزینه‌های کل مالکیت (TCO) می‌شود.

ذخیره‌سازی مقرون به صرفه داده‌ها

داده‌ها به ‌طور محلی ذخیره می‌شوند، بدون اینکه فشار زیادی بر بودجه یا عملکرد وارد شود. علاوه بر این، گزینه‌های ذخیره سازی مختلف برای انعطاف‌پذیری بیشتر در اختیار شما قرار دارند.

یکپارچگی با محصولات third-party

این راه‌حل Kaspersky با امکان یکپارچگی با بیش از 200 محصول third-party می‌تواند کارایی امنیتی شما را به میزان قابل توجهی افزایش دهد.

معماری Kaspersky SIEM

پلتفرم Kaspersky Unified Monitoring and Analysis رویدادهای امنیتی را از منابع مختلفی مانند سیستم‌های عامل، ابزارهای IT و امنیتی و محصولات کسپرسکی دریافت می‌کند. علاوه بر این، این پلتفرم به ‌طور به ‌موقع هشدارهایی درباره حوادث امنیتی ارسال می‌کند. این پلتفرم بر اساس معماری microservice(میکروسرویس) طراحی شده است، به این معنا که شما می‌توانید میکروسرویس‌های مرتبط را ایجاد و پیکربندی کنید. این ویژگی به شما این امکان را می‌دهد که از KUMA هم به‌عنوان یک سیستم مدیریت لاگ (Log Management) و هم به‌عنوان یک سیستم SIEM کامل بهره‌برداری کنید. علاوه بر این، قابلیت هدایت انعطاف‌پذیر جریان‌های داده به شما اجازه می‌دهد تا از خدمات third-party برای پردازش بیشتر رویدادها استفاده کنید، که باعث بهبود کارایی و گسترش قابلیت‌های پلتفرم می‌شود. وقتی سیستم یک رویداد خاص یا مجموعه‌ای از رویدادهای مرتبط را شناسایی می‌کند، این رویدادها تجزیه و تحلیل شده و ذخیره می‌شوند. اگر این رویدادها نشان‌دهنده یک تهدید امنیتی احتمالی باشند، سیستم Kaspersky SIEM هشدارهایی ایجاد می‌کند که شامل اطلاعات دقیق درباره تهدید و جزئیات دیگر است که برای تحلیل و اقدام متخصصان امنیتی ضروری است. برای انتقال این رویدادها بین اجزای مختلف سیستم، از پروتکل‌های انتقال(transport protocols) و در صورت نیاز از رمزگذاری استفاده می‌شود. همچنین، سیستم قادر است از دیود داده‌ای(data diode) برای جمع‌آوری داده‌ها از بخش‌های جداگانه استفاده کند. Kaspersky SIEM محصولات کسپرسکی و راه‌حل‌های third-party را در یک سیستم متمرکز امنیت اطلاعات یکپارچه می‌کند. این سیستم جزء کلیدی در پیاده‌سازی یک رویکرد دفاعی جامع است که قادر به تأمین امنیت محیط‌های سازمانی و صنعتی، در برابر تهدیدات سایبری امروزی می‌باشد.

معماری پلتفرم Kaspersky Unified Monitoring and Analysis شامل اجزای زیر است:

هسته (Core) که یک رابط گرافیکی برای نظارت و مدیریت تنظیمات اجزای سیستم فراهم می‌آورد.
یک یا چند Collectors که پیام‌ها را از منابع رویدادها دریافت کرده و آن‌ها را تجزیه، نرمال‌سازی و در صورت لزوم فیلتر و یا تجمیع می‌کنند.
یک Correlator که رویدادهای دریافت‌شده از Collectors را تجزیه و تحلیل می‌کند.
فضای ذخیره‌سازی (Storage) که شامل رویدادها و حوادث ثبت ‌شده است.
Agentها یا عامل‌ها که برای ارسال رویدادهای خام از سرورها و ایستگاه‌های کاری به مقصدهای SIEM استفاده می‌شوند.

مزایای رقابتی محصول Kaspersky KUMA(SIEM)

Kaspersky SIEM بر اساس بیش از ۲۵ سال تجربه جهانی در ایجاد ابزارهای امنیت سایبری برای حفاظت از اطلاعات، مقابله با حملات هدفمند و تحلیل بدافزارها ساخته شده است.
Kaspersky Unified Monitoring and Analysis Platform مزایای رقابتی زیر را ارائه می‌دهد:

عملکرد بالا با مصرف بهینه منابع سیستم

این راه‌حل به‌گونه‌ای طراحی شده است که در محیط‌های IT داینامیک و با بار سنگین امروزی به ‌خوبی عمل کند. موتور Correlation Streaming به ‌طور مؤثر و قدرتمند قادر به پردازش داده‌ها و شناسایی تهدیدات است. این سیستم از انعطاف‌پذیری بالایی برخوردار است و امکان تغییرات سریع و آسان در پیکربندی‌ها را فراهم می‌کند. همچنین، با مقیاس‌پذیری بالای خود می‌تواند نیازهای در حال رشد را پوشش دهد و در برابر خطاها مقاوم است. به لطف گزینه‌های ذخیره‌سازی "hot" و "cold" موجود در ClickHouse وHadoop Distributed File System (HDFS)، این پلتفرم امکان ذخیره‌سازی بلندمدت داده‌ها را بدون نیاز به سخت‌افزار گران‌قیمت ذخیره‌سازی فراهم می‌کند.

اطلاعات مرتبط برای پاسخگویی به حوادث

جمع‌آوری خودکار اطلاعات موجودی (نرم‌افزارهای نصب‌شده، آسیب‌پذیری‌ها، تجهیزات، مالکان دارایی‌ها و غیره) می‌تواند زمینه لازم برای رویدادهای امنیتی اطلاعات را فراهم کرده و به تحقیقات مرتبط با حوادث کمک کند.

آماده برای ارائه خدمات امنیتی مدیریت‌شده و مناسب برای شرکت‌های بزرگ

معماری multitenant محصول Kaspersky SIEM اطمینان حاصل می‌کند که داده‌ها به ‌طور کامل از یکدیگر تفکیک شده‌اند. پشتیبانی از multitenancy به این معنی است که هر کاربر تنها به داده‌های مربوط به خود دسترسی دارد و نمی‌تواند به داده‌های کاربران دیگر tenantها دست یابد. این ویژگی برای سازمان‌های بزرگ و ارائه‌دهندگان خدمات امنیتی مدیریت‌شده (MSSP) بسیار حائز اهمیت است.

سیاست لایسنس‌دهی ساده و منعطف

Kaspersky SIEM از معیار EPS (event per second) برای لایسنس‌دهی استفاده می‌کند. این سیستم میانگین تعداد رویدادها را در هر روز پس از جمع‌آوری و فیلتر کردن بررسی می‌کند تا از بروز اضافه ‌بار جلوگیری شود. در صورتی که میزان EPS به سطح بحرانی برسد، Kaspersky SIEM به گونه‌ای طراحی شده است که دسترسی به آن محدود نشود و عملکرد سیستم تحت تأثیر قرار نگیرد. این ویژگی به کاربران این امکان را می‌دهد که بدون نگرانی از افت کارایی، به تجزیه و تحلیل و نظارت بر امنیت اطلاعات خود ادامه دهند.

پلتفرم Kaspersky Unified Monitoring and Analysis قادر است رویدادهای امنیتی را به ‌صورت آنی تحلیل کند و به ‌طور چشمگیری آگاهی از وضعیت امنیتی سازمان را افزایش دهد. همچنین، اطلاعات تهدیدات امنیتی را با توجه به زمینه و جزئیات آن‌ها غنی‌سازی کرده و به‌ صورت کاربردی در اختیار کارشناسان امنیت قرار می‌دهد. این اطلاعات می‌تواند در موارد مختلفی مانند حاکمیت، انطباق با مقررات و شناسایی فعالیت‌های مشکوک با استفاده از قوانین همبستگی، مفید باشد. Kaspersky SIEM به ‌طور ویژه برای کمک به سازمان‌هایی طراحی شده است که فرایندهای امنیت اطلاعات تثبیت‌شده‌ای دارند تا کارایی خود را در وظایف زیر افزایش دهند:

Centralized log management

جمع‌آوری و ذخیره‌سازی رویدادها از منابع مختلف در یک مخزن مرکزی برای تحلیل‌های آینده.

Incident response

هماهنگی فرآیند پاسخ‌دهی به حوادث، پشتیبانی از همکاری تحلیلگران و کاهش زمان میانگین پاسخ (MTTR) برای کنترل و اصلاح حوادث.

Threat hunting

شناسایی سریع تهدیدات ناشناخته با استفاده از یک پایگاه داده قدرتمند column-oriented .

Compliance

رعایت مقررات، گزارش حوادث به CERTهای ملی و دسترسی فوری به وضعیت امنیتی سازمان.

Threat detection (security monitoring)

این پلتفرم با تحلیل و همبستگی رویدادها، هشدارهایی را در مورد تهدیدات داخلی و خارجی ارسال می‌کند. تهدیدات به‌ سرعت شناسایی و اولویت‌بندی می‌شوند که باعث کاهش زمان شناسایی تهدیدات (MTTD) می‌شود. همچنین، این سیستم دقت شناسایی تهدیدات را افزایش داده و با ارائه اطلاعات زمینه‌ای مفید، فرآیند اولویت‌بندی هشدارها را بهبود می‌بخشد.

محصولات مرتبط

Kaspersky Security for Mail Server

Kaspersky Threat Intelligence

Kaspersky Next XDR Expert