Kaspersky Unified Monitoring and Analyze Platform (KUMA) – решение класса SIEM (Security Information and Event Management), предназначенное для централизованного сбора, анализа и корреляции событий информационной безопасности с различных источников данных. Решение обеспечивает единую консоль мониторинга, анализа и реагирования на угрозы ИБ, объединяя как решения Лаборатории Касперского, так и сторонних производителей. KUMA разработана для современных высоконагруженных ИТ-сред. Платформа построена на модульной архитектуре, что позволяет достичь не только масштабируемости, но и высоких показателей надёжности и отказоустойчивости. Компоненты системы могут быть установлены в географически-распределённых ЛВС для максимальной производительности сбора и корреляции событий, а единая консоль обеспечит централизованный мониторинг и управление всеми узлами. Архитектура KUMA Материалы по KUMA # KUMA

Этакий "CookBook" по правилам корреляции в KUMA :::warning :warning: Для открытия рисунка в полном размере, нажмите правой кнопкой мыши на изображении и выберите пункт "Открыть изображение в новой вкладке" ::: :::warning :warning: "Обновить параметры" нужно делать в корреляторе, когда какое-либо правило меняется, чтобы подтянулись актуальные изменения в правилах в коррелятор. :::

Первичный траблшут в KUMA :::warning :warning: Для открытия рисунка в полном размере, нажмите правой кнопкой мыши на изображении и выберите пункт "Открыть изображение в новой вкладке" ::: Проверка статуса основных компонентов Основные службы KUMA: systemctl status kuma-collector-ID_СЕРВИСА.service

Продукт,Имя правила,Описание,Дата последнего изменения,Связанные правила KUMA,[KUMA] Login Брутфорс,"Правило срабатывает на 5 неудачных попыток входа в течение 1 минуты. Используется в тандеме с правилом реагирования для блокировки IP источника на 180 секунд, с помощью iptables.",02.08.2023, Cisco,[Cisco] ASA Succesfull Bruteforce,"Created by Community User 50 неуспешных логинов и 1 успешный",17.07.2023, Fortigate,[Fortigate] Security Alert Localnet,"Created by Community User Сработка МЭ Fortigate на источник или назначение в локальной сети.",17.07.2023, Fortigate,[Fortigate] VPN Succesfull Bruteforce,"Created by Community User 50 неуспешных логинов и 1 успешный",17.07.2023, KEDRO,[KEDRO] IoC Detect ,Сработка по обнаружению по задаче поиска IOC,04.07.2023, CheckPoint,[CheckPoint] Сработка IPS,Сработка по обнаружению IPS модулю,04.07.2023,

Вендор,Имя нормализатора,Дата последнего изменения,Комментарии Unix,[01-08-2023] Unix AuditD (Syslog - REGEX),01.08.2023,"Recommended AuditD config: https://github.com/Neo23x0/auditd added: - 01.08.2023 Box Syslog parser changed to Regex, some fixes in sub parsers - 07.07.2023 Zimbra section added - 16.05.23 ""Audit message KV normalization"" proctitle now writes in DestinationProcessName with HexDecode - add regex for case: (node=\S+) after syslog header - add extranormalizer for EXECVE, SYSCALL, PATH - add regex for CRON logs (CMD) - add extranormalizer for USER_AUTH, USER_LOGIN, DEL_USER, ADD_USER