Как устроена KUMA: обзор российской SIEM-системы
Продолжаем разбираться в ИБ-решениях «Лаборатории Касперского». На очереди — KUMA, решение класса SIEM. Как система поможет мониторить инфраструктуру и выявлять подозрительную активность, рассказывает Виктор Павлов, пресейл-инженер по реагированию на киберугрозы MONT.
Что такое KUMA и чем она отличается от других российских SIEM?
Это SIEM-система от «Лаборатории Касперского». Она собирает события со всей инфраструктуры и помогает вовремя заметить подозрительную активность. Главные преимущества — высокая производительность и возможность масштабироваться под любой размер сети.
Еще одна сильная сторона — интеграция. KUMA умеет работать с другими продуктами «Лаборатории Касперского» (например, KSC, KES, KICS, KEDR) и с решениями сторонних производителей. Это позволяет не просто собирать логи, а выстраивать единый контур реагирования на угрозы.
В KUMA есть готовые пакеты правил корреляции для самых актуальных угроз. Они обновляются по мере появления новых трендовых атак — например, недавние кейсы с уязвимостями FortiOS SSO, Notepad++, TrueConf, CopyFail и других. Это помогает аналитикам не тратить время на поиск информации и сразу переходить к расследованию.
Какие конкретные проблемы помогает решить KUMA?
Главная ее задача — вовремя замечать то, что другие средства защиты могут пропустить. Правила корреляции KUMA покрывают более 62% тактик и техник из матрицы MITRE ATT&CK. Это позволяет выявлять сложные многоэтапные атаки, которые не видны на уровне отдельных устройств.
Кому подойдет решение?
Система будет полезна любым компаниям, относящихся к категории КИИ, госучреждениям, финансовым организациям, а также тем, кто хочет иметь прозрачную картину происходящего в своей корпоративной инфраструктуре.
При этом у компании должна быть команда, готовая работать с SIEM. Это как минимум два специалиста — администратор и аналитик. Администратор настраивает системы, подключает источники событий, добавляет и редактирует правила корреляции. Аналитик обрабатывает срабатывания и расследует инциденты.
Как внедрить решение?
Сложность внедрения зависит от инфраструктуры.
Для организаций с потоком до 10 000 событий в секунду (EPS) процесс относительно простой: все компоненты можно установить на один сервер, подключить источники и добавить коробочные пакеты.
Если EPS превышает 10 000, потребуется распределенное развертывание, более сложная маршрутизация событий и доработка правил под конкретную среду, чтобы минимизировать ложные срабатывания.
Заменяет ли KUMA зарубежные аналоги?
Да, решение подходит для импортозамещения таких SIEM-систем, как Splunk, QRadar, ArcSight, Microsoft Sentinel, Huawei.
Какие планы по развитию?
Во втором квартале 2026 года выйдет версия KUMA 4.6. В ней появится поддержка ОС RHEL и ODBC, интеграция с on-prem LLM для KIRA, подсказки с функциями SQL, ИИ-помощник и темная тема, которую многие очень ждали :)
А к концу года выйдет версия KUMA 5.0. Там будут более удобные возможности администрирования системы (установка микросервисов из WEB консоли KUMA), релизный коррелятор 2.0 (производительнее более чем в 5 раз), индикатор нагрузки корреляционных правил и многое другое.
#ИБ_разбор
VK | Telegram | TenChat | MAX