Search Results

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Настройка Apache Для настройки пересылки access-лога веб-сервера apache в KUMA необходимо выполнить следу...

Использование MITRE ATT&CK в Центре управления безопасностью (SOC) может значительно расширить возможности обнаружения угроз и реагирования на них.  Правила корреляции из коробки в KUMA (SOC Package и Community-Pack) покрываются техниками и тактиками из мат...

May 8, 2009 5:57:51 PM oct 7, 1970 oct 7, '70 oct. 7, 1970 oct. 7, 70 Mon Jan 2 15:04:05 2006 Mon Jan 2 15:04:05 MST 2006 Mon Jan 02 15:04:05 -0700 2006 Monday, 02-Jan-06 15:04:05 MST Mon, 02 Jan 2006 15:04:05 MST Tue, 11 Jul 2017 16:28:13 +0200 (C...

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Импорт информации об активах RedCheck В KUMA можно импортировать сведения об активах из отчетов о результ...

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Настройка Telegram 1. В Telegram находим бота: https://t.me/BotFather 2. Запускаем командой /start 3....

Зачастую создание файловых информационных ресурсов на хостах компании недопустимо с точки зрения действующих требований департамента информационной безопасности. В связи с этим использование стандартного коллектора 1с-xml с возможностью вычитки события через п...

Кейс 1. Диск смонтирован в неверный раздел Предположим, при подготовке сервера диск, предназначенный для хранения примонтировали не верно, например в папку /var/data. KUMA установлена в папку  /opt Запись в /etc/fstab выглядит примерно следующим образом /de...

В KUMA во многих местах можно использовать шаблоны для обогащения. Но мало кто знает, что в template можно использовать не только значения полей, например, {{.DeviceAddress}}, но и другой функционал шаблонов GO (ссылка). Ниже приведем несколько полезных лайфх...

Проверить поддержку версии продукта https://support.kaspersky.com/corporate/lifecycle#b2b.block13.kuma  Лицензирование продукта Kaspersky Unified Monitoring and Analysis Platform (KUMA) происходит по среднему количеству обрабатываемых событий в секунду (EPS) ...

В случае установки KUMA на ОС с установленным антивирусом необходимо в политике антивирусной защиты выставить исключение проверок средства защиты для папки: /opt/kaspersky/kuma/* Более гранулярный доступ описан в этой статье - https://support.kaspersky.ru/ku...

В KUMA существует три типа пространства для хранения событий: Горячее Холодное Архивное Для оптимизации использования дискового пространства и ускорения выполнения запросов в KUMA введено несколько уровней устройств хранения: Горячее (hot) - быстрод...

Активы могут попасть в KUMA следующими способами: От KSC (FQDN, IP, MAC, Имя ассета (в KSC, Владелец [Principal name], Информация об уязвимостях, Информация об установленном ПО, Информация о hardware). KUMA импортирует из базы KSC сведения об устройствах с ...

Ниже приведено описание основного функционала KUMA задействованного в управлении инцидентами.  Алерты Создание алерта Алерт создается в результате сработки корреляционного правила на основе поступивших событий, он является подозрением на инцидент. Чтобы...

Процесс перевыпуска сертификата ядра в версии KUMA 3.2 был изменен! Актуальная информация приведена в онлайн-справке: https://support.kaspersky.ru/help/KUMA/3.2/ru-RU/275543.htm и https://support.kaspersky.ru/kuma/3.2/217747 Общая информация После установки ...

Интеграция является не официальной (не поддерживается) Скачиваем и устанавливаем плагин: Далее настраиваем в Connections (в старых версиях: Home - Administration - Data sources) по этому плагину: Предварительно проверьте доступ к порту 8123, если доступ...

При интеграции с AD/ADFS важно иметь единое время на системах, настоятельно рекомендуется настроить NTP   Аутентификация работает только для одного домена. Поэтому  все группы должны быть созданы в корневом домене. Пример инфраструктуры AD: корне...

По умолчанию, если в корреляторе какое-то правило корреляции сработает несколько раз, все созданные в результате этого корреляционные события будут присоединены к одному алерту. Правила сегментации алертов дают возможность определить условия, при которых на ос...

В рамках данной статьи настроим политику мониторинга определенного источника с взведением алерта при срабатывании политики. На системы приходят следующие события: Имеем следующий источник событий (перейдите (в меню слева) на вкладку Состояние источников): ...