Kaspersky Unified Monitoring and Analysis Platform

Архитектура решения

Kaspersky Unified Monitoring and Analysis Platform (KUMA) — высокопроизводительная SIEM-платформа. Она состоит из ключевых компонентов: ядра, коррелятора, коллектора и базы данных. Ядро выполняет функцию сервера центрального управления всеми компонентами с предоставлением веб-интерфейса и REST API. Коррелятор принимает нормализованные события от коллектора, производит их анализ, формирует оповещения и осуществляет действия по реагированию. Передача событий по компонентам осуществляется по зашифрованным протоколам.

Функционал и преимущества

Функциональные возможности решения неразрывно связаны с его достоинствами:

• увеличение производительности за счёт балансировки нагрузки между компонентами;
• расследование инцидентов;
• модуль «ГосСОПКА» позволяет осуществлять обмен данными о событиях информационной безопасности с Национальным координационным центром по компьютерным инцидентам (НКЦКИ);
• горизонтальная и вертикальная масштабируемость;
• независимая друг от друга работа компонентов, благодаря микросервисной архитектуре;
• низкие системные требования к аппаратному обеспечению;
• соответствие политике импортозамещения (решение внесено в Единый реестр отечественного программного обеспечения Минцифры и имеет сертификат ФСТЭК России 4-го уровня доступа);
• поддержка REST API, благодаря чему можно работать с уведомлениями, активами и событиями, а также разрабатывать собственные интеграционные модули;
• поддержка универсального формата «из коробки» с возможностью интеграции со сторонними решениями и программными продуктами, разработанными зарубежными и отечественными вендорами;
• возможность миграции сторонних решений класса SIEM;
• автоматическая инвентаризация и реагирование за счёт интеграции с решениями Kaspersky Endpoint Security и Kaspersky Security Center.