23 января 2023
Вводная статья
Цикл "Kaspersky Symphony XDR"
Вводная статья
Блок KUMA
Блок KATA
Блок KEDR
Блок KUMA
- KUMA. Введение: обзор архитектуры
- Установка системы. Подключение активов
- Парсинг логов. Подключение логов CheckPoint, KSC, KSMG, Microsoft AD
- Написание своего парсера и нормализации
- Обогащение логов в коллекторе
- Работа с простыми алертами и инцидентами. Создание простых корреляционных правил
- Работа с тяжелыми алертами. Создание тяжелых корреляционных правил
- Оповещения в телеграмм
- Построение дашбордов
- Symphony XDR, автоматическое реагирование через агенты
Блок KATA
- Защита периметра. Теория
- Защита периметра. Развертывание системы
- Защита периметра. Развертывание центрального узла
- Защита периметра. Настройка платформы
- Защита периметра. Подключение источника
- Защита периметра. Тестирование
Блок KEDR
Введение
Приветствуем вас в новом обучающем материале на платформе TS University!
С этой вводной статьи мы начинаем знакомить вас с большим циклом материалов, посвященных Kaspersky Symphony XDR: решению «Лаборатория Касперского» для обеспечения комплексной защиты ИТ инфраструктуры от массовых и продвинутых киберугроз. И начнем мы с того, что разберемся: что же из себя представляет линейка решений Kaspersky Symphony.
Kaspersky Symphony – это линейка решений, каждое из которых состоит из набора продуктов.
Продукты, представленные в каждом решении, свободно интегрируются друг с другом, что предоставляет администраторам различные дополнительные сценарии по мониторингу угроз и реагированию на них. Решения из этой линейки подойдут компаниям разных размеров и с разным уровнем компетенций в ИБ. Так, по мере развития экспертизы и увеличения требований к ИБ, организация может повышать уровень в линейке Kaspersky Symphony и получать дополнительные полезные инструменты.
Также компаниям предоставляется выбор того, как именно они хотят выстраивать свою защиту:
С этой вводной статьи мы начинаем знакомить вас с большим циклом материалов, посвященных Kaspersky Symphony XDR: решению «Лаборатория Касперского» для обеспечения комплексной защиты ИТ инфраструктуры от массовых и продвинутых киберугроз. И начнем мы с того, что разберемся: что же из себя представляет линейка решений Kaspersky Symphony.
Kaspersky Symphony – это линейка решений, каждое из которых состоит из набора продуктов.
Продукты, представленные в каждом решении, свободно интегрируются друг с другом, что предоставляет администраторам различные дополнительные сценарии по мониторингу угроз и реагированию на них. Решения из этой линейки подойдут компаниям разных размеров и с разным уровнем компетенций в ИБ. Так, по мере развития экспертизы и увеличения требований к ИБ, организация может повышать уровень в линейке Kaspersky Symphony и получать дополнительные полезные инструменты.
Также компаниям предоставляется выбор того, как именно они хотят выстраивать свою защиту:
- усиливать собственную систему безопасности (выбрав сначала Kaspersky Symphony EDR и далее сделав переход на Kaspersky Symphony XDR)
- или же выбрать управляемую защиту своего бизнеса (Kaspersky Symphony MDR)
Состав линейки решений Kaspersky Symphony
- На первом уровне представлено решение Kaspersky Symphony Security
Здесь закрываются потребности в защите от массовых угроз на мобильных устройствах, рабочих станциях и серверах. Причем неважно: защищаются физические или виртуальные устройства. Сюда входят такие продукты, как Kaspersky Endpoint Security для бизнеса расширенный и Kaspersky Security для виртуальных и облачных сред.
Второй и третий уровень похожи, но используют разные методы для достижения своей цели. Цель – защита конечных устройств от массовых и целенаправленных атак.
Эти уровни включают в себя все продукты, доступные на первом уровне в Kaspersky Symphony Security. Дополнительно на этих уровнях добавляется инструменты по расследованию и реагированию на потенциальные инциденты безопасности, которые невозможно было отследить и заблокировать стандартными средствами антивирусной защиты. Однако эти инструменты варьируются в зависимости от целей и возможностей организации.
Второй и третий уровень похожи, но используют разные методы для достижения своей цели. Цель – защита конечных устройств от массовых и целенаправленных атак.
Эти уровни включают в себя все продукты, доступные на первом уровне в Kaspersky Symphony Security. Дополнительно на этих уровнях добавляется инструменты по расследованию и реагированию на потенциальные инциденты безопасности, которые невозможно было отследить и заблокировать стандартными средствами антивирусной защиты. Однако эти инструменты варьируются в зависимости от целей и возможностей организации.
- Kaspersky Symphony MDR представляет управляемую защиту: эксперты SOC «Лаборатории Касперского»на основе телеметрии с конечных устройств выявляют потенциально вредоносную активность и предоставляют рекомендации специалистам организации по её устранению
Такой подход может быть полезен в случае, если в организации небольшой штат ИБ специалистов. Или в случае, если у организации уже есть EDR решение и выделенные специалисты, но они хотели бы получать дополнительное мнение.
Специалисты «Лаборатории Касперского» имеют высочайшие компетенции и доступ к всемирным данным об угрозах, что дает им возможность взглянуть на происходящее с другого ракурса. Эксперты SOC обладают широким набором признанных в отрасли сертификатов, таких как CHFI, CEH, GCFA, OSCP, CISM, OSCE, GNFA, CISA, GNFA, GCIH, GCTI, CISSP и другие
Специалисты «Лаборатории Касперского» имеют высочайшие компетенции и доступ к всемирным данным об угрозах, что дает им возможность взглянуть на происходящее с другого ракурса. Эксперты SOC обладают широким набором признанных в отрасли сертификатов, таких как CHFI, CEH, GCFA, OSCP, CISM, OSCE, GNFA, CISA, GNFA, GCIH, GCTI, CISSP и другие
- Kaspersky Symphony EDR, напротив, призван сохранить телеметрию с хостов внутри инфраструктуры для расследования силами собственны специалистов ИБ
В это решение входит продукт Kaspersky EDR Expert, оно предоставляет специалистам организации возможность выявлять подозрительную активность, расследовать её и выполнять реагирование. Об этом продукте мы ещё будем говорить подробно в контексте XDR.
На последнем, четвертом уровне, идут решения Kaspersky Symphony XDR Core и Kaspersky Symphony XDR.
На последнем, четвертом уровне, идут решения Kaspersky Symphony XDR Core и Kaspersky Symphony XDR.
- На Kaspersky Symphony XDR Core подробно останавливаться не будем. Только уточним, что помимо всех решений, входящих в Kaspersky Symphony EDR, сюда добавляется SIEM-система KUMA
Эта система за счет очень мощного функционала дает администраторам возможность собирать события с различных систем (таких, как межсетевые экраны, службы каталогов и конечных точек) и находить корреляции. Это решение позволяет более точно понимать происходящее в сети.
- Kaspersky Symphony XDR призван предоставить комплексную защиту не только конечных устройств, но и: периметра сети, почты, веб-трафика. И, что немаловажно, самих пользователей, повышая их киберграмотность
Одна из отличительных особенностей Kaspersky Symphony XDR — это экосистемный подход.
Поэтому, покупая Kaspersky Symphony XDR, вы получаете не только антивирус для защиты рабочих станций, решение для защиты почтового трафика или SIEM систему, а сразу несколько продуктов, закрывающих потребности информационной безопасности на определенном уровне.
Поэтому, покупая Kaspersky Symphony XDR, вы получаете не только антивирус для защиты рабочих станций, решение для защиты почтового трафика или SIEM систему, а сразу несколько продуктов, закрывающих потребности информационной безопасности на определенном уровне.
Итак, переходим к Kaspersky Symphony XDR – самому старшему решению в линейке. Но перед тем как говорить о самом продукте и о том, какие решения в него входят, давайте ответим на вопрос: что вообще подразумевается под понятием XDR?
Данная аббревиатура расшифровывается как eXtended Detection and Response (дословно: расширенное обнаружение и реагирование) и является классом решений по обеспечению защиты от сложных угроз, целенаправленных атак и 0-day уязвимостей в инфраструктуре.
Класс решений XDR появился как естественная эволюция и слияние в первую очередь классов NDR и EDR. Хотя можно сюда отнести и другие например, EPP (Endpoint Protection Platform) решения, такие как антивирусы, которые могут передавать данные об обнаружениях в единое решение класса XDR. Или SIEM-системы, которые будут собирать события и давать более целостное понимание происходящего в инфраструктуре.
NDR (Network Detection and Response) – это различного рода решения, позволяющие обнаруживать и блокировать объекты в трафике на периметре организации:
А в свою очередь EDR (Endpoint Detection and Response) уже исследует потоки данных на уровне конечных точек. Будь то физические или виртуальные сервера, рабочие станции, мобильные устройства и пр.
Данные классы решений рассчитаны на выявление аномальной активности в инфраструктуре и «подсвечивание» подозрительной активности администратору ИБ.
А чтобы эту подозрительную активность обнаружить, разработчики постоянно соревнуются в совершенствовании алгоритмов и механизмов выявления такой активности. Ведь задача стоит не только в том, чтобы выявить подозрительную активность, но и не «завалить» администратора малополезными обнаружениями.
Не каждое открытие командной строки будет являться подозрительным, как и не любой переданный исполняемый файл вредоносным. Они опираются и на эвристический анализ и IDS-инструментарий, на антивирусные базы, URL репутацию, интерактивные песочницы и многое другое. Компании-разработчики постоянно улучшают, добавляют и уточняют индикаторы атак (так называемые IOA правила). А индикаторы компрометации IOC публикуются как в публичных, так и в закрытых отчетах, предоставляемых на платной основе.
Так как понятие XDR является относительно новым, то каждая софтверная компания, которая создает решения такого класса, вкладывает свой смысл в понятие «extended» (и то, какие решения в этом «расширенном» классе должны быть).
Но если говорить про Лабораторию Касперского: в первую очередь в разрезе XDR подразумевается решение Kaspersky Anti Targeted Attack Platform.
Теперь поговорим про то, что представляет собой решение KATA Platform и как оно связано с решением Kaspersky EDR Expert.
Как уже упоминалось выше: XDR не будет являться XDR, если не объединить как минимум две составляющие (NDR и EDR). Так вот, решение KATA в данном случае можно охарактеризовать как NDR решение и с точки зрения функционала, и с точки зрения лицензирования.
Приобретая и используя решение KATA, мы получаем возможность искать подозрительные элементы и активность только в трафике на периметре сети. Но на базе самой платформы можно активировать и функциональность решения класса EDR – Kaspersky EDR Expert (и получить XDR). И наоборот: можно, используя платформу KATA, активировать функциональность только Kaspersky EDR Expert и пользоваться только защитой от сложных угроз на конечных точках.
То есть KATA Platform — это некий технический базис, функционал которого зависит от того, что нужно в конкретном случае. В зависимости от типа используемой лицензии будет доступен разный функционал в интерфейсе управления.
Но нельзя сказать, что внедрив платформу KATA с функциональностью KEDR Expert, мы сможем защитить себя от всех угроз. Итак, мы медленно подошли к теме Kaspersky Symphony XDR.
Если решением класса XDR мы можем назвать KATA Platform с функционалом KEDR Expert. То Symphony XDR - это экосистема из продуктов Kaspersky, позволяющих максимально сократить вектор атаки на инфраструктуру и получить инструменты обнаружения, мониторинга и реагирования на угрозы (причем как внутри экосистемы, так и через сторонние системы).
Помимо платформы KATA, ключевым решением является SIEM система KUMA, которая упоминалась выше.
Также сюда входят решения:
Данная аббревиатура расшифровывается как eXtended Detection and Response (дословно: расширенное обнаружение и реагирование) и является классом решений по обеспечению защиты от сложных угроз, целенаправленных атак и 0-day уязвимостей в инфраструктуре.
Класс решений XDR появился как естественная эволюция и слияние в первую очередь классов NDR и EDR. Хотя можно сюда отнести и другие например, EPP (Endpoint Protection Platform) решения, такие как антивирусы, которые могут передавать данные об обнаружениях в единое решение класса XDR. Или SIEM-системы, которые будут собирать события и давать более целостное понимание происходящего в инфраструктуре.
NDR (Network Detection and Response) – это различного рода решения, позволяющие обнаруживать и блокировать объекты в трафике на периметре организации:
- в межсетевых экранах;
- в сыром трафике на сетевом оборудовании;
- в почтовом и веб трафике и пр
А в свою очередь EDR (Endpoint Detection and Response) уже исследует потоки данных на уровне конечных точек. Будь то физические или виртуальные сервера, рабочие станции, мобильные устройства и пр.
Данные классы решений рассчитаны на выявление аномальной активности в инфраструктуре и «подсвечивание» подозрительной активности администратору ИБ.
А чтобы эту подозрительную активность обнаружить, разработчики постоянно соревнуются в совершенствовании алгоритмов и механизмов выявления такой активности. Ведь задача стоит не только в том, чтобы выявить подозрительную активность, но и не «завалить» администратора малополезными обнаружениями.
Не каждое открытие командной строки будет являться подозрительным, как и не любой переданный исполняемый файл вредоносным. Они опираются и на эвристический анализ и IDS-инструментарий, на антивирусные базы, URL репутацию, интерактивные песочницы и многое другое. Компании-разработчики постоянно улучшают, добавляют и уточняют индикаторы атак (так называемые IOA правила). А индикаторы компрометации IOC публикуются как в публичных, так и в закрытых отчетах, предоставляемых на платной основе.
Так как понятие XDR является относительно новым, то каждая софтверная компания, которая создает решения такого класса, вкладывает свой смысл в понятие «extended» (и то, какие решения в этом «расширенном» классе должны быть).
Но если говорить про Лабораторию Касперского: в первую очередь в разрезе XDR подразумевается решение Kaspersky Anti Targeted Attack Platform.
Теперь поговорим про то, что представляет собой решение KATA Platform и как оно связано с решением Kaspersky EDR Expert.
Как уже упоминалось выше: XDR не будет являться XDR, если не объединить как минимум две составляющие (NDR и EDR). Так вот, решение KATA в данном случае можно охарактеризовать как NDR решение и с точки зрения функционала, и с точки зрения лицензирования.
Приобретая и используя решение KATA, мы получаем возможность искать подозрительные элементы и активность только в трафике на периметре сети. Но на базе самой платформы можно активировать и функциональность решения класса EDR – Kaspersky EDR Expert (и получить XDR). И наоборот: можно, используя платформу KATA, активировать функциональность только Kaspersky EDR Expert и пользоваться только защитой от сложных угроз на конечных точках.
То есть KATA Platform — это некий технический базис, функционал которого зависит от того, что нужно в конкретном случае. В зависимости от типа используемой лицензии будет доступен разный функционал в интерфейсе управления.
Но нельзя сказать, что внедрив платформу KATA с функциональностью KEDR Expert, мы сможем защитить себя от всех угроз. Итак, мы медленно подошли к теме Kaspersky Symphony XDR.
Если решением класса XDR мы можем назвать KATA Platform с функционалом KEDR Expert. То Symphony XDR - это экосистема из продуктов Kaspersky, позволяющих максимально сократить вектор атаки на инфраструктуру и получить инструменты обнаружения, мониторинга и реагирования на угрозы (причем как внутри экосистемы, так и через сторонние системы).
Помимо платформы KATA, ключевым решением является SIEM система KUMA, которая упоминалась выше.
Также сюда входят решения:
- По защите конечных точек Kaspersky Endpoint Security для бизнеса;
- Защита виртуальных и облачных сред;
- Почтового трафика;
- Веб-трафика;
- Обучение пользователей основам информационной безопасности;
- И инструменты обогащения данных, такие как:
- Kaspersky Threat Data Feeds: потоки данных о вредоносных IP адресах и хешах файлов, вредоносных и фишинговых URL адресах, адресах командных центров управления ботнетами;
- Kaspersky CyberTrace, позволяющий находить корреляции событий, происходящих в инфраструктуре, с событиями, зарегистрированными в Kaspersky
Помимо этого, в рамках продукта Symphony XDR выдается доступ к порталу Threat Intelligence и инструменту Threat Lookup, который помогает в расследовании инцидентов искать и получать детальную информацию из глобальной сети Kaspersky.
В скором времени должна выйти новая версия Kaspersky Single Management Console: единая веб консоль управления для всех продуктов линейки XDR.
В скором времени должна выйти новая версия Kaspersky Single Management Console: единая веб консоль управления для всех продуктов линейки XDR.
Заключение
Учитывая все вышесказанное: внедряя Symphony XDR, вы получаете не только широкий спектр инструментов для отражения даже самых сложных атак, но и проактивную защиту инфраструктуры, использующую обширные данные глобальной сети Лаборатории Касперского.
Помимо всего прочего, линейка Symphony характеризуется простотой лицензирования. Каждый продукт в линейке рассчитывается исходя из количества защищаемых узлов. Плюсом является единая дата продления: нет нужды думать, когда необходимо продлевать каждый из 10 продуктов.
Теперь же, когда мы немного разобрались в основном предмете обсуждения: давайте разберем основные решения входящие в Symphony XDR и посмотрим на них в деле в следующих статьях цикла.
Оставайтесь с нами!
Помимо всего прочего, линейка Symphony характеризуется простотой лицензирования. Каждый продукт в линейке рассчитывается исходя из количества защищаемых узлов. Плюсом является единая дата продления: нет нужды думать, когда необходимо продлевать каждый из 10 продуктов.
Теперь же, когда мы немного разобрались в основном предмете обсуждения: давайте разберем основные решения входящие в Symphony XDR и посмотрим на них в деле в следующих статьях цикла.
Оставайтесь с нами!