Компании «Лаборатория Касперского» и Вебмониторэкс настроили бесшовную интеграцию своих решений. Теперь доступна нативная нормализация ИБ-событий с межсетевого экрана веб-приложений ПроWAF при передаче в SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA). Это значительно ускоряет взаимодействие ИБ-решений, повышает качество детектирования угроз и создает дополнительный контекст при реагировании на инцидент.

Нормализация — это процесс приведения данных из разных источников к единому формату, чтобы SIEM (система управления событиями безопасности) могла их корректно анализировать. В рамках интеграции были написаны правила нормализации для событий, передаваемых с ПроWAF, разработанного Вебмониторэкс, в SIEM «Лаборатории Касперского» — KUMA.

Kaspersky Unified Monitoring and Analysis Platform (KUMA) – решение класса SIEM, которое предназначено для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и их своевременной нейтрализации. В основе системы лежит микросервисная архитектура, открывающая широкие возможности для гибкого масштабирования и быстрого обновления отдельных модулей. KUMA обладает высокой производительностью — более 300 тысяч событий в секунду (EPS) на один узел, и при этом относительно невысокими системными требованиями для её развертывания.

Межсетевой экран веб-приложений ПроWAF — это высокопроизводительная система для защиты веб-сервисов. Благодаря интеллектуальному анализу запросов решение гарантирует минимальный уровень ложных срабатываний, сохраняя доступность ресурса для легитимных пользователей. Глубокий анализ трафика и собственные бессигнатурные алгоритмы детектов предотвращают утечку чувствительных данных.

WAF обеспечивает защиту веб-приложений в реальном времени, блокируя атаки на уровне приложений. А SIEM, в свою очередь, анализирует события безопасности в масштабе всей инфраструктуры организации. Объединение данных из этих источников позволяет улучшить обнаружение угроз благодаря более полному и всестороннему анализу.

«Работа любой SIEM-системы требует постоянной эволюции детектирующей логики, чтобы гарантировать полноценность ИБ-мониторинга и надежную защиту от атак. Такие системы должны быть готовы к работе с разнообразными источниками событий, которые находятся в инфраструктуре заказчика. Поэтому мы постоянно добавляем в KUMA новые нормализаторы и правила корреляции. В частности, интеграция с ПроWAF позволит оперативно реагировать на веб-угрозы и эффективно приоритизировать их», — сказал руководитель направления развития единой корпоративной платформы «Лаборатории Касперского» Илья Маркелов.

«Интеграция различных ИБ-инструментов позволяет создать общий контекст безопасности. С учетом специфичности атак на веб и API дополнение корреляционной логики KUMA событиями ПроWAF позволит точнее реагировать на события такого класса, а при наличии реальной угрозы для веб-приложений заказчика ускорить время реагирования SOC, – отметил директор по информационной безопасности Вебмониторэкс Лев Палей. — Синергия SIEM и WAF позволяет лучше понимать контекст атак, автоматизировать реагирование на угрозы, централизовать мониторинг и отчетность, что облегчает анализ безопасности и принятие обоснованных решений. И мы уверены, что партнерство с «Лабораторией Касперского» значительно повысит безопасность клиентов и еще раз продемонстрирует, что за мультивендорностью и объединением экспертиз – будущее».