Архитектура Kaspersky XDR Expert
Этот раздел содержит описание компонентов Kaspersky XDR Expert и их взаимодействия.
Архитектура Kaspersky Single Management Platform
Kaspersky XDR Expert включает в себя следующие основные компоненты:
- Kaspersky Single Management Platform (KSMP). Технологическая основа, на которой построен Kaspersky XDR Expert. KSMP объединяет все компоненты решения и обеспечивает взаимодействие между компонентами. KSMP является масштабируемым и поддерживает интеграцию как с программами "Лаборатории Касперского", так и со сторонними решениями.
- Консоль KSMP. Представляет собой веб-интерфейс KSMP.
- Консоль KUMA. Представляет собой веб-интерфейс Kaspersky Unified Monitoring and Analysis Platform (KUMA).
- Ядро KUMA. Центральный компонент KUMA. KUMA получает, обрабатывает и хранит события информационной безопасности, а затем анализирует события с помощью правил корреляции. Если в результате анализа срабатывает правило корреляции, KUMA создает обнаружение и отправляет его в Incident Response Platform.
- Incident Response Platform. Компонент Kaspersky XDR Expert, который позволяет создавать инциденты автоматически или вручную, управлять жизненным циклом обнаружений и инцидентов, назначать обнаружения и инциденты аналитикам SOC, а также автоматически или вручную реагировать на инциденты, включая действия по реагированию с помощью плейбуков.
- Сервер администрирования (далее также Сервер). Ключевой компонент защиты конечных точек организации-клиента. Сервер администрирования обеспечивает централизованное развертывание и управление защитой конечных точек с помощью EPP-программ, а также позволяет контролировать состояние защиты конечных точек.
- Источники данных. Аппаратное и программное обеспечение информационной безопасности, которое создает события. После интеграции Kaspersky XDR Expert с необходимыми источниками данных, KUMA получает события для их хранения и анализа.
- Интеграции. Программы "Лаборатории Касперского" и сторонние решения, интегрированные в KSMP. С помощью интегрированных решений аналитик SOC может обогащать данные, необходимые для расследования инцидентов и реагирования на них.