Лаборатория Касперского — KUMA + KIRA: ИИ в SIEM для SOC

«Лаборатория Касперского» разработала и непрерывно развивает собственную SIEM-систему KUMA (Kaspersky Unified Monitoring and Analysis Platform), применяя в ней технологии ИИ. Ключевые ИИ-функции: (1) модуль приоритизации алертов на базе ML — анализирует аномальную активность для конкретного актива и помечает нетипичные срабатывания; (2) ассистент KIRA (LLM на GigaChat 2.0) — помогает аналитикам SOC расследовать инциденты в режиме диалога; (3) AI-детекция подмены DLL-библиотек (DLL-hijacking) — специализированный ML-модуль; (4) AI-обнаружение компрометации учётных записей (KUMA 4.2).

Аналитики SOC перегружены потоком алертов, большинство из которых — ложноположительные срабатывания. Ручной анализ тысяч событий безопасности требует высокой квалификации и значительного времени. Требовался инструмент, снижающий «шум», ускоряющий приоритизацию и помогающий менее опытным аналитикам принимать решения.

• Снизить нагрузку на ИБ-специалистов, освободив время для анализа сложных инцидентов

• Сократить MTTD (время до обнаружения) и MTTR (время до устранения)

• Обеспечить работу аналитиков разного уровня квалификации в одной системе

• Достичь российской сертификации и соответствия требованиям ГосСОПКА

• Финансы

• Сокращение затрат на ручной анализ: аналитик первой линии принимает решения быстрее благодаря AI-приоритизации

• Экономия на интеграции: единый агент KES для сбора данных с рабочих станций вместо отдельного агента SIEM Время

• AI-приоритизация алертов: аналитик сразу видит инциденты, требующие первостепенного внимания

• KIRA генерирует ответы и рекомендации в диалоговом режиме, сокращая время расследования

• Подсказка KIRA: 1–2 секунды Качество и эффективность

• Охват правил обнаружения: >400 техник матрицы MITRE ATT&CK «из коробки»

• Поддерживаемые источники: ~300 типов источников событий

• UEBA-детектирование аномалий для APT, целевых атак и угроз инсайдеров

• KUMA — первая российская SIEM, прошедшая проверку ГосСОПКА (приказ ФСБ №196)

• AI-детектирование DLL-hijacking: автоматическая аннотация подозрительных событий без участия аналитика

• AI-обнаружение компрометации учётных записей: анализ паттернов логинов и флаггирование аномалий Нагрузка и масштаб

• KUMA применяется в крупнейших SOC России (в т.ч. Solar JSOC, «К2 Кибербезопасность»)

• Инструмент используется как внутренней ИБ-службой Касперского, так и клиентами

• Поддержка MSSP-модели с мультиарендностью (multitenancy) Надёжность

• KUMA 4.2: Correlator 2.0 с горизонтальным масштабированием и отказоустойчивостью

• Сертификат ФСТЭК для работы в КИИ; соответствие ГосСОПКА

• Возможность работы без подключения к интернету (data sovereignty) Импортозамещение и compliance

• Отечественное решение взамен Splunk SIEM, IBM QRadar, Microsoft Sentinel

• Включена в Реестр российского ПО Минцифры

• Сертификат соответствия ГосСОПКА (КУМА 3.2)

• Соответствие требованиям 152-ФЗ, 187-ФЗ (КИИ) Качественный эффект: Касперский за 20+ лет применения ML встроил технологии ИИ во все уровни продукта — от endpoint-защиты до SIEM-расследований. KUMA с KIRA стал одним из наиболее технологически зрелых российских SOC-решений.