Когда в тикет-системе одновременно висят два пилотных проекта - MaxPatrol SIEM на одном стенде и KUMA на другом - разницу между продуктами начинаешь видеть не по официальным материалам, а по количеству бессонных ночей. Русскоязычные обзоры обычно сводятся к пересказу маркетинговых материалов и перечислению сертификатов ФСТЭК. Ни один из ТОП-5 результатов в Яндексе не показывает, как конкретная техника MITRE ATT&CK выглядит в корреляторе каждой системы и где остаётся слепое пятно.
Эта статья - результат параллельной эксплуатации обоих продуктов в боевых SOC-средах. Никаких абстрактных «плюсов и минусов». Архитектура компонентов, реальная логика корреляции, карта детектирования по ATT&CK и честный разбор того, где каждая SIEM система проигрывает. Если вы выбираете SIEM для российской компании или переводите SOC с западного решения - здешняя информация сэкономит месяцы пилотирования.
Почему SOC-аналитику мало табличных сравнений
Обзор Anti-Malware.ru предлагает сравнение отечественных SIEM систем по 247 критериям, но формат «галочка есть / галочки нет» не отвечает на главный вопрос SOC-аналитика: увижу ли я конкретную атаку в этой системе. По данным исследования Positive Technologies и TAdviser, 97 из 100 опрошенных организаций уже используют какую-либо SIEM. Выбор - не «нужна ли SIEM», а «какая SIEM покрывает мои detection use cases и не генерирует тысячи ложных срабатываний».MaxPatrol SIEM обзор в большинстве публикаций ограничивается цифрой до 540 тысяч событий в секунду и упоминанием 700+ внедрений. Kaspersky KUMA SIEM описывают через интеграцию с хозяйством Kaspersky. Но ни один русскоязычный источник не разбирает, как выглядит процесс написания правила корреляции в каждой системе и чем принципиально отличаются подходы к детектированию угроз.
Ниже - то, чего нет в публичных сравнениях: архитектурные решения, влияющие на повседневную работу SOC, синтаксис правил корреляции событий безопасности и конкретные пробелы в детектировании техник ATT&CK.
Архитектура MaxPatrol SIEM и KUMA: что под капотом
Архитектура SIEM напрямую определяет, насколько больно будет масштабировать систему через год и сколько времени аналитик потратит на переключение между интерфейсами. Залезем внутрь обеих.
Компоненты и data flow MaxPatrol SIEM
MaxPatrol SIEM от Positive Technologies строится вокруг модульной архитектуры: ядро сбора (коллекторы), ядро корреляции (на языке XP), хранилище событий и модуль управления активами. Последнее ключевое отличие: MaxPatrol SIEM из коробки содержит полноценную модель активов, которая обогащает события контекстом об узлах инфраструктуры. По сути - встроенная CMDB. Аналитик видит не просто IP-адрес источника, а конкретный сервер с его ОС, установленным ПО и уровнем критичности.По данным Positive Technologies, коллекторы поддерживают более 300 источников и содержат тысячи правил нормализации (точное количество зависит от версии). Событие проходит цепочку: источник → коллектор (нормализация, обогащение из модели активов) → корреляционный движок (язык XP) → хранилище. Для хранения используется связка PostgreSQL (метаданные, активы, конфигурация) и специализированного хранилища событий.
Критичный нюанс из эксплуатации: при росте потока событий масштабирование хранилища требует внимательного планирования дискового пространства и политик ротации. Лично столкнулся с ситуацией, если на этапе пилота не заложить запас по хранению, через полгода ретроспективный поиск превращается в квест «а куда делись логи за февраль».
Архитектура KUMA в составе Kaspersky XDR
Kaspersky KUMA SIEM может работать как standalone-решение, так и в составе Kaspersky Next XDR Expert на базе платформы Kaspersky Open Single Management Platform (OSMP). Согласно официальной документации Kaspersky, архитектура включает:- OSMP (при XDR-развёртывании) - технологическая платформа, интегрирующая компоненты и обеспечивающая взаимодействие между ними
- KUMA Core - центральный компонент, который принимает и обрабатывает события ИБ, анализирует их с помощью правил корреляции
- KUMA Collector, Correlator, Storage - компоненты сбора, корреляции и хранения событий
- KUMA Console (и OSMP Console при XDR-развёртывании) - веб-интерфейсы для управления
- Incident Response Platform (только в составе XDR) - модуль управления жизненным циклом алертов и инцидентов, включая playbook-автоматизацию
- Administration Server (только в составе XDR) - управление endpoint-защитой
Хранение и масштабирование: практические отличия
MaxPatrol SIEM заявляет обработку до 540 000 EPS в типовой эталонной конфигурации (реальный EPS зависит от типа источников, политик нормализации и железа). KUMA, по данным производителя, обрабатывает сотни тысяч событий в секунду при низких системных требованиях. Цифры сопоставимы, но дьявол - в деталях.В MaxPatrol SIEM масштабирование обычно означает добавление коллекторов и расширение хранилища. Подход линейный и предсказуемый, но планировать инфраструктуру нужно заранее.
KUMA в версии 4.2 даёт больше гибкости: Metrics-сервис устанавливается на произвольный хост, бэкапы разделов можно делать по расписанию через веб-интерфейс, а холодные данные уходят в S3. Нюанс для тех, кто планирует контейнеризированное развёртывание: при миграции KUMA Core в Kubernetes-кластер система проверяет наличие Metrics-сервиса и останавливает процесс, если он не обнаружен. Узнаёшь об этом, как правило, в самый неподходящий момент.
| Параметр | MaxPatrol SIEM | KUMA |
|---|---|---|
| Заявленный EPS | до 540 000 на инсталляцию | Сотни тысяч |
| Хранилище событий | Специализированное | Собственный Storage + S3 (cold) |
| Модель активов | Встроенная (CMDB-like) | Через интеграцию с KSC |
| Контейнеризация | Частично | Kubernetes (с 4.2) |
| Бэкап через UI | Нет (CLI) | Да (с 4.2) |
Правила корреляции: PT Query Language против редактора KUMA
Правила корреляции - сердце любой SIEM. Именно здесь проявляется разница между «SIEM установлена» и «SIEM реально детектирует угрозы». MaxPatrol SIEM правила корреляции пишутся на специализированном языке XP, а для поиска по событиям используется PDQL. KUMA использует визуальный редактор с поддержкой сложной логики.Подход к написанию правил
В MaxPatrol SIEM правила корреляции пишутся на языке XP (eXtended Pattern), а для интерактивного поиска и построения дашбордов - PDQL (PT Query Language), декларативный язык запросов, напоминающий SQL. Правило описывает условия срабатывания через фильтрацию событий, агрегацию и временные окна. Для опытного SOC-аналитика - мощная штука: сложную логику можно выразить в нескольких строках. Обратная сторона - порог входа. Новый сотрудник SOC потратит недели на освоение синтаксиса, прежде чем начнёт писать кастомные правила.KUMA предлагает визуальный конструктор правил корреляции. Условия задаются через графический интерфейс: фильтры по полям событий, логические операторы, пороги срабатывания. Начиная с KUMA 4.0, появился тип правила periodical - периодическая корреляция для обнаружения аномальной активности учётных записей, работающая через компонент
correlator-ng. Фактически встроенный UEBA-детектор, не требующий отдельного продукта.Для пентестера, который хочет понять, как SOC видит его действия, ключевое различие вот в чём: язык XP позволяет строить очень гранулярные правила с точной привязкой к полям нормализованных событий, а PDQL - выполнять гибкий ретроспективный поиск. Визуальный редактор KUMA проще в освоении, но для нестандартных сценариев детектирования выразительности может не хватить. На практике это означает: если ваш SOC пишет правила под конкретные TTP из отчётов threat intelligence - XP + PDQL дают больше свободы. Если SOC работает в основном с готовым контентом - визуальный редактор KUMA экономит время.
Предустановленный контент из коробки
MaxPatrol SIEM поставляется с более чем 8000 правилами нормализации, покрывающими 310 источников. Подключаешь источник - он уже нормализуется без ручной работы. Точное количество источников и правил зависит от версии.KUMA в версии 4.0 предлагает структурированные пакеты правил корреляции, каждый заточен под конкретный сценарий. Согласно официальной документации Kaspersky:
- SOC Content - базовый набор правил для SOC
- KSC Package - мониторинг событий Kaspersky Security Center
- KSMG Package - правила для Kaspersky Secure Mail Gateway
- KATA Package - интеграция с Kaspersky Anti Targeted Attack
- Network Package - сетевые правила
- PCIDSS Package - правила для соответствия PCI DSS
- UEBA Package - поведенческая аналитика
- XDR Package - расширенные правила для XDR-сценариев
Автоматическое подавление шумных правил
Одна из болей любого SOC - правило, которое внезапно начинает генерировать тысячи алертов из-за легитимного изменения в инфраструктуре. Знакомо: утром приходишь - а в очереди 40 000 алертов от одного правила, потому что кто-то ночью обновил GPO. В MaxPatrol SIEM эту проблему решают ручной настройкой порогов и исключений.KUMA в пакете SOC_package пошла другим путём - автоматическое подавление. Механика задокументирована: если правило срабатывает более 100 раз за 1 минуту и такое поведение повторяется минимум 5 раз за 10 минут, правило попадает в стоп-лист. При первом попадании - отключение на 1 час, при повторном - на 24 часа, далее - на 7 дней. Логика реализована через ресурсы в директории
SOC_package/System/Rule disabling by condition.Для включения/выключения используется параметр
enable в словаре SOC_package/Integration/Rule disabling configuration: значение 1 - включено (по умолчанию), 0 - выключено.Решение элегантное, но с подводным камнем, о котором почему-то молчат: атакующий, знающий эту механику, может намеренно генерировать шум на одном правиле, чтобы оно попало в стоп-лист, и затем провести реальную атаку. Это близко к технике Impair Defenses (T1562, Defense Evasion), конкретно к подтехнике T1562.006 (Indicator Blocking) - атака на саму логику детектирования. Если у вас включено автоподавление - подумайте, как вы будете ловить такой сценарий.
Детектирование техник MITRE ATT&CK: слепые пятна обеих систем
Для пентестера самый ценный раздел - не архитектура, а конкретные detection gaps. Разберём несколько техник и то, как каждая система их видит (и где не видит).
Valid Accounts (T1078): использование легитимных учёток
Valid Accounts (T1078) - техника, актуальная сразу для четырёх тактик: Initial Access, Defense Evasion, Persistence и Privilege Escalation. Атакующий использует скомпрометированные, но валидные учётные данные. Самый неприятный сценарий для SOC - потому что формально всё легитимно.MaxPatrol SIEM с его встроенной моделью активов здесь имеет преимущество: система знает, какие учётки привязаны к каким хостам, и может детектировать аномальный вход - например, доменную учётку, которая никогда не логинилась на конкретный сервер. Правило строится через язык корреляции XP с привязкой к таблице активов.
В современных версиях KUMA (4.x) доступен пакет UEBA Package и periodical-правила через
correlator-ng, которые анализируют поведение учётных записей и генерируют алерты при обнаружении аномальной активности. В Kaspersky Next XDR Expert 2.0 добавился AI-анализ поведения аккаунтов с автоматическими алертами при подозрении на компрометацию.На практике обе системы требуют интеграции с Active Directory для полноценного покрытия T1078. Без корректного маппинга событий 4624/4625/4768/4769 из AD ни одна из систем не даст надёжного детектирования. Я видел пилоты, где про маппинг забывали - и потом удивлялись, почему lateral movement проходит незамеченным.
Brute Force (T1110) и очистка логов (T1070.001)
Brute Force (T1110, Credential Access) - классика, которую обе системы детектируют из коробки. В KUMA для этого есть готовые правила в SOC Content Package. Официальное видео Kaspersky демонстрирует создание правила корреляции именно на примере brute force - пороговое правило, считающее количество неудачных попыток аутентификации за временное окно.MaxPatrol SIEM покрывает этот сценарий через предустановленные правила с настраиваемыми порогами. Преимущество - интеграция с моделью активов позволяет задать разные пороги для разных типов систем (5 попыток для веб-приложения, 3 для контроллера домена).
Clear Windows Event Logs (T1070.001, Defense Evasion) - атакующий очищает журналы Windows, чтобы скрыть следы. Здесь всё зависит от того, как быстро события уходят в SIEM. Если коллектор забирает логи с задержкой (pull-модель с интервалом) - атакующий успевает очистить журнал до сбора. При push-модели (WEF/Syslog в реальном времени) событие очистки (Event ID 1102) уже в SIEM, и правило корреляции срабатывает мгновенно.
Обе системы детектируют событие 1102, но для MaxPatrol SIEM рекомендуется агентский сбор или Windows Event Forwarding для минимизации задержки. KUMA подключается к источникам через Syslog, CEF, API и Kafka-коннектор (с SCRAM-SHA-256/512 авторизацией начиная с версии 4.2).
Defense Evasion: отключение инструментов защиты (T1562.001)
Disable or Modify Tools (T1562.001, Defense Evasion) - атакующий отключает антивирус, EDR или сам агент SIEM. Критический сценарий: если агент сбора событий остановлен, SIEM перестаёт видеть хост. Пустые логи — не значит, что всё в порядке; скорее, наоборот.В MaxPatrol SIEM детектирование строится на мониторинге heartbeat-сигналов от агентов: если агент замолчал - генерируется алерт. Дополнительно можно коррелировать события остановки служб (Event ID 7036) с контекстом - если служба антивируса остановлена не из-под учётки администратора безопасности, это инцидент.
KUMA в связке с Kaspersky Endpoint Security получает телеметрию о состоянии защиты через KSC (Kaspersky Security Center). Если endpoint-агент отключён или его политика изменена - KSC генерирует событие, которое KUMA обрабатывает через KSC Package. Видимость глубже, но только для инфраструктуры с Kaspersky на конечных точках.
Слепое пятно обеих систем: Security Software Discovery (T1518.001, Discovery) - когда атакующий просто перечисляет установленные средства защиты без их отключения. Разведывательная активность практически невидима для SIEM, потому что генерирует легитимные события (WMI-запросы, чтение реестра). Детектирование требует EDR-телеметрии, а не только логов. На пентестах мы регулярно используем
wmic /namespace:\\root\SecurityCenter2 path AntiVirusProduct get displayName - и SIEM молчит.Интеграции и экосистема: PT-стек против Kaspersky-стека
Выбор SIEM для SOC - это выбор всего зоопарка. Обе системы максимально эффективны внутри стека своего вендора.MaxPatrol SIEM интегрируется с PT Network Attack Discovery (NAD), PT Sandbox, MaxPatrol VM и PT Application Firewall. Analyst experience реализуется через единое окно: аналитик видит связанные события, проверяет файлы и реагирует без переключения между консолями. Для сторонних источников - стандартные протоколы (Syslog, CEF, SNMP).
KUMA интеграции сильнее всего внутри хозяйства Kaspersky: Kaspersky Endpoint Security, Kaspersky Anti Targeted Attack Platform (KATA), Kaspersky Secure Mail Gateway (KSMG), Kaspersky Security Center (KSC). Для каждого продукта - отдельный пакет правил корреляции. С версии 4.2 появился universalAPI-коннектор для получения данных из произвольных REST API с поддержкой JSON, фильтрации по ID и итерационного режима - это серьёзно расширяет возможности подключения сторонних источников.
Для организаций, которые уже используют Kaspersky на эндпоинтах, KUMA даёт синергию без дополнительных интеграций. Для гетерогенных сред с разными вендорами на конечных точках MaxPatrol SIEM может оказаться удобнее благодаря более широкому покрытию источников из коробки (300+ источников с тысячами правил нормализации, точное число зависит от версии).
Соответствие требованиям ФСТЭК и ГосСОПКА
Обе системы включены в реестр российского ПО и имеют действующие сертификаты ФСТЭК России (актуальный уровень доверия - проверяйте в реестре сертифицированных СЗИ ФСТЭК на fstec.ru), что позволяет применять их в государственных ИС и информационных системах коммерческого сектора соответствующего класса.В контексте ФЗ-187 о безопасности КИИ обе системы поддерживают взаимодействие с ГосСОПКА (НКЦКИ) - критично для субъектов критической информационной инфраструктуры, где сроки уведомления о компьютерных инцидентах составляют от 3 до 24 часов в зависимости от категории.
Для соответствия ФЗ-152 о персональных данных обе системы обеспечивают аудит действий с ПДн через сбор и корреляцию событий из ИСПДн. KUMA дополнительно предлагает пакет PCIDSS Package - набор правил корреляции для соответствия стандарту PCI DSS, что актуально для организаций, работающих с международными платёжными системами (для российских банков более релевантны требования ЦБ по ГОСТ Р 57580.1).
С точки зрения NIST CSF v2.0, обе системы покрывают функцию DE (Detect) - подкатегорию DE.AE-01 (установление базовых линий сетевых операций и ожидаемых потоков данных), а также RS.AN-01 (расследование уведомлений от систем детектирования).
Сводная таблица: MaxPatrol SIEM vs KUMA отличия
| Критерий | MaxPatrol SIEM | KUMA |
|---|---|---|
| Производитель | Positive Technologies | Лаборатория Касперского |
| Год выхода | 2015 | 2021 |
| Язык правил корреляции | XP (корреляция) + PDQL (поиск) | Визуальный редактор + correlator-ng |
| EPS (заявленный) | до 540 000 (эталонная конфигурация) | Сотни тысяч |
| Источники из коробки | 300+ (зависит от версии) | Меньше, но пакетная модель |
| Правила нормализации | Тысячи (зависит от версии) | В составе пакетов |
| Модель активов | Встроенная | Через KSC |
| UEBA | Через правила корреляции + PDQL | Нативно (UEBA Package + periodical rules) |
| AI-функции | В развитии | AI-анализ аккаунтов (XDR 2.0) |
| Автоподавление правил | Ручное | Автоматическое (SOC_package) |
| Cold storage | Требует проектирования | Storage → S3 |
| Kubernetes | Частично | Да (с 4.2) |
| Сертификат ФСТЭК | Есть (см. реестр ФСТЭК) | Есть (см. реестр ФСТЭК) |
| Лицензирование | Подписка (активы + EPS) | Подписка |
| Внедрений | 700+ | Быстрорастущий enterprise-сегмент |
Когда выбрать MaxPatrol SIEM, а когда KUMA
Импортозамещение SIEM - не вопрос «какой продукт лучше», а вопрос «какой продукт лучше для вашего SOC». Конкретные сценарии из практики.MaxPatrol SIEM - ваш выбор, если:
- В инфраструктуре гетерогенная среда с десятками типов источников, и вам критичны 300+ готовых коннекторов (зависит от версии)
- Вы строите SOC с нуля и хотите встроенную модель активов без отдельной CMDB
- В команде есть аналитики, готовые писать на XP и PDQL - выразительность этих языков окупится на сложных detection use cases
- Организация уже использует MaxPatrol VM или PT NAD - синергия в рамках PT-стека
- На конечных точках уже развёрнут Kaspersky Endpoint Security - интеграция через KSC даёт глубокую телеметрию без дополнительных коннекторов
- Нужна контейнеризация SIEM в Kubernetes
- Команда SOC менее опытна и визуальный конструктор правил снизит порог входа
- Нужен готовый UEBA без отдельного продукта - periodical rules в correlator-ng покрывают базовые поведенческие сценарии
- Планируется XDR - KUMA нативно входит в Kaspersky Next XDR Expert
Вопрос к читателям
Разобрали архитектуру и корреляцию обеих SIEM, но один сценарий остался за кадром: детектирование Log Enumeration (T1654, Discovery), когда атакующий читает журналы целевой системы для разведки. В MaxPatrol SIEM это можно ловить через правило корреляции (XP) на аномальные вызовыwevtutil или Get-WinEvent с нетипичных хостов. В KUMA - через кастомное правило в SOC Content с фильтром по CommandLine.У кого в боевом SOC уже работает детект на T1654 - каким источником событий вы его закрываете: Sysmon EventID 1, штатный аудит Windows 4688 с расширенным логированием командной строки или EDR-телеметрия? Покажите фильтр из вашего правила корреляции - интересно сравнить подходы.
Последнее редактирование модератором:
