Комментарии 15
OSMP (он же KSC) - Open Single Management Platform (Kaspersky Security Center) - это не система управления фаерволлами. Это - центр управления продуктами ЛК. Сейчас с его помощью управляются агенты KES* (endpopoint security) и XDR (eXtended Detect & Response). Насколько я понимаю, чистого KSC в природе нет и в пилоте должен был быть XDR и NGFW не только управляется из KSC но и интегрируется с сами уже развернутым внутри XDR сливая туда логи для анализа. То есть получается комплекс сетевой безопасности из NGFW + XDR и оба они управляются из зонтика KSC(OSMP).
"Я работаю в касперском. У нас есть продукт. Что особенно порадовало..."
Это пятт
Очень похоже на продукцию палоальто - конфигурационный ад. Они собирались прикрутить специальную нейронку, чтобы все конфиги единою волей сковать. Очень вам рекомендую эту идею импортозаместить.
А что здесь next?
Похоже на старый добрый l4 firewall + ips с регулярками.
Интересно как в таком журнале SQL-ем искать активные сессии по этим столбцам? Судя по select * - это же все?
А как вы тестировали отказоустойчивость?
Как минимум, возможность указывать L7 квалификаторы в самом фаерволе.
Этот фаервол обладает многими признаками NGFW. Это и app фильтрация, и IDPS, а также антивирус, идентификация пользователей и т.д. Но у меня не было цели перепроверить абсолютно весь заявленный функционал. Пилот этого и не подразумевает. Мы внедрили фаервол в свою инфраструктуру и проверили наличие и работу тех функций, которые используются на фаерволах в нашей инфраструктуре. Также, если бы я описывала каждый сценарий, то текст бы получился слишком длинным и скучным. Поэтому, по моей статье, набор фич, наверное, кажется скудноватым
Менеджер сессий тоже имеется, но это отдельный раздел, в нем можно не только смотреть активные сессии, но и сбрасывать, например. Там есть как обычный текстовый (не SQL) фильтр, так и графический.
Что касается отказоустойчивости, то, к сожалению, как я писала, кластера у нас не было на тот момент, но скоро планируем тестить. А искусственно дёргать компоненты, DoS'ить или перезапускать системные сервисы в standalone конфигурации в проде не хотелось (хотя очень хотелось :)). Но, думаю, в лабораторных условиях подобные экзекуции нашими разработчиками проводились ещё на этапе выбора железа.
Это как раз всё признаки UTM (Unified Threat Management).. В чём же истинное отличие NGFW - у нас ещё пока так и не поняли..
А почему этот NGFW пишет в журнале событий, что не знает что за приложение ходит по UDP по 53 порту? Это видно на скриншоте - там написано Unknown. Что там еще у вас такое ходит, кроме DNS в корпоративной сети?
Все время забываю про то как иб любит кнопочки.
Поиск событий в логах через SQL запросы - а зачем так сделали?
По словам разработчиков, поиск событий в логах через SQL запросы - это часть стандартного функционала OSMP платформы, он заехал из KUMA. Но UX тесты уже показали, что для админов NGFW это сложноватая форма работы с событиями, поэтому RnD работает над тем, чтобы журналы были для нас более привычны, планируется, что этот апдейт будет реализован в 2026 г.
Как я пилотировала Kaspersky NGFW и что из этого вышло