KUMA SIEM · Community Edition · GitHub 2024–2026

KUMA
Community
Репозиторий

Плагины, скрипты и инструменты от сообщества специалистов по ИБ

37+ Репозиториев

6 Категорий

Python Язык №1

MIT Лицензия

KUMA Community — это неофициальный открытый репозиторий, созданный командой пресейл Kaspersky и активными пользователями SIEM-системы KUMA. Цель — централизованно собирать полезные скрипты, интеграции, контент и утилиты, которых нет в официальном продукте.

Все материалы предоставляются «как есть», рассчитаны на продвинутых пользователей и не являются официально поддерживаемыми Kaspersky.

Telegram-сообщество: t.me/kumasiem
База знаний: kb.kuma-community.ru

🔌

          Интеграции с экосистемой
          OpenCTI, Kaspersky MDR, R-Vision SOAR, KATA, Telegram — готовые коннекторы
        

⚡

          Автоматизация рутины
          Скрипты для сбора логов, управления активами, бэкапа данных
        

📦

          Готовый контент
          Правила корреляции, нормализаторы, дашборды — устанавливай и используй
        

🛠

          Инструменты для разработчиков
          API-библиотека, шифрование пакетов, переводчик контента
        

// 01

📦 Контент: правила и нормализаторы

Готовые к импорту пакеты для наполнения KUMA детектирующей логикой

📦

Пакет ресурсов ⭐ ПОПУЛЯРНОЕ

kuma_content

Самый популярный репозиторий сообщества. Содержит готовые правила корреляции и нормализаторы для KUMA, охватывающие широкий спектр источников событий — от Windows и Linux до сетевого оборудования.

💡 Экономит сотни часов разработки собственного контента. Просто импортируй пакет — и детектирование работает. Идеально для быстрого старта.

★ 6 звёзд · 2 форка · MIT

🔔

Пакет ресурсов

kuma_taa_alert

Пакет ресурсов для создания в KUMA алертов от Kaspersky Anti Targeted Attack (KATA/TAA). Реализует кейс получения алертов из KATA прямо в KUMA.

💡 Связывает два продукта Kaspersky в единый SOC-процесс: выявление продвинутых угроз в KATA автоматически создаёт инциденты в KUMA.

★ MIT

📋

Пакет ресурсов

kuma_auditd_multiline_wa

Пакет ресурсов для корректной обработки многострочных событий auditd в KUMA. Решает типичную проблему: auditd генерирует связанные записи в несколько строк, которые KUMA должна агрегировать в одно событие.

💡 Без этого воркэраунда часть полей Linux-аудита теряется. С ним — вы получаете полные структурированные события для корреляции.

★ Агрегация · Нормализация

// 02

🔌 Интеграции с внешними системами

Коннекторы, которые расширяют KUMA за пределы её штатных возможностей

🌐

Python 🆕 НОВОЕ

KumaOpenctiLookupProxy

Интеграция OpenCTI ↔ KUMA через прокси на REST API. Автоматически проверяет IoC из событий безопасности в платформе киберразведки OpenCTI и обогащает данные прямо в рабочем процессе SOC.

💡 Аналитик получает контекст угрозы не выходя из KUMA: является ли IP/домен/хеш известным индикатором атаки — ответ в пару секунд.

★ Обновлено: апрель 2026

🛡

Python

MDR-integrations

Инструмент для интеграции сторонних систем с Kaspersky Managed Detection and Response (MDR) Console. Позволяет подключить к MDR другие SIEM или корпоративные платформы.

💡 Полезно для организаций, использующих managed-сервис Kaspersky MDR параллельно с KUMA — позволяет унифицировать поток инцидентов.

★ The Unlicense

🤖

Python MIT

kuma_soar_integration

Интеграция KUMA SIEM с несколькими инсталляциями R-Vision SOAR одновременно. Поддерживает мультиtenant-сценарии, когда один SIEM обслуживает несколько площадок с разными SOAR.

💡 Закрывает часто запрашиваемый кейс: алерты из KUMA автоматически порождают инциденты в R-Vision SOAR и запускают плейбуки реагирования.

★ MIT · 1 форк

📲

Python MIT

kuma_telebot

Telegram-бот для KUMA: уведомляет об алертах и позволяет выполнять базовые действия с SIEM прямо из мессенджера. Поддерживает команды для просмотра и подтверждения алертов.

💡 Не нужно постоянно держать открытым веб-интерфейс KUMA — важные алерты приходят туда, где аналитик точно их увидит.

★ 2 · MIT

📡

Python

kuma_getLogsAPI_GUI

GUI-приложение для получения логов из различных систем по API и последующей отправки их в KUMA через TCP-сокет. Работает как универсальный адаптер для источников без штатного коллектора.

💡 Позволяет подключить к KUMA любой продукт с REST API без написания кода — достаточно настроить параметры в интерфейсе.

★ 1 · 1 форк

// 03

⚡ Автоматизация и управление активами

Скрипты для снижения ручного труда операторов KUMA

🖥

Shell

kuma_auditd

Скрипт для автоматической настройки отправки событий с Linux-хостов в KUMA через auditd. Разворачивает нужную конфигурацию аудита одной командой.

💡 Вместо ручной настройки auditd.rules на каждом сервере — единый скрипт, который можно распространить через Ansible или групповую политику.

★ Shell

🏠

Python MIT

kuma_auto_asset_add

Скрипт автоматического добавления активов из событий в базу активов KUMA. Анализирует поступающие события и создаёт записи об активах без участия оператора.

💡 Инвентаризация инфраструктуры «на лету»: KUMA сама заполняет реестр активов по мере того, как с хостов приходят события.

★ MIT · 2 форка

🔍

Shell MIT

kuma_vuln_report_auto

Автоматизирует добавление активов с уязвимостями в KUMA. Разбирает отчёты сканера уязвимостей и загружает результаты в контекст активов SIEM.

💡 Связывает результаты Vulnerability Management с SIEM: аналитик видит алерт + понимает, уязвим ли затронутый хост к известным CVE.

★ Shell · 1 форк

🗄

Python

KUMA-sqlite-to-table

Экспортирует учётные записи из локальной SQLite-базы и автоматически загружает CSV-файл в словарь KUMA через REST API. Полезно для синхронизации справочников пользователей.

💡 Позволяет подтягивать данные из любой локальной БД в контекстные таблицы KUMA для обогащения событий.

★ Python · 1 форк

📤

Python MIT

redcheck-tool

Скрипт для импорта активов из отчётов российского сканера уязвимостей RedCheck в KUMA. Разбирает XML-отчёт и создаёт/обновляет активы через API.

💡 Интеграция с популярным отечественным сканером, которой нет в коробке — теперь данные RedCheck видны в контексте SIEM-расследований.

★ MIT · 1 форк

🗂

Python

kuma-assets-archiver

Скрипт для архивации активов KUMA. Выгружает данные об активах и сохраняет их в архивный формат для долгосрочного хранения или переноса между инсталляциями.

💡 Решает задачу резервного копирования реестра активов — стандартными средствами KUMA это трудозатратно.

★ Python

// 04

💾 Управление данными и бэкап

Инструменты для работы с хранилищем событий KUMA (ClickHouse) и конфигурацией

💽

Shell

kuma_save_partition

Скрипт сохранения партиций из локального хранилища KUMA на основе ClickHouse. Позволяет переносить или архивировать исторические данные событий по временным партициям.

💡 Критически важно при нехватке дискового пространства или при переносе KUMA: можно выгрузить «старые» партиции с данными и восстановить при необходимости.

★ Shell · 1 форк

📊

Shell

kuma_dash_preset

Скрипт импорта и экспорта дашбордов, пресетов поиска и сохранённых запросов для KUMA. Позволяет переносить визуальную конфигурацию между инсталляциями одной командой.

💡 Незаменим при обновлении или миграции KUMA: все дашборды и сохранённые запросы аналитиков можно перенести за минуты.

★ Shell · 1 форк

🔐

Python

kuma_packages_encryption

Инструмент для шифрования и дешифрования пакетов ресурсов KUMA. Позволяет работать с зашифрованными .kuma-пакетами: инспектировать содержимое, модифицировать и запаковывать обратно.

💡 Открывает возможности для кастомизации пакетов и глубокого понимания структуры контента KUMA — важно для разработчиков правил.

★ 1 · 2 форка

// 05

🌍 Обогащение данных и геолокация

Утилиты для добавления контекста к событиям KUMA

🗺

Go 🔥 15 форков

mmdb2kuma

Конвертер базы данных MaxMind GeoIP (формат .mmdb) в CSV-формат, пригодный для загрузки в KUMA в качестве источника геолокации. Поддерживает базы City и Country, вывод на русском и английском языках.

💡 KUMA требует специфический формат GeoIP-таблиц. Этот инструмент — единственный простой способ использовать бесплатные базы MaxMind GeoLite2 в KUMA. Самый востребованный инструмент сообщества (15 форков).

★ Go · Apache 2.0 · 15 форков

🔎

Python MIT

tracer

Утилита обогащения данными для KUMA, работающая по принципу аналогичному Kaspersky CyberTrace. Позволяет проверять IoC (IP, домены, хеши) по внешним фидам без покупки CyberTrace.

💡 Open-source альтернатива CyberTrace для проверки индикаторов компрометации — особенно актуально для организаций с ограниченным бюджетом.

★ MIT · 1 форк

// 06

🛠 Инструменты разработчика

Для тех, кто создаёт собственный контент и автоматизирует работу с KUMA API

📚

Python MIT

kapi

Python-библиотека для работы с KUMA REST API. Предоставляет удобные классы и методы для автоматизации операций с KUMA из собственного кода или скриптов.

💡 Основа для разработки любых собственных интеграций и скриптов — избавляет от написания бойлерплейт-кода для HTTP-запросов к KUMA.

★ 1 · MIT · 3 форка

🖱

Python MIT

kuma_pomogator

Python-сервис с веб-интерфейсом для выполнения операций с KUMA через REST API без написания кода. Своего рода GUI-обёртка над API KUMA для типовых задач администрирования.

💡 Для операторов, которым нужна автоматизация, но не хочется писать скрипты: открываешь браузер, жмёшь кнопки — операции выполняются через API.

★ 3 · MIT · 1 форк

📐

Python MIT

mapping_extractor

Извлекает маппинги полей из нормализаторов KUMA и записывает их в файл Excel (.xlsx). Позволяет увидеть, какие поля из какого источника во что нормализуются в KUMA.

💡 Незаменим при документировании нормализаторов или при отладке правил корреляции: сразу видно, как называется нужное поле в схеме KUMA.

★ 2 · MIT · 2 форка

🌍

Python MIT

kuma_resource_translator

Автоматически переводит кириллические строки в JSON-файлах ресурсов KUMA на английский язык. Полезно для подготовки контента к публикации или использованию в международных командах.

💡 Создан комьюнити на русском языке — но международные команды теперь могут пользоваться переведёнными версиями правил и нормализаторов.

★ MIT · 1 форк

🐍

Python MIT

community_pack_mapping

Скрипт для миграции правил сообщества на новый формат маппинга, добавленный в KUMA версии 3.2. Помогает обновить существующий контент комьюнити без ручного редактирования.

💡 При обновлении KUMA до 3.2+ скрипт автоматически конвертирует старый контент — не нужно переписывать сотни правил вручную.

★ MIT

🔌

JavaScript

kuma-improver

Chrome-расширение, которое находит на странице KUMA сырое событие и позволяет отправить пожелание на доработку нормализатора на указанный email прямо из интерфейса SIEM.

💡 Упрощает процесс обратной связи по качеству нормализации: аналитик видит «плохое» событие — одним кликом отправляет баг-репорт разработчику нормализатора.

★ JavaScript · 1 форк

🔄 Как инструменты комьюнити вписываются в SOC-процессы

🖥

Источники событий

Linux, Windows, сеть

→

⚙️

Сбор и нормализация

kuma_auditd · kuma_content

→

🔍

Обогащение

mmdb2kuma · tracer · OpenCTI

→

🚨

Корреляция и алерты

KUMA Core · kuma_taa_alert

→

📲

Нотификации и SOAR

telebot · soar_integration