# DNS-обогащение

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

<p class="callout info">Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/KUMA/3.2/ru-RU/217863.htm](https://support.kaspersky.com/KUMA/3.2/ru-RU/217863.htm)</p>

### <iframe allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen="allowfullscreen" frameborder="0" height="315" src="https://www.youtube.com/embed/es0nC-YvZwc?si=4A7G3FrZtPNy91Ap" title="YouTube video player" width="560"></iframe>



### Обогащение DNS

<div id="bkmrk-dns-%D0%BE%D0%B1%D0%BE%D0%B3%D0%B0%D1%89%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BF%D0%BE%D0%B7%D0%B2%D0%BE">DNS обогащение позволяет преобразовывать доменные имена в адреса для следующих полей:</div><div id="bkmrk-destinationhostname-">- DestinationHostName -&gt; DestinationAddress
- DeviceHostName -&gt; DeviceAddress
- SourceHostName -&gt; SourceAddress

</div>А также преобразовывать адреса в доменные имена для следующих полей:

- DestinationAddress -&gt; DestinationHostName
- DeviceAddress -&gt; DeviceHostName
- SourceAddress -&gt; SourceHostName

<div id="bkmrk--1"></div><p class="callout warning">Важный момент, DNS обогащение работает только для серых сетей</p>

<p class="callout warning">Обогащение происходит если: целевые поля пустые и если резолвится PTR из IP, то будут резолвиться только серые IP</p>

<div id="bkmrk--2"></div><div id="bkmrk-%22cache-ttl%22-%D0%B2-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE">"Cache TTL" в настройках DNS Обогащения (Дефолтовое значение 60 сек), работает следующим образом:</div><div id="bkmrk-kuma-%D1%80%D0%B5%D0%B7%D0%BE%D0%BB%D0%B2%D0%B8%D1%82-server">- KUMA резолвит server.example.com в 192.168.1.1 и получает TTL этой записи (от DNS сервера получает) 3600 сек например
- добавляет себе это в кеш
- как только время хранения записи в кеше достигает TTL/2 = 1800 сек, то KUMA сама идет в DNS сервер и обновляет закешированную запись
- те 60 сек которые мы выставляем - это время хранения записей, которые не обновлены с DNS - например server.example.com больше не существует

</div><p class="callout info">Поле настройки URL - не обязательно. Если оставить пустым, то при обогащении будут использоваться системные настройки сервера. Соответственно, если DNS в ОС серверов коллекторов разные - то и обогащение будет разное</p>

<p class="callout info">Если событие с адресом [127.0.0.1](http://127.0.0.1/), то можно перед DNS обогащением в коллекторе в парсинге добавить затирание deviceAddress, если оно равно [127.0.0.1](http://127.0.0.1/), тогда обогащение DNS должно произойти</p>

<div id="bkmrk--3"></div>---

### Настройка на стороне KUMA

<p class="callout warning">Для повышения прозводительности, можно изменять число рабочих процессов коллектора (1 шаг настройки) / самого правила обогащения (для асинхронных задач эффективнее работа)</p>

В разделе **Ресурсы - Правила Обогащения** создаем новое правило, ниже пример типового обогащения для DNS:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/hK8image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/hK8image.png)

Далее созданное правило обогащения выше необходимо закрепить в коллекторе в части обогащения.