DNS-обогащение
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/217863.htm
Обогащение DNS
- DestinationHostName -> DestinationAddress
- DeviceHostName -> DeviceAddress
- SourceHostName -> SourceAddress
А также преобразовывать адреса в доменные имена для следующих полей:
- DestinationAddress -> DestinationHostName
- DeviceAddress -> DeviceHostName
- SourceAddress -> SourceHostName
Важный момент, DNS обогащение работает только для серых сетей
- KUMA резолвит server.example.com в 192.168.1.1 и получает TTL этой записи (от DNS сервера получает) 3600 сек например
- добавляет себе это в кеш
- как только время хранения записи в кеше достигает TTL/2 = 1800 сек, то KUMA сама идет в DNS сервер и обновляет закешированную запись
- те 60 сек которые мы выставляем - это время хранения записей, которые не обновлены с DNS - например server.example.com больше не существует
Поле настройки URL - не обязательно. Если оставить пустым, то при обогащении будут использоваться системные настройки сервера. Соответственно, если DNS в ОС серверов коллекторов разные - то и обогащение будет разное
Настройка на стороне KUMA
Для повышения прозводительности, можно изменять число рабочих процессов коллектора (1 шаг настройки) / самого правила обогащения (для асинхронных задач эффективнее работа)
В разделе Ресурсы - Правила Обогащения создаем новое правило, ниже пример типового обогащения для DNS:
Далее нужно созданное правило выше закрепить в коллекторе в чати обогащения.