# GeoIP-обогащение (Геоданными)

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

<p class="callout info">Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/KUMA/3.2/ru-RU/233257.htm](https://support.kaspersky.com/KUMA/3.2/ru-RU/233257.htm) </p>

<p class="callout info">Скачанная и конвертированная база (IP2Location) - [https://box.kaspersky.com/d/c77609e6f5bd463b8f56/](https://box.kaspersky.com/d/c77609e6f5bd463b8f56/) </p>

<p class="callout info">Конвертация mmdb файла базы в CSV для KUMA - [https://github.com/KUMA-Community/mmdb2kuma](https://github.com/KUMA-Community/mmdb2kuma) </p>

<p class="callout info">Российская база (требуется регистрация) - [https://geoip.noc.gov.ru/](https://geoip.noc.gov.ru/) </p>

### Скачивание БД

#### IP2Location

<div id="bkmrk-%D0%A7%D1%82%D0%BE%D0%B1%D1%8B-%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%B1%D0%B0%D0%B7%D1%8B-%D0%BD">Чтобы скачать базы необходимо зарегистрироваться. После регистрации и входа на сайт переходим по ссылке: [https://lite.ip2location.com/database-download](https://lite.ip2location.com/database-download) </div><div id="bkmrk-%D0%98-%D0%B2%D1%8B%D0%B1%D0%B8%D1%80%D0%B0%D0%B5%D0%BC-%D0%BD%D1%83%D0%B6%D0%BD%D1%83%D1%8E-%D0%BD%D0%B0">И выбираем нужную нам БД (есть для ipv4 и ipv6) и скачиваем.</div>[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/bkhimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/bkhimage.png)

#### MAXMIND

<div id="bkmrk-%D0%A1%D0%BA%D0%B0%D1%87%D0%B8%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%91%D0%94-%D1%82%D0%B0%D0%BA%D0%B6%D0%B5-">Скачивание БД также доступно после регистрации. Также при регистрации проверяется соответствие выбранной странны и ip, с которого вы регистрируетесь. При этом при выборе страны отсутствует Россия. Возможно проблему можно решить через VPN.</div><div id="bkmrk--1">  
</div>---

### Конвертация БД

<div id="bkmrk--3"></div><div id="bkmrk-%D0%9F%D0%B5%D1%80%D0%B5%D0%B4-%D0%B8%D0%BC%D0%BF%D0%BE%D1%80%D1%82%D0%BE%D0%BC-%D0%B1%D0%B0%D0%B7%D1%8B-">Перед импортом базы ее необходимо конвертировать в формат, понятный KUMA. Для конвертации данных используется скрипт. Актуальный скрипт и команды запуска тут: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/233259.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/233259.htm) </div><div id="bkmrk--4">  
</div><div id="bkmrk-%D0%92-%D0%BF%D1%80%D0%BE%D1%81%D1%82%D0%B5%D0%B9%D1%88%D0%B5%D0%BC-%D1%81%D0%BB%D1%83%D1%87%D0%B0%D0%B5-">В простейшем случае команда запуска выглядит так: </div><div id="bkmrk--5"></div>```powershell
python converter.py --type ip2location --input IP2LOCATION-LITE-DB11.CSV.ZIP --out geoip_ip2location.csv
```

<div id="bkmrk-%D0%9F%D0%BE%D1%81%D0%BB%D0%B5-%D0%B7%D0%B0%D0%BF%D1%83%D1%81%D0%BA%D0%B0-%D0%BD%D1%83%D0%B6%D0%BD%D0%BE-">После запуска нужно подождать 20-30 сек и в случае успешной конвертации получим файл CSV:</div>[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/9c0image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/9c0image.png)

<div id="bkmrk--7"></div>---

### Загрузка БД в KUMA

<div id="bkmrk-%D0%97%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D0%BA%D0%B0-%D0%91%D0%94-%28%D0%BF%D1%80%D0%B5%D0%B4%D0%B2%D0%B0%D1%80">Загрузка БД (предварительно сконвертированной скриптом!) осуществляется по пути: **Settings - Common - GeoIP settings - Import from file**</div>[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/a72image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/a72image.png)

<div id="bkmrk-%D0%9F%D0%BE%D1%81%D0%BB%D0%B5-%D0%B4%D0%BE%D0%B1%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-%D0%91%D0%94-">После добавления БД необходимо перезапустить все сервисы, где настроено обогащение по GeoIP (при выполнении тестов было достаточно выполнить reload, а не restart)</div><div id="bkmrk--10">  
</div>[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/tIQimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/tIQimage.png)

<p class="callout warning">При импорте нового файла с данными GeoIP ранее добавленные данные перезапишутся (с созданием события аудита). Поэтому если нужно внести незначительные изменения для кастомизации сопоставления рекомендуется скачать текущую БД из интерфейса KUMA, после чего внести туда изменения и подгрузить обратно.</p>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/6lNimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/6lNimage.png)

---

### Обогащение GeoIP

<div id="bkmrk-%D0%92-%D0%BF%D0%BE%D0%BB%D0%B5-source-kind-%D0%B2">- В разделе **Ресурсы - Правила Обогащения** создаем новое правило
- В поле Source kind выбираем geographic data
- В поле Mapping geographic data to event fields выбираем поле события KUMA, в котором присутствует нужный для обогащения ip-адрес
- Здесь же выбираем Geodata attribute и соответствующее поле события KUMA Event field to write to
- Для GeoIP добавлены новые поля событий, но можно использовать любые

</div>[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/NWFimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/NWFimage.png)

<div id="bkmrk--15">  
</div><div id="bkmrk-%D0%A1%D0%BE%D0%BF%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BF%D0%BE-%D1%83%D0%BC%D0%BE">Сопоставление по умолчанию доступно, если в качестве источника IP выбрано одно из полей событий SourceAddress, DestinationAddress и DeviceAddress. </div><div id="bkmrk--16"></div><div id="bkmrk-%D0%9F%D1%80%D0%B8-%D0%B2%D1%8B%D0%B1%D0%BE%D1%80%D0%B5-%D0%B4%D1%80%D1%83%D0%B3%D0%B8%D1%85-%D0%BF%D0%BE">При выборе других полей в качестве источника сопоставление по умолчанию не доступно.</div><div id="bkmrk--17">  
</div>[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/AUpimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/AUpimage.png)

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/t18image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/t18image.png)

<div id="bkmrk-%D0%9F%D1%80%D0%B8%D0%BC%D0%B5%D1%80-%D1%82%D0%BE%D0%B3%D0%BE%2C-%D0%BA%D0%B0%D0%BA-%D0%B2%D1%8B%D0%B3">Далее нужно созданное правило выше закрепить в коллекторе в части обогащения. Пример того, как выглядит обогащенное событие:</div><div id="bkmrk--20">  
</div>[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/E70image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/E70image.png)

---

### Формат файла CSV:

```
Network,Country,Region,City,Latitude,Longitude
10.0.0.0/8,Russia,Moscow,Butovo,,
192.168.0.0/16,Russia,SPB,Zelenograd,,
```