Skip to main content

GeoIP-обогащение

Скачанная и конвертированная база - https://box.kaspersky.com/f/ed1284a205d540449f79/ 

Скачивание БД

IP2Location

Чтобы скачать базы необходимо зарегистрироваться.  После регистрации и входа на сайт переходим по ссылке:  https://lite.ip2location.com/database-download 
И выбираем нужную нам БД (есть для ipv4 и ipv6) и скачиваем.

image.png

MAXMIND

Скачивание БД также доступно после регистрации. Также при регистрации проверяется соответствие выбранной странны и ip, с которого вы регистрируетесь. При этом при выборе страны отсутствует Россия. Возможно проблему можно решить через VPN.


Конвертация БД

Перед импортом базы ее необходимо конвертировать в формат, понятный KUMA. Для конвертации данных используется скрипт. Актуальный скрипт и команды запуска тут: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/233259.htm 

В простейшем случае команда запуска выглядит так: 
python converter.py --type ip2location --input IP2LOCATION-LITE-DB11.CSV.ZIP --out geoip_ip2location.csv
После запуска нужно подождать 20-30 сек и в случае успешной конвертации получим файл CSV:

image.png


Загрузка БД в KUMA

Загрузка БД (предварительно сконвертированной скриптом!) осуществляется по пути: Settings - Common - GeoIP settings - Import from file

image.png

После добавления БД необходимо перезапустить все сервисы, где настроено обогащение по GeoIP (при выполнении тестов было достаточно выполнить reload, а не restart)

image.png

При импорте нового файла с данными GeoIP ранее добавленные данные перезапишутся (с созданием события аудита). Поэтому если нужно внести незначительные изменения для кастомизации сопоставления рекомендуется скачать текущую БД из интерфейса KUMA, после чего внести туда изменения и подгрузить обратно.

image.png


Обогащение GeoIP

  • В поле Source kind выбираем geographic data
  • В поле Mapping geographic data to event fields выбираем поле события KUMA, в котором присутствует нужный для обогащения ip-адрес
  • Здесь же выбираем Geodata attribute и соответствующее поле события KUMA Event field to write to
  • Для GeoIP добавлены новые поля событий, но можно использовать любые

image.png


Сопоставление по умолчанию доступно, если в качестве источника IP выбрано одно из полей событий SourceAddress, DestinationAddress и DeviceAddress. 
При выборе других полей в качестве источника сопоставление по умолчанию не доступно.

image.png

image.png

Пример того, как выглядит обогащенное событие:

image.png


Формат файла CSV:

Network,Country,Region,City,Latitude,Longitude
10.0.0.0/8,Russia,Moscow,Butovo,,
192.168.0.0/16,Russia,SPB,Zelenograd,,