Обогащение событий информацией об Активах

Активы могут попасть в KUMA следующими способами:

Коллекторы KUMA с периодически получают списки асcетов (активов) от ядра KUMA и хранят их памяти в виде таблиц, позволяющих определить AssetID по IP адресу и/или FQDN.

У ассета может быть указан массив значений IP и/или FQDN. Обогащение проверяет все IP ассета и/или FQDN.

Про склейку информации об активах, подробнее тут: https://support.kaspersky.com/help/KUMA/3.2/ru-RU/243031.htm 

При поступлении события в коллектор, коллектор выполняет:

После чего события, обогащенные информацией об ассетах направляются в коррелятор и/или хранилище.

Пример обогащенного события (при нажатии открывается карточка актива):

image.png

Правила обогащения информацией об активах

Информация в событии Информация в карточке актива Будет ли обогащение
IP IP + FQDN Да
FQDN IP + FQDN Да
IP + FQDN IP + FQDN Да
IP IP Да
FQDN IP Нет
IP + FQDN IP Нет
IP FQDN Нет
FQDN FQDN Да
IP + FQDN FQDN Да

Revision #12
Created 5 September 2023 14:20:13 by Boris Rzr
Updated 22 January 2025 08:25:14 by Boris Rzr