Обогащение событий информацией об Активах

Активы могут попасть в KUMA следующими способами:

• От KSC (FQDN, IP, MAC, Имя ассета (в KSC, Владелец [Principal name], Информация об уязвимостях, Информация об установленном ПО, Информация о hardware). KUMA импортирует из базы KSC сведения об устройствах с установленным Агентом администрирования KSC, который подключался к KSC, то есть поле Connection time в базе SQL – непустое.
• От KICS
• От Vulnerability Scanner: Из коробки: MP8 Scanner, RedCheck.  Через новые PreSalesPack скрипты: Nessus, OWASP ZAP;
• От CMDB выгрузка в виде CSV, затем скриптом через API добавление в KUMA (скрипт в CommunityPack);
• Вручную

Коллекторы KUMA с периодически получают списки асcетов (активов) от ядра KUMA и хранят их памяти в виде таблиц, позволяющих определить AssetID по IP адресу и/или FQDN.

У ассета может быть указан массив значений IP и/или FQDN. Обогащение проверяет все IP ассета и/или FQDN.

Про склейку информации об активах, подробнее тут: https://support.kaspersky.com/help/KUMA/3.2/ru-RU/243031.htm 

При поступлении события в коллектор, коллектор выполняет:

• нормализацию данных в поля события KUMA;
• если в событии содержится информация о SourceAddress, Destination Address, DeviceAddress, SourceHostName, DestinationHostName, DeviceHostName коллектор выполняет поиск IP - AssetID и/или FQDN - AssetID;
• если информация об ассете найдена, AssetID проставляется в соответствующее поле нормализованного события;
• В общем случае, в нормализованное событие могут быть проставлены 3 типа AssetID: SourceAssetID, DestinationAssetID, DeviceAssetID.
  

После чего события, обогащенные информацией об ассетах направляются в коррелятор и/или хранилище.

Пример обогащенного события (при нажатии открывается карточка актива):

Правила обогащения информацией об активах