# Обогащение событий информацией об Активах

Активы могут попасть в KUMA следующими способами:

- От KSC (FQDN, IP, MAC, Имя ассета (в KSC, Владелец \[Principal name\], Информация об уязвимостях, Информация об установленном ПО, Информация о hardware). KUMA импортирует из базы KSC сведения об устройствах с установленным Агентом администрирования KSC, который подключался к KSC, то есть поле Connection time в базе SQL – непустое.
- От KICS
- От Vulnerability Scanner: Из коробки: MP8 Scanner, RedCheck. Через новые PreSalesPack скрипты: Nessus, OWASP ZAP;
- От CMDB выгрузка в виде CSV, затем скриптом через API добавление в KUMA (скрипт в [**CommunityPack**](https://kas.pr/kuma-ppack));
- Вручную

Коллекторы KUMA с периодически получают списки асcетов (активов) от ядра KUMA и хранят их памяти в виде таблиц, позволяющих определить AssetID по **IP адресу и/или FQDN**.

<p class="callout info">У ассета может быть указан массив значений IP и/или FQDN. Обогащение проверяет все IP ассета и/или FQDN.</p>

<p class="callout info">Про склейку информации об активах, подробнее тут: [https://support.kaspersky.com/help/KUMA/3.2/ru-RU/243031.htm](https://support.kaspersky.com/help/KUMA/3.2/ru-RU/243031.htm) </p>

При поступлении события в коллектор, коллектор выполняет:

- нормализацию данных в поля события KUMA;
- если в событии содержится информация о SourceAddress, Destination Address, DeviceAddress, SourceHostName, DestinationHostName, DeviceHostName коллектор выполняет поиск IP - AssetID и/или FQDN - AssetID;
- если информация об ассете найдена, AssetID проставляется в соответствующее поле нормализованного события;
- В общем случае, в нормализованное событие могут быть проставлены 3 типа AssetID: SourceAssetID, DestinationAssetID, DeviceAssetID.

После чего события, обогащенные информацией об ассетах направляются в коррелятор и/или хранилище.

Пример обогащенного события (при нажатии открывается карточка актива):

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/4PBimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/4PBimage.png)

#### Правила обогащения информацией об активах

<table border="1" id="bkmrk-%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8F-%D0%B2-%D1%81%D0%BE%D0%B1%D1%8B%D1%82%D0%B8%D0%B8" style="border-collapse: collapse; width: 100%;"><colgroup><col style="width: 33.3333%;"></col><col style="width: 33.3333%;"></col><col style="width: 33.3333%;"></col></colgroup><tbody><tr><td>**Информация в событии**</td><td>**Информация в карточке актива**</td><td>**Будет ли обогащение**</td></tr><tr><td>IP</td><td>IP + FQDN</td><td>Да</td></tr><tr><td>FQDN</td><td>IP + FQDN</td><td>Да</td></tr><tr><td>IP + FQDN</td><td>IP + FQDN</td><td>Да</td></tr><tr><td>IP</td><td>IP</td><td>Да</td></tr><tr><td>FQDN</td><td>IP</td><td>Нет</td></tr><tr><td>IP + FQDN</td><td>IP</td><td>Нет</td></tr><tr><td>IP</td><td>FQDN</td><td>Нет</td></tr><tr><td>FQDN</td><td>FQDN</td><td>Да</td></tr><tr><td>IP + FQDN</td><td>FQDN</td><td>Да</td></tr></tbody></table>