Skip to main content

Обогащение событий информацией об Активах

Коллекторы KUMA с периодически получают списки асcетов (акстивов) от ядра KUMA и хранят их памяти в виде таблиц, позволяющих определить AssetID по IP адресу и/или FQDN.FQDN.

У ассета может быть указан массив значений IP и/или FQDN. Обогащение проверяет все IP ассета и/или FQDN.

При поступлении события в коллектор, коллектор выполняет:

  • нормализацию данных в поля события KUMA;
  • если в событии содержится информация о SourceAddress, Destination Address, DeviceAddress, SourceHostName, DestinationHostName, DeviceHostName коллектор выполняет поиск IP - AssetID и/или FQDN - AssetID;
  • если информация об ассете найдена, AssetID проставляется в соответствующее поле нормализованного события;
  • В общем случае, в нормализованное событие могут быть проставлены 3 типа AssetID: SourceAssetID, DestinationAssetID, DeviceAssetID.

После чего события, обогащенные информацией об ассетах направляются в коррелятор и/или хранилище.

Пример обогащенного события (при нажатии открывается карточка актива):

image.png

Back to top