# Обогащение событий KSMG ссылкой на сообщение, помещенное в хранилище

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

<p class="callout info">Для нормализации событий KSMG в KUMA применяется нормализатор \[OOTB\] KSMG 2.1+ syslog CEF</p>

### Хранилище сообщений KSMG

**Хранилище** предназначено для хранения поступающих почтовых сообщений перед их обработкой модулями KSMG. В случае если почтовое сообщение будет отклонено или удалено в результате работы одного из модулей KSMG, аналитик может получить доступ к оригинальному почтовому сообщению в Хранилище.

<p class="callout info">Для сохранения оригинала сообщения в Хранилище в параметрах модуля KSMG должен быть активирован параметр **<span class="guicharacter">Поместить исходное сообщение в Хранилище. </span>**<span class="guicharacter">Сообщения помещаются в Хранилище вместе с вложениями. </span></p>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/image.png)

### Создание правила обогащения в KUMA

<span style="mso-fareast-language: RU;">Чтобы настроить обогащение событий KSMG ссылкой на почтовое сообщение, помещенное в Хранилище KSMG, создайте правило обогащения:</span>

- <span style="mso-fareast-language: RU;"><span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;"><span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">В веб-интерфейсе </span><span lang="EN-US">KUMA</span><span style="mso-ansi-language: RU;"> перейдите в раздел **Ресурсы** </span><span style="font-family: 'Arial',sans-serif; mso-ansi-language: RU;">→</span><span style="mso-ansi-language: RU;"> **Правила обогащения**.</span></span>
- <span style="mso-fareast-language: RU;"><span style="mso-ansi-language: RU;">Нажмите на кнопку **Создать**.</span></span>
- <span style="mso-fareast-language: RU;"><span style="mso-ansi-language: RU;">В появившемся окне **Создание правила обогащения**:</span></span>
    - <span style="mso-fareast-language: RU;"><span style="mso-ansi-language: RU;"><span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;"><span style="font: 7.0pt 'Times New Roman';"> </span></span></span>В поле **Название** введите уникальное имя правила.</span></span>
    - <span style="mso-fareast-language: RU;"><span style="mso-ansi-language: RU;">В раскрывающемся списке **Тенант** выберите, к какому тенанту относится этот ресурс.</span></span>
    - <span style="mso-fareast-language: RU;"><span style="mso-ansi-language: RU;">В раскрывающемся списке **Тип источника данных** выберите шаблон.</span></span>
    - <span style="mso-fareast-language: RU;"><span style="mso-ansi-language: RU;">В поле **Шаблон** укажите следующий шаблон ссылки:</span></span>

```
https://{{.DeviceAddress}}/ru_RU/#/backup?filter=[{"field":"smtp_message_id","condition":"CONTAIN","value":"{{.DeviceCustomString1}}"}]
```

- - <span style="mso-fareast-language: RU;"><span style="mso-ansi-language: RU;">В поле **Целевое поле** укажите **DeviceExternalID.**</span></span>
    - <span style="mso-fareast-language: RU;"><span style="mso-ansi-language: RU;">Опционально добавьте **Описание**.</span></span>
    - <span style="mso-fareast-language: RU;"><span style="mso-ansi-language: RU;">В секции **Параметры фильтра** укажите условия определения событий KSMG, в которые будет добавляться ссылка. Переключитесь на **Код** и укажите следующее условие:</span></span>

```
Name = 'message backup result'
OR (
S.BackupResult = 'BackedUp'
AND
Name = 'message result'
)
```

1. - <span style="mso-fareast-language: RU;">Нажмите **Создать**.</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/uceimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/uceimage.png)

<span style="font-family: 'Kaspersky Sans Display',sans-serif; mso-no-proof: yes;"> </span>

<span style="font-family: 'Kaspersky Sans Display',sans-serif; mso-no-proof: yes;"> </span>

Далее созданное правило обогащения необходимо применить в Коллекторе для приема и обработки событий KSMG.

### Применение правила обогащения в коллекторе KSMG

Чтобы добавить созданное правило обогащения в Коллекторе для приема и обработки событий KSMG:

- <span style="mso-ansi-language: RU;">Перейдите в раздел **Ресурсы** </span><span style="font-family: 'Arial',sans-serif; mso-ansi-language: RU;">→</span><span style="mso-ansi-language: RU;"> **Активные сервисы.**</span>
- <span style="mso-ansi-language: RU;">Выберите **Коллектор**, который используется для приема и обработки событий KSMG.</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/1mkimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/1mkimage.png)

- В окне **Редактирование коллектора** перейдите на шаг **Обогащение событий** и нажмите **Добавить обогащение**.
- В поле **Правило обогащения** выберите ранее созданное правило обогащения.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/HuCimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/HuCimage.png)

- Перейдите на шаг **Проверка параметров** и нажмите **Сохранить и обновить параметры сервисов**.
- Нажмите **Сохранить**.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/rz1image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/rz1image.png)

### Проверка перехода в хранилище KSMG из карточки события KUMA

- В разделе **События** выполните поиск событий типа **message backup result** или **message result**

```sql
SELECT *
FROM `events`
WHERE Name = 'message backup result' AND DeviceProduct = 'KSMG' 
ORDER BY Timestamp DESC
LIMIT 250
```

ИЛИ

```sql
SELECT *
FROM `events`
WHERE Name = 'message result' AND DeviceProduct = 'KSMG' 
ORDER BY Timestamp DESC
LIMIT 250
```

- Откройте карточку события и убедитесь, что в поле **DeviceExternalID** появилась ссылка для перехода в Хранилище KSMG.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/1Siimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/1Siimage.png)

- Выполните переход по ссылке.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/7H8image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/7H8image.png)

- В результате будет выполнен переход в Хранилище KSMG с фильтром по сообщению — будет отображаться только то почтовое сообщение, результаты анализа которого представлены в карточке события KUMA.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/QJXimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/QJXimage.png)

- Далее аналитик в интерфейсе KSMG может: 
    - Просмотреть свойства сообщения (причину блокировки сообщения, данные отправителя, сработавшие правила).

<div id="bkmrk--10"></div><div id="bkmrk--11"></div>[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/jyrimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/jyrimage.png)

- - Выполнить предпросмотр сообщения, чтобы ознакомиться с оригинальным текстом сообщения.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/2Eqimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/2Eqimage.png)

- - Скачать сообщение в формате eml.
    - Выполнить отправку сообщения пользователю в случае False Positive или отправить на повторную проверку.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/Hdaimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/Hdaimage.png)