Skip to main content

Обогащение событий KSMG ссылкой на хранилище сообщений

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Хранилище сообщений KSMG

ОфициальнаяХранилище документацияпредназначено подля данномухранения разделупоступающих приведенапочтовых сообщений перед их обработкой модулями KSMG. В случае если почтовое сообщение будет отклонено или удалено в Онлайн-справкерезультате наработы продукт:одного из модулей KSMG, аналитик может получить доступ к оригинальному почтовому сообщению в Хранилище. 

Для сохранения оригинала сообщения в Хранилище в параметрах модуля KSMG должен быть активирован параметр Поместить исходное сообщение в Хранилище. Сообщения помещаются в Хранилище вместе с вложениями. 

 

https://support.kaspersky.com/KUMA/3.2/ru-RU/217863.htmimage.png

Создание правила обогащения в KUMA

Чтобы настроить обогащение событий KSMG ссылкой на почтовое сообщение, помещенное в Хранилище KSMG, создайте правило обогащения:

     В веб-интерфейсе KUMA перейдите в раздел Ресурсы  Правила обогащения. Нажмите на кнопку Создать. В появившемся окне Создание правила обогащения:
       В поле Название введите уникальное имя правила. В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс. В раскрывающемся списке Тип источника данных выберите шаблон. В поле Шаблон укажите следующий шаблон ссылки: 
      https://{{.DeviceAddress}}/ru_RU/#/backup?filter=[{"field":"smtp_message_id","condition":"CONTAIN","value":"{{.DeviceCustomString1}}"}]

       

          В поле Целевое поле укажите DeviceExternalID. Опционально добавьте Описание. В секции Параметры фильтра укажите условия определения событий KSMG, в которые будет добавляться ссылка. Переключитесь на Код и укажите следующее условие: 
          Name = 'message backup result'
OR (
S.BackupResult = 'BackedUp '
AND
Name = 'message result'
)

           

              Нажмите Создать.

              image.png

               

               

              Далее созданное правило обогащения необходимо применить в Коллекторе для приема и обработки событий KSMG.

              Применение правила обогащения в коллекторе KSMG

              Чтобы добавить созданное правило обогащения в Коллекторе для приема и обработки событий KSMG:

                Перейдите в раздел Ресурсы  Активные сервисы. Выберите Коллектор, который используется для приема и обработки событий KSMG.

                image.png

                  В окне Редактирование коллектора перейдите на шаг Обогащение DNSсобытий и нажмите Добавить обогащение. В поле Правило обогащения выберите ранее созданное правило обогащения.

                  image.png

                    Перейдите на шаг Проверка параметров и нажмите Сохранить и обновить параметры сервисов. Нажмите Сохранить.

                    image.png

                    Проверка перехода в хранилище KSMG из карточки события KUMA

                      Перейдите  Убедитесь, что в событиях типа 

                       

                      Хранилище предназначено для хранения сообщений, которые KSMG сохраняет перед обработкой. Права доступа к сообщениям в Хранилище ограничены в целях обеспечения безопасности сервера KSMG.
                      DNS обогащение позволяет преобразовывать доменные имена в адреса для следующих полей:
                      • DestinationHostName -> DestinationAddress
                      • DeviceHostName -> DeviceAddress 
                      • SourceHostName -> SourceAddress

                      А также преобразовывать адреса в доменные имена для следующих полей:

                      • DestinationAddress -> DestinationHostName
                      • DeviceAddress -> DeviceHostName
                      • SourceAddress -> SourceHostName

                      Важный момент, DNS обогащение работает только для серых сетей

                      Обогащение происходит если: целевые поля пустые и если резолвится PTR из IP, то будут резолвиться только серые IP

                      "Cache TTL" в настройках DNS Обогащения (Дефолтовое значение 60 сек), работает следующим образом:
                      • KUMA резолвит server.example.com в 192.168.1.1 и получает TTL этой записи (от DNS сервера получает) 3600 сек например
                      • добавляет себе это в кеш
                      • как только время хранения записи в кеше достигает TTL/2 = 1800 сек, то KUMA сама идет в DNS сервер и обновляет закешированную запись
                      • те 60 сек которые мы выставляем - это время хранения записей, которые не обновлены с DNS - например  server.example.com больше не существует

                      Поле настройки URL - не обязательно. Если оставить пустым, то при обогащении будут использоваться системные настройки сервера. Соответственно, если DNS в ОС серверов коллекторов разные - то и обогащение будет разное

                      Если событие с адресом 127.0.0.1, то можно перед DNS обогащением в коллекторе в парсинге добавить затирание deviceAddress, если оно равно 127.0.0.1, тогда обогащение DNS должно произойти

                      Настройка на стороне KUMA

                      Для повышения прозводительности, можно изменять число рабочих процессов коллектора (1 шаг настройки) / самого правила обогащения (для асинхронных задач эффективнее работа)

                      В разделе Ресурсы - Правила Обогащения создаем новое правило, ниже пример типового обогащения для DNS:

                      image.png

                      Далее созданное правило обогащения выше необходимо закрепить в коллекторе в части обогащения.

                      Back to top