Обогащение событий KSMG ссылкой на сообщение, помещенное в хранилище

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Хранилище сообщений KSMG

Хранилище предназначено для хранения поступающих почтовых сообщений перед их обработкой модулями KSMG. В случае если почтовое сообщение будет отклонено или удалено в результате работы одного из модулей KSMG, аналитик может получить доступ к оригинальному почтовому сообщению в Хранилище. 

Для сохранения оригинала сообщения в Хранилище в параметрах модуля KSMG должен быть активирован параметр Поместить исходное сообщение в Хранилище. Сообщения помещаются в Хранилище вместе с вложениями. 

Создание правила обогащения в KUMA

Чтобы настроить обогащение событий KSMG ссылкой на почтовое сообщение, помещенное в Хранилище KSMG, создайте правило обогащения:

• В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Правила обогащения.
• Нажмите на кнопку Создать.
• В появившемся окне Создание правила обогащения:
  • В поле Название введите уникальное имя правила.
  • В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
  • В раскрывающемся списке Тип источника данных выберите шаблон.
  • В поле Шаблон укажите следующий шаблон ссылки:

https://{{.DeviceAddress}}/ru_RU/#/backup?filter=[{"field":"smtp_message_id","condition":"CONTAIN","value":"{{.DeviceCustomString1}}"}]

• • В поле Целевое поле укажите DeviceExternalID.
  • Опционально добавьте Описание.
  • В секции Параметры фильтра укажите условия определения событий KSMG, в которые будет добавляться ссылка. Переключитесь на Код и укажите следующее условие:

Name = 'message backup result'
OR (
S.BackupResult = 'BackedUp '
AND
Name = 'message result'
)

1. • Нажмите Создать.

Далее созданное правило обогащения необходимо применить в Коллекторе для приема и обработки событий KSMG.

Применение правила обогащения в коллекторе KSMG

Чтобы добавить созданное правило обогащения в Коллекторе для приема и обработки событий KSMG:

• Перейдите в раздел Ресурсы → Активные сервисы.
• Выберите Коллектор, который используется для приема и обработки событий KSMG.

• В окне Редактирование коллектора перейдите на шаг Обогащение событий и нажмите Добавить обогащение.
• В поле Правило обогащения выберите ранее созданное правило обогащения.

• Перейдите на шаг Проверка параметров и нажмите Сохранить и обновить параметры сервисов.
• Нажмите Сохранить.

Проверка перехода в хранилище KSMG из карточки события KUMA

• Перейдите 
• Убедитесь, что в событиях типа 

А также преобразовывать адреса в доменные имена для следующих полей:

• DestinationAddress -> DestinationHostName
• DeviceAddress -> DeviceHostName
• SourceAddress -> SourceHostName

Важный момент, DNS обогащение работает только для серых сетей

Обогащение происходит если: целевые поля пустые и если резолвится PTR из IP, то будут резолвиться только серые IP

Поле настройки URL - не обязательно. Если оставить пустым, то при обогащении будут использоваться системные настройки сервера. Соответственно, если DNS в ОС серверов коллекторов разные - то и обогащение будет разное

Если событие с адресом 127.0.0.1, то можно перед DNS обогащением в коллекторе в парсинге добавить затирание deviceAddress, если оно равно 127.0.0.1, тогда обогащение DNS должно произойти

Настройка на стороне KUMA

Для повышения прозводительности, можно изменять число рабочих процессов коллектора (1 шаг настройки) / самого правила обогащения (для асинхронных задач эффективнее работа)

В разделе Ресурсы - Правила Обогащения создаем новое правило, ниже пример типового обогащения для DNS:

Далее созданное правило обогащения выше необходимо закрепить в коллекторе в части обогащения.