Обогащение событий KSMG ссылкой на сообщение, помещенное в хранилище

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Хранилище сообщений KSMG

Хранилище предназначено для хранения поступающих почтовых сообщений перед их обработкой модулями KSMG. В случае если почтовое сообщение будет отклонено или удалено в результате работы одного из модулей KSMG, аналитик может получить доступ к оригинальному почтовому сообщению в Хранилище.

Для сохранения оригинала сообщения в Хранилище в параметрах модуля KSMG должен быть активирован параметр Поместить исходное сообщение в Хранилище. Сообщения помещаются в Хранилище вместе с вложениями.

Создание правила обогащения в KUMA

Чтобы настроить обогащение событий KSMG ссылкой на почтовое сообщение, помещенное в Хранилище KSMG, создайте правило обогащения:

В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Правила обогащения.
Нажмите на кнопку Создать.
В появившемся окне Создание правила обогащения:
- В поле Название введите уникальное имя правила.
- В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
- В раскрывающемся списке Тип источника данных выберите шаблон.
- В поле Шаблон укажите следующий шаблон ссылки:

https://{{.DeviceAddress}}/ru_RU/#/backup?filter=[{"field":"smtp_message_id","condition":"CONTAIN","value":"{{.DeviceCustomString1}}"}]

- В поле Целевое поле укажите DeviceExternalID.
- Опционально добавьте Описание.
- В секции Параметры фильтра укажите условия определения событий KSMG, в которые будет добавляться ссылка. Переключитесь на Код и укажите следующее условие:

Name = 'message backup result'
OR (
S.BackupResult = 'BackedUp '
AND
Name = 'message result'
)

- Нажмите Создать.

Далее созданное правило обогащения необходимо применить в Коллекторе для приема и обработки событий KSMG.

Применение правила обогащения в коллекторе KSMG

Чтобы добавить созданное правило обогащения в Коллекторе для приема и обработки событий KSMG:

Перейдите в раздел Ресурсы → Активные сервисы.
Выберите Коллектор, который используется для приема и обработки событий KSMG.

В окне Редактирование коллектора перейдите на шаг Обогащение событий и нажмите Добавить обогащение.
В поле Правило обогащения выберите ранее созданное правило обогащения.

Перейдите на шаг Проверка параметров и нажмите Сохранить и обновить параметры сервисов.
Нажмите Сохранить.

Проверка перехода в хранилище KSMG из карточки события KUMA

~~Перейдите~~В разделе События выполните поиск событий типа message backup result или message result

SELECT *
FROM `events`
WHERE Name = 'message backup result' AND DeviceProduct = 'KSMG' 
ORDER BY Timestamp DESC
LIMIT 250

ИЛИ

SELECT *
FROM `events`
WHERE Name = 'message result' AND DeviceProduct = 'KSMG' 
ORDER BY Timestamp DESC
LIMIT 250

~~Убедитесь,~~Откройте карточку события и убедитесь, что в ~~событиях~~поле ~~типа~~DeviceExternalID появилась ссылка для перехода в Хранилище KSMG.

Выполните переход по ссылке.

В результате будет выполнен переход в Хранилище KSMG с фильтром по сообщению — будет отображаться только то почтовое сообщение, результаты анализа которого представлены в карточке события KUMA.

Далее аналитик в интерфейсе KSMG может:

Просмотреть свойства сообщения (причину блокировки сообщения, данные отправителя, сработавшие правила).

~~Хранилище~~ ~~предназначено для хранения сообщений, которые KSMG сохраняет перед обработкой. Права доступа к сообщениям в~~ ~~Хранилище~~

~~ограничены~~ ~~в целях обеспечения безопасности сервера KSMG.~~

~~DNS обогащение позволяет преобразовывать доменные имена в адреса для следующих полей:~~

~~DestinationHostName -> DestinationAddress~~ ~~DeviceHostName -> DeviceAddress~~ ~~SourceHostName -> SourceAddress~~

~~А также преобразовывать адреса в доменные имена для следующих полей:~~

~~DestinationAddress~~Выполнить ->предпросмотр ~~DestinationHostName~~

сообщения, ~~DeviceAddress~~чтобы ->ознакомиться ~~DeviceHostName~~с ~~SourceAddress~~оригинальным ->текстом ~~SourceHostName~~сообщения.

~~Важный момент, DNS обогащение работает только для серых сетей~~

~~Обогащение происходит если: целевые поля пустые и если резолвится PTR из IP, то будут резолвиться только серые IP~~

~~"Cache TTL" в настройках DNS Обогащения (Дефолтовое значение 60 сек), работает следующим образом:~~

~~KUMA~~Скачать ~~резолвит server.example.com~~сообщение в ~~192.168.1.1~~формате ~~и получает TTL этой записи (от DNS сервера получает) 3600 сек например~~eml.
~~добавляет~~Выполнить ~~себе~~отправку ~~это~~сообщения пользователю в ~~кеш~~

случае ~~как~~False ~~только~~Positive ~~время~~или ~~хранения~~отправить ~~записи~~на вповторную ~~кеше достигает TTL/2 = 1800 сек, то KUMA сама идет в DNS сервер и обновляет закешированную запись~~ те 60 сек которые мы выставляем - это время хранения записей, которые не обновлены с DNS - например server.example.com больше не существуетпроверку.

Поле настройки URL - не обязательно. Если оставить пустым, то при обогащении будут использоваться системные настройки сервера. Соответственно, если DNS в ОС серверов коллекторов разные - то и обогащение будет разное

~~Если событие с адресом~~ ~~127.0.0.1, то можно перед DNS обогащением в коллекторе в парсинге добавить затирание deviceAddress, если оно равно~~ ~~127.0.0.1, тогда обогащение DNS должно произойти~~

Настройка на стороне KUMA

Для повышения прозводительности, можно изменять число рабочих процессов коллектора (1 шаг настройки) / самого правила обогащения (для асинхронных задач эффективнее работа)

~~В разделе~~ ~~Ресурсы - Правила Обогащения~~ ~~создаем новое правило, ниже пример типового обогащения для DNS:~~

~~Далее~~ ~~созданное правило обогащения выше необходимо закрепить в коллекторе в части обогащения.~~