Настройка параметров в разделе Процессор событий

Перед обработкой событий службой Event Processor требуется настроить параметры конфигурации внимания и отображение параметров событий.

Управление параметрами конфигурации внимания и отображением параметров событий доступно системным администраторам.

Большое количество направлений внимания может привести к замедлению работы основных служб Kaspersky MLAD (прием данных, обнаружение аномалий, работа веб-интерфейса). Для уточнения количества направлений внимания рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.

Чтобы настроить параметры конфигурации внимания и отображение параметров событий:

1. В основном меню выберите раздел Процессор событий → Мониторинг.
2. На открывшейся странице нажмите на кнопку Параметры.

   Справа появится панель Параметры процессора событий.

3. В блоке Настройка конфигурации внимания для каждого параметра события, выполните одно из следующих действий:
   • Если требуется регистрировать паттерны по всем значениям параметра события, в раскрывающемся списке выберите Все значения параметра.
   • Если требуется регистрировать паттерны по конкретному значению параметра события, в раскрывающемся списке выберите значение параметра. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.

     Если значение параметра отсутствует в списке, введите нужное значение и выберите Создать значение: <значение параметра события>.

   • Если требуется регистрировать паттерны по шаблону значения параметра событий, включите переключатель Регулярное выражение для нужного параметра события, в раскрывающемся списке введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

     Для поиска паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.

   Каждое направление внимания задается значением параметра, которое должно присутствовать во всех событиях этого направления. При настройке направлений внимания вы можете указать определенные значения или шаблоны значений одного или нескольких параметров или задать направления внимания для всех возможных значений одного либо нескольких параметров.

4. Если требуется настроить отображение фильтров параметров событий в блоке Фильтры на вкладках История событий и История паттернов, в блоке Настройка отображения фильтров параметров событий установите флажки рядом с названиями нужных параметров событий.

   По умолчанию в блоке Настройка отображения фильтров параметров событий отображаются параметры событий от службы Anomaly Detector. Для отображения пользовательских параметров событий требуется загрузить конфигурационный файл службы Event Processor. По умолчанию выбраны все доступные параметры событий.

   Если включена функция Обрабатывать инциденты как события, в процессор событий поступают события со следующими параметрами:

   • incident_detection_system – название детектора, который зарегистрировал инцидент.
   • incident_model_name – название используемой ML-модели.
   • incident_tag_name – имя тега, поведение которого привело к регистрации инцидента.
   • incident_group_name – название группы инцидентов, в которую входит зарегистрированный инцидент.
   • incident_triggered_tag_value – значение тега, поведение которого привело к регистрации инцидента.
   • incident_id – идентификатор зарегистрированного инцидента.
   • incident_tag_id – идентификатор тега, поведение которого привело к регистрации инцидента.

   При необходимости вы можете изменить порядок отображения параметров событий в блоке Фильтры. Для этого нужно перетащить нужный параметр события вверх или вниз в блоке Настройка отображения фильтров параметров событий, удерживая за название параметра события.

5. Нажмите на кнопку Применить для сохранения внесенных изменений.