Добавление элемента ML-модели на основе диагностического правила

Добавление элементов ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Чтобы добавить элемент ML-модели на основе диагностического правила:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с группой Правила в составе ML-модели, к которой вы хотите добавить диагностическое правило, откройте вертикальное меню и выберите пункт Создать элемент.

   Справа отобразится список параметров.

3. В поле Название укажите название диагностического правила.
4. В поле Описание укажите описание диагностического правила.
5. В блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде десятичной дроби.
   4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   7. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
6. Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.

   Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать правило выполненным.

7. В блоке параметров Фильтрация по времени выполните следующие действия:
   1. Нажмите на кнопку Добавить интервал.
   2. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

        Вы можете указать только начало или окончание однократного интервала.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
   3. Если требуется добавить еще один интервал, нажмите на кнопку Добавить интервал и выполните шаг 7b.
   4. Если требуется удалить интервал, наведите курсор мыши на строку с нужным интервалом и нажмите на значок Удалить интервал (  ).

   Вы можете добавить один или несколько временных интервалов. Если временной интервал не указан, то диагностическое правило применяется в каждом узле РИВС.

8. Если требуется добавить критерии поведения тегов, выполните следующие действия:
   1. В блоке параметров Условия на теги нажмите на кнопку Условие.

   2. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

      Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

      Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.

   3. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
      • Выше – значение тега превышает определенный порог.
      • Ниже – значение тега опускается ниже определенного порога.
      • Растет – линия тренда значений тега растет.
      • Падает – линия тренда значений тега падает.
      • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
      • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
      • Залипание – выбранный тег передает одно и то же значение.
      • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
   4. В поле Окно укажите количество шагов РИВС.
   5. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
      • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
      • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

        По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

        По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

      • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

      • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

        По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.

      • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

        Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

   6. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 8b по 8e.
   7. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
      • AND, если требуется отслеживать оба критерия во время работы диагностического правила.
      • OR, если требуется отслеживать один из заданных критериев во время работы диагностического правила.

9. Если требуется проверить, вызвало ли выполнение предварительного условия выполнение пост-условия в будущем узле РИВС, добавьте темпоральный оператор:
   1. В блоке параметров Условия на теги нажмите на кнопку Пауза.

      Кнопка Пауза доступна после добавления хотя бы одного условия.

      Предварительным условием называется блок условий, предшествующий темпоральному оператору. Пост-условием называется блок условий, следующий за темпоральным оператором.

      Проверка блока предварительного условия проводится в текущем узле РИВС.

   2. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
      • от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
      • до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).

      Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

   3. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
      • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
      • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

      Результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия.

      Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг).

      Если проводится более одной проверки условия с помощью темпорального оператора, то предварительным условием для каждой следующей проверки темпорального условия является результат проверки предыдущего темпорального условия.

10. Выберите один из следующих логических операторов между блоками правила:
    • AND, если требуется отслеживать критерии поведения тегов в обоих блоках во время работы диагностического правила.
    • OR, если требуется отслеживать критерии поведения тегов одного из блоков во время работы диагностического правила.
11. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новый элемент ML-модели отобразится в группе Правила в составе выбранной ML-модели в дереве активов.

Если в составе ML-модели есть только элементы на основе диагностических правил, ей будет присвоен статус Обучена. Вы можете запустить инференс для такой ML-модели. Если в составе ML-модели есть необученные нейросетевые элементы, перед запуском инференса их требуется обучить.