Основными объектами наблюдения в Kaspersky MLAD являются теги. Тег – это параметр технологического процесса, передаваемый в промышленной сети (например, контролируемая температура). В виде тегов могут передаваться измерения физических параметров, а также уставки, команды или состояния систем регулирования. Значения тегов передаются и принимаются устройствами по определенным протоколам. Значения тегов отображаются на графиках в разделе История и Мониторинг, а также используются для обнаружения инцидентов.
Значения тегов, полученные в результате обработки входного потока тегов службой Stream Processor.
Служба Stream Processor может привести входной поток тегов к РИВС. Для каждого узла равно-интервальной последовательности служба Stream Processor вычисляет значения тегов для выходного потока. В зависимости от того, сколько входных наблюдений было накоплено для каждого узла и как давно наблюдения поступали в последний раз, служба Stream Processor может вычислять выходные значения тегов путем агрегации (вычисление значения тега на основе нескольких наблюдений тега, накопленных для соответствующего узла равно-интервальной последовательности) или импутации (восстановление значение тега для пустого узла равно-интервальной последовательности на основе значений этого тега, полученных ранее).
Служба Stream Processor также может вычислять значения производных тегов на основе поступающих данных телеметрии. Например, служба Stream Processor может вычислять значения скользящего среднего или среднего значения группы тегов.
Значения этих тегов рассчитываются на основе значений исходных тегов или тегов, полученных службой Stream Processor, по формуле, заданной пользователем при создании виртуального тега. Виртуальные теги могут быть созданы для визуализации данных на графиках. Такие теги не сохраняются в базе данных.
Виртуальные теги являются полезным инструментом, как для обнаружения аномалий, так и для анализа данных телеметрии, в том числе для анализа состояния и качества технологических процессов. Например, на основе реальных значений исходных тегов можно спрогнозировать значение виртуального тега "качество продукции".
Значения этих тегов генерируются детектором Rule Detector, который работает на основе диагностических правил. Они отражают состояние выполнения (срабатывания) одного или нескольких диагностических правил.
Kaspersky MLAD поддерживает несколько способов получения данных телеметрии (тегов). В зависимости от характеристик объекта мониторинга и возможностей передачи тегов вы можете выбрать один из следующих способов получения тегов:
С помощью коннекторов Kaspersky Industrial CyberSecurity for Networks, которые анализируют зеркалированный трафик и отдают теги в Kaspersky MLAD в онлайн-режиме. Kaspersky MLAD передает обратно информацию об обнаруженных инцидентах.
Если первые четыре способа передачи тегов недоступны, с помощью коннектора HTTP Connector можно настроить регламентную выгрузку тегов в виде CSV-файлов по протоколу HTTP (например, один раз в час или один раз в минуту), написав скрипт выгрузки тегов.