Kaspersky Machine Learning for Anomaly Detection

Просмотр истории паттернов

Развернуть все | Свернуть все

На странице История паттернов вы можете найти и просмотреть структуру устойчиво повторяющихся и/или новых паттернов. Процессор событий формирует паттерны только по определенным направлениям, которые задаются в конфигурации внимания пользователем с правами администратора.

Вы также можете просмотреть структуру выявленных паттернов до уровня событий. Процессор событий представляет паттерны, события и значения параметров событий как послойную иерархию вложенных элементов. Например, паттерн четвертого слоя состоит из вложенных паттернов третьего слоя, в свою очередь паттерн третьего слоя состоит из паттернов второго слоя, а паттерн второго слоя состоит из событий – элементов первого слоя. Значения параметров события являются элементами нулевого терминального слоя.

Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Список параметров событий определяется в файле конфигурации для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор на этапе настройки службы Event Processor.

Чтобы просмотреть зарегистрированные паттерны:

1. В основном меню выберите раздел Процессор событий.
2. На открывшейся странице выберите вкладку История паттернов.
3. В блоке Фильтры настройте следующие параметры отображения паттернов на странице:
   1. В поле Начало периода нажмите на значок календаря () и в открывшемся окне выберите дату и время начала периода, за который вы хотите просматривать паттерны.
   2. В поле Конец периода нажмите на значок календаря () и в открывшемся окне выберите дату и время окончания периода, за который вы хотите просматривать паттерны.
   3. В раскрывающемся списке Тип паттернов выберите одно из следующих значений:
      • Стабильные – паттерны, которые были зарегистрированы службой Event Processor два и более раза.
      • Новые – новые паттерны, зарегистрированные службой Event Processor впервые.
      • Все – все паттерны, зарегистрированные службой Event Processor.
   4. Для просмотра паттернов по определенному направлению внимания, выберите Внимание для нужного параметра события.

      Требуется выбрать одно из направлений внимания, заданных при настройке конфигурации внимания.

   5. Для настройки параметров событий выполните одно из следующих действий:
      • Если вы хотите просматривать паттерны по конкретным значениям параметров событий, в раскрывающихся списках выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списках.
      • Если вы хотите просматривать паттерны по шаблону значений, включите переключатель Регулярное выражение для нужных параметров события, в раскрывающихся списках введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

        Для поиска с помощью регулярных выражений используйте специальные символы регулярных выражений.

      Для корректного выполнения запроса требуется ввести значения для параметра события, на котором сфокусировано внимание модели. Если в параметре события, на котором сфокусировано внимание, задано несколько значений параметра события, процессор событий сформирует паттерны для каждого значения параметра.

4. Нажмите на кнопку Выполнить запрос.

   В центральной части страницы отобразится таблица, которая содержит данные о зарегистрированных паттернах.

   • ID паттерна – идентификатор паттерна. Первая цифра идентификатора паттерна соответствует номеру слоя, на котором этот паттерн был обнаружен.
   • Последнее обнаружение на интервале – дата и время последнего обнаружения паттерна в потоке событий объекта мониторинга за заданный период.
   • Количество обнаружений на интервале – количество обнаружений паттерна в потоке событий объекта мониторинга за заданный период.
   • Количество событий – количество событий, составляющих паттерн.
   • Последняя активация – дата и время последнего обнаружения паттерна в потоке событий объекта мониторинга или в режиме сна.

5. Если требуется перейти к просмотру структуры паттерна, нажмите на нужную строку паттерна.

   Откроется страница с подробной информацией о паттерне.

   • ID паттерна – идентификатор выбранного паттерна. Первая цифра идентификатора паттерна соответствует номеру слоя, на котором этот паттерн был обнаружен.
   • Количество событий – количество событий, составляющих паттерн.
   • Интервал от предыдущего элемента – временной интервал между выбранным паттерном и паттерном, выявленным в последовательности паттернов на текущем слое до выбранного паттерна. Kaspersky MLAD отображает временные интервалы между элементами выбранного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между элементами этого паттерна.
   • Общее количество активаций – количество обнаружений выбранного паттерна в потоке событий за заданный период.
   • Время окончания паттерна – дата и время окончания выбранного паттерна в последовательности паттернов на текущем слое.
   • Последняя активация – дата и время последнего обнаружения паттерна в потоке событий или в режиме сна.
   • Паттерны – вкладка, содержащая таблицу с информацией о паттернах, входящих в состав выбранного паттерна. На вкладке Паттерны отображаются следующие данные:
     • <номер слоя> слой – вкладки, позволяющие просматривать информацию о паттернах, входящих в состав выбранного паттерна на разных слоях его структуры. Вкладки отображаются, если вы выбрали паттерн, обнаруженного на четвертом слое и выше. Вы можете просматривать паттерны до второго уровня вложенности.
     • ID паттерна – идентификатор вложенного паттерна. Первая цифра идентификатора паттерна соответствует номеру слоя, на котором этот паттерн был обнаружен.
     • Время окончания паттерна – дата и время окончания вложенного паттерна в последовательности паттернов на выбранном слое.
     • Общее количество активаций – количество обнаружений вложенного паттерна в структуре выбранного паттерна.
     • Количество событий – количество событий, составляющих вложенный паттерн.
     • Интервал от предыдущего элемента – временной интервал между вложенным паттерном и предыдущим паттерном в таблице. Kaspersky MLAD отображает временные интервалы между элементами вложенного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между элементами этого паттерна.
     • Последняя активация – дата и время последнего обнаружения вложенного паттерна в последовательности паттернов на выбранном слое или в режиме сна.
   • События – вкладка, содержащая таблицу событий, входящих в состав выбранного паттерна. Для каждого события отображаются следующие данные:
     • ID события – идентификатор события.
     • Системные параметры – параметр, содержащий следующую информацию о событии:
       • Время события – дата и время обнаружения события в структуре паттерна.
       • Интервал от предыдущего элемента – временной интервал между текущим событием и предыдущим событием в таблице. Kaspersky MLAD отображает временные интервалы между событиями выбранного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между событиями этого паттерна.
       • Общее количество активаций – количество повторений события в структуре выбранного паттерна за заданный период.
       • Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
       • Последняя активация – дата и время последнего обнаружения события в потоке событий.
     • Параметры события – значения параметров события, поступившего от объекта мониторинга.

6. Для просмотра структуры паттерна выполните одно из следующих действий:
   • Если требуется посмотреть структуру определенного вложенного паттерна, на вкладке Паттерны блока Вложенные элементы нажмите на нужную строку паттерна.

     Вы можете вернуться к просмотру структуры паттерна верхнего уровня вложенности, нажав на идентификатор нужного паттерна над блоком Информация о паттерне.

   • Если требуется просмотреть таблицу вложенных паттернов на определенном уровне вложенности, на вкладке Паттерны блока Вложенные элементы выберите нужный слой.
   • Если требуется просмотреть события, составляющие паттерн на текущем уровне вложенности, нажмите на вкладку События.

   Kaspersky MLAD отображает структуру паттерна с верхнего уровня вложенности.