Содержание
- О Kaspersky Machine Learning for Anomaly Detection
- Что нового
- Основные понятия Kaspersky MLAD
- Компоненты Kaspersky MLAD
- Типовые схемы развертывания
- Схема потока данных телеметрии и событий
- Администрирование Kaspersky MLAD
- Установка программы
- Обновление программы и откат к предыдущей установленной версии
- Подготовка к работе
- Запуск и остановка Kaspersky MLAD
- Обновление сертификатов Kaspersky MLAD
- Первый запуск Kaspersky MLAD
- Настройка параметров Kaspersky MLAD
- Настройка основных параметров Kaspersky MLAD
- Настройка службы Anomaly Detector
- Настройка службы Keeper
- Настройка службы Mail Notifier
- Настройка службы Similar Anomaly
- Настройка службы Stream Processor
- Настройка коннектора HTTP Connector
- Настройка коннектора MQTT Connector
- Настройка коннектора AMQP Connector
- Настройка коннектора OPC UA Connector
- Настройка коннектора KICS Connector
- Настройка коннектора CEF Connector
- Настройка коннектора WebSocket Connector
- Настройка службы Event Processor
- Настройка статусов и причин инцидентов
- Настройка логирования служб Kaspersky MLAD
- Настройка временных интервалов отображения данных
- Настройка отображения основного меню Kaspersky MLAD
- Экспорт и импорт файла конфигурации компонентов Kaspersky MLAD
- Запуск, остановка и перезапуск служб
- Управление тегами
- Управление ML-моделями и шаблонами
- Настройка параметров в разделе Процессор событий
- Управление учетными записями пользователей
- Управление уведомлениями об инцидентах
- Удаление программы
- Подключение к Kaspersky MLAD и завершение сеанса
- Веб-интерфейс Kaspersky MLAD
- Лицензирование программы
- Обработка и хранение данных в Kaspersky MLAD
- Решение типовых задач
- Сценарий: Работа с Kaspersky MLAD
- Просмотр сводных данных в разделе Информационная панель
- Просмотр поступающих данных в разделе Мониторинг
- Просмотр данных в разделе История
- Просмотр данных в разделе Временной срез
- Работа с событиями и паттернами
- Работа с инцидентами и группами инцидентов
- Сценарий: Анализ инцидентов
- Просмотр инцидентов
- Просмотр технических характеристик зарегистрированного инцидента
- Просмотр групп инцидентов
- Исследование поведения объекта мониторинга в момент обнаружения инцидента
- Добавление статуса, причины, экспертного заключения и замечания к инциденту или группе инцидентов
- Экспорт инцидентов в файл
- Работа с ML-моделями и шаблонами
- Управление пресетами
- Просмотр статуса службы
- Устранение неисправностей
- При подключении к Kaspersky MLAD браузер выводит предупреждение о сертификате
- Закончилось свободное пространство на жестком диске
- Непредвиденная перезагрузка операционной системы
- Не удается подключиться к веб-интерфейсу Kaspersky MLAD
- Не отображаются графики в разделах История и Мониторинг
- Не выполняется передача событий между Kaspersky MLAD и внешними системами
- Невозможно загрузить данные для просмотра в разделе Процессор событий
- Неправильно обрабатываются данные в разделе Процессор событий
- Не отображаются события в разделе Процессор событий
- Не отображаются ранее созданные мониторы и заданные параметры конфигурации внимания в разделе Процессор событий
- Требуется изменить язык локализации Справки до подключения к программе
- Обращение в Службу технической поддержки
- Приложения
- Глоссарий
- Информация о стороннем коде
- Уведомления о товарных знаках
О Kaspersky Machine Learning for Anomaly Detection
Система раннего обнаружения аномалий Kaspersky Machine Learning for Anomaly Detection 3.0.0 (далее также Kaspersky MLAD, программа) – программное обеспечение, предназначенное для предотвращения сбоев, аварий или деградации промышленных установок, технологических процессов, сложных киберфизических систем. Анализируя данные телеметрии с помощью методов машинного обучения (искусственного интеллекта), Kaspersky MLAD выявляет признаки аномальной ситуации до того, как она будет обнаружена традиционными системами мониторинга.
Kaspersky MLAD обнаруживает аномалии в технологических процессах независимо от вызвавших их причин. Аномалии могут быть вызваны следующими причинами:
- Физические (например, поломка оборудования или выход из строя датчиков).
- Человеческий фактор (например, намеренные или ненамеренные, некорректные действия оператора, настройка оборудования, смена режимов или установок или переход на ручное управление).
- Кибератаки.
Основные возможности Kaspersky MLAD:
- В реальном времени выявляет аномальное поведение объекта мониторинга.
- Определяет сигналы, в которых обнаружены наибольшие отклонения от нормального поведения.
- Позволяет анализировать инциденты с учетом информации о похожих инцидентах.
- Предоставляет возможность экспертной классификации и аннотации инцидентов.
- Предоставляет возможность оповещения об обнаружении инцидентов через веб-интерфейс, сообщения электронной почты, через отправку сообщений в Kaspersky Industrial CyberSecurity for Networks, а также через индустриальные протоколы передачи данных.
- Позволяет использовать модели на основе как машинного обучения, так и на основе произвольных правил для обнаружения аномалий.
- Отображает в виде графиков наблюдаемые и предсказываемые значения тегов и ошибки прогноза как в режиме онлайн-мониторинга, так и в режиме ретроспективного анализа истории телеметрии.
- Обеспечивает работу с журналом обнаруженных инцидентов.
- Предоставляет возможность переобучения и дополнительного обучения используемой ML-модели.
- Позволяет создавать шаблоны на основе добавленных ML-моделей и добавлять ML-модели в Kaspersky MLAD по созданным шаблонам.
- Предоставляет возможность получения данных телеметрии по протоколам HTTP, OPC UA, MQTT, AMQP, CEF и WebSocket, а также по специализированному протоколу поверх протокола HTTPS от программы Kaspersky Industrial CyberSecurity for Networks.
- Отображает в виде графиков исторические данные и данные, поступающие в режиме реального времени, в соответствии с заданными наборами тегов.
- Определяет и обрабатывает прекращения и/или прерывания потока поступающих данных, а также восстанавливает пропущенные наблюдения.
- На основе данных о событиях, полученных из внешних систем, распознает закономерности в виде повторяющихся событий и паттернов, а также выявляет новые события и паттерны в потоке событий.
- Отображает выявленные события в виде графа и таблицы, а также выявленные паттерны в виде послойной иерархии вложенных элементов.
- Отправляет оповещения об обнаружении определенных событий, паттернов или значений параметров событий, поступающих в процессор событий в потоке данных от объекта мониторинга.
Комплект поставки
Kaspersky MLAD поставляется в виде файла архива mlad-3.0.0-<номер сборки>.tar.xz, который содержит следующие файлы:
- установочный скрипт и все необходимые для установки системы файлы;
- файлы с текстом Лицензионного соглашения на русском и английском языках;
- файлы с информацией о программе (Release Notes) на русском и английском языках;
- файл с информацией о стороннем коде legal_notices.txt на английском языке.
После того как вы распаковали архив, в директории legal будут расположены текстовые файлы license_ru.txt и license_en.txt, с помощью которых вы можете ознакомиться с Лицензионным соглашением. В Лицензионном соглашении указано, на каких условиях вы можете пользоваться программой.
В начало
Аппаратные и программные требования
Аппаратные требования для каждого защищаемого объекта нужно уточнять с учетом применяемой модели, количества обрабатываемых тегов и событий, средней скорости получения данных (количества наблюдений в секунду) и объема хранимых данных. Чем больше объем обрабатываемых данных и сложность используемой ML-модели, тем больше аппаратных ресурсов потребуется для установки серверной части Kaspersky MLAD.
Для функционирования Kaspersky MLAD компьютер должен удовлетворять следующим минимальным требованиям.
Требования к серверу Kaspersky MLAD
Список поддерживаемых процессоров:
- процессор Intel Xeon E3 v3, v4, v5, v6;
- процессор Intel Xeon E5 v3, v4;
- процессор Intel Xeon E7 v3, v4;
- масштабируемые процессоры Intel Xeon;
- масштабируемые процессоры Intel Xeon 2-го и 3-го поколения;
- процессор Intel Xeon E;
- процессор Intel Xeon W;
- процессор Intel Xeon D;
- процессор Intel Core i5, i7 4-го поколения и выше;
- процессор Intel Core i9;
- процессор Intel Core M.
Минимальные аппаратные требования:
- 8 ядер;
- 32 ГБ оперативной памяти;
- 1 ТБ свободного пространства на жестком диске (рекомендуется использовать SSD-диск).
Вы можете установить Kaspersky MLAD на сервер с другим 64-битным процессором архитектуры x86 2013 года выпуска и позже. Процессор должен соответствовать вышеперечисленным минимальным аппаратным требованиям и поддерживать следующие расширения, необходимые для библиотеки TensorFlow 2.8.3:
- Advanced Vector Extensions (avx);
- Advanced Vector Extensions 2 (avx2).
Поддерживаемая операционная система:
- Ubuntu 22.04 LTS и выше.
До развертывания Kaspersky MLAD должно быть установлено следующее программное обеспечение:
- docker 20.10.21 и выше;
- docker compose 2.12.2 и выше.
Устанавливать программное обеспечение на сервер Kaspersky MLAD требуется с официального Docker-репозитория.
Требования к компьютеру оператора
Для работы с веб-интерфейсом Kaspersky MLAD компьютер оператора должен удовлетворять следующим минимальным требованиям:
- процессор Intel Core i5;
- 8 ГБ оперативной памяти;
- установленный браузер Google Chrome версии 107 и выше;
- минимальное разрешение экрана монитора для корректного отображения веб-интерфейса – 1600х900.
Рекомендации по обеспечению безопасной работы
Для обеспечения безопасной работы Kaspersky MLAD на предприятии рекомендуется ограничить и контролировать доступ к оборудованию, на котором работает программа.
Физическая безопасность оборудования
При внедрении Kaspersky MLAD рекомендуется принять следующие меры по обеспечению безопасной работы:
- Ограничить доступ в помещение, в котором расположен сервер с установленной программой Kaspersky MLAD, а также к сетевому оборудованию выделенной сети. Доступ в помещение должен предоставляться только доверенными лицами, например персоналу, обладающему полномочиями по установке и настройке программы.
- Обеспечить контроль физического доступа к оборудованию, на котором работает программа, с помощью технических средств или службы охраны.
- Проводить мониторинг доступа в контролируемые помещения с помощью средств охранной сигнализации.
- Осуществлять видеонаблюдение в контролируемых помещениях.
Информационная безопасность
Внимание! Параметры ML-модели напрямую влияют на обнаружение аномалий, и поэтому изменять их могут только администраторы Kaspersky MLAD. Дата последнего изменения ML-модели (активация, изменение имени, порогового значения MSE, весов MSE) доступна в разделе Модели. История изменений доступна только в логах, которые хранятся ограниченное время.
При использовании веб-интерфейса рекомендуется дополнительно принять следующие меры по обеспечению информационной безопасности интранет-системы:
- Обеспечить пользователям доступ к программе только через веб-интерфейс.
- Установить сертификаты на компьютеры пользователей для авторизации сервера Kaspersky MLAD c браузером. Для использования доверенного сертификата вам нужно обратиться к администратору.
- Обеспечить защиту трафика внутри интранет-системы.
- Обеспечить защиту подключений к внешним сетям.
- Для подключений через веб-интерфейс использовать пароли, содержащие не менее 8 символов и включающие буквы и цифры. Обеспечивать конфиденциальность и уникальность паролей. При угрозе компрометации пароля изменить пароль (в текущей версии программы изменить пароль может только администратор).
- Установить ограничение времени жизни веб-сессии пользователя.
- После окончания работы в браузере принудительно завершать сеанс подключения к программе с помощью пункта Выход в веб-интерфейсе.
- Периодически выполнять установку обновлений для операционной системы на сервере, на котором развернут Kaspersky MLAD.
- Использовать разграничение прав доступа пользователей к функциям программы.
Безопасность данных
В процессе работы с Kaspersky MLAD рекомендуется дополнительно принять следующие меры по обеспечению безопасности данных:
- Выполнять периодическое резервное копирование данных сервера с установленной программой Kaspersky MLAD согласно внутреннему регламенту компании.
- Выполнять периодический контроль работоспособности интерфейса и служб программы. Особое внимание нужно уделять службе нотификации и системе логирования.
- Выполнять проверку каналов связи на исправность и безопасность.
- Выполнять периодический контроль работоспособности сервера:
- контроль дисков по SMART;
- наличие достаточного свободного места и памяти;
- загруженность оперативной памяти.
- Контролировать протоколы сервера на отсутствие проблем, используя систему мониторинга.
- Хранить код активации и чувствительные данные в надежном хранилище.
Разделение доступа к функциям программы
Этот раздел содержит описание разграничения доступа пользователей к функциям программы.
В Kaspersky MLAD вы можете разграничить доступ пользователей к функциям программы в зависимости от задач пользователей, используя типовые роли.
Роль – это набор прав доступа к функциям программы, который вы можете назначить пользователю.
Доступные функции программы в зависимости от роли пользователя
Функция программы |
Администратор |
Оператор |
|---|---|---|
|
|
|
|
|
|
Просмотр ролей и прав пользователей |
|
|
|
|
|
Получение и обработка уведомлений об инцидентах |
|
|
|
|
|
|
|
|
|
|
|
Мониторинг параметров технологического процесса в реальном времени |
|
|
Просмотр исторических данных (включая выбор даты и масштаба) |
|
|
|
|
|
Импорт (только секции presets) и экспорт пресетов |
|
|
|
|
|
|
|
|
|
|
|
Настройка параметров конфигурации внимания и отображения параметров событий |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Просмотр логов Kaspersky MLAD |
|
|
Вы можете просмотреть доступные роли пользователей в разделе Настройка → Роли. Раздел Роли содержит таблицу, в которой представлена информация о каждой роли.
Вы можете просмотреть права доступа к функциям программы в разделе Настройка → Права. Раздел Права содержит таблицу, в которой представлена информация о правах доступа к функциям программы для пользователей.
Просмотр ролей пользователей и прав доступа доступен только для пользователей с правами администратора.
В начало
Что нового
В Kaspersky Machine Learning for Anomaly Detection 3.0.0 появились следующие возможности и доработки:
- Раздел веб-интерфейса Модели – добавлена функциональность, позволяющая создавать шаблоны по ML-моделям и добавлять однотипные ML-модели по созданным шаблонам. В шаблонах ML-моделей сохраняется структура алгоритма, набор элементов и состояние обучения ML-модели, по которой был создан шаблон.
- Служба Stream Processor – добавлен новый компонент, позволяющий приводить данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени, к равноинтервальной временной сетке (далее также "РИВС"). Компонент Stream Processor учитывает возможные потери данных и обрабатывает наблюдения, поступившие в Kaspersky MLAD слишком рано или поздно. В таких случаях Stream Processor регистрирует инциденты.
- Служба Event Processor – добавлена функциональность, позволяющая процессору событий переходить в режим сна в соответствии с заданным расписанием. В режиме сна процессор событий повторно анализирует последовательности событий, обработанные в основном режиме работы, для улучшения качества ранее выявленных паттернов и их структуры. Реализован механизм сохранения состояния службы Event Processor в базе данных после обработки каждого эпизода событий. Этот механизм обеспечивает сохранение данных до последнего обработанного эпизода и уменьшает потребность в вычислительных ресурсах, необходимых для полного сохранения состояния службы Event Processor. Добавлена функциональность, позволяющая просмотреть структуру паттернов виде послойной иерархии вложенных элементов, включая временные интервалы между элементами в составе паттерна.
- Коннектор WebSocket Connector – добавлен новый коннектор, позволяющий получать данные телеметрии от систем АСУ ТП и отправлять сообщения о регистрации инцидентов по протоколу WebSocket.
- Раздел веб-интерфейса Системные параметры – добавлена функциональность, позволяющая управлять уровнями логирования служб Kaspersky MLAD, статусами и причинами инцидентов, временными интервалами отображения данных на графиках в разделах Мониторинг, История и Временной срез. Добавлена функциональность, позволяющая управлять параметрами блокировки учетных записей пользователей.
- Раздел веб-интерфейса Теги – реализовано автоматическое добавление неизвестных тегов, полученных от внешних устройств через KICS Connector, в соответствии с именами тегов и устройств в Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше.
Основные понятия Kaspersky MLAD
Этот раздел содержит развернутые определения основных понятий в Kaspersky MLAD.
Теги
Основными объектами наблюдения в Kaspersky MLAD являются теги. Тег – это параметр технологического процесса, передаваемый в промышленной сети (например, контролируемая температура). В виде тегов могут передаваться измерения физических параметров, а также уставки, команды или состояния систем регулирования. Значения тегов передаются и принимаются устройствами по определенным протоколам. Значения тегов отображаются на графиках в разделе История и Мониторинг, а также используются для обнаружения инцидентов.
В Kaspersky MLAD есть следующие типы тегов:
Kaspersky MLAD поддерживает несколько способов получения данных телеметрии (тегов). В зависимости от характеристик объекта мониторинга и возможностей передачи тегов вы можете выбрать один из следующих способов получения тегов:
- С помощью коннекторов Kaspersky Industrial CyberSecurity for Networks, которые анализируют зеркалированный трафик и отдают теги в Kaspersky MLAD в онлайн-режиме. Kaspersky MLAD передает обратно информацию об обнаруженных инцидентах.
- С помощью коннектора OPC UA Connector, если на объекте мониторинга есть возможность передавать теги от АСУ ТП по протоколу OPC UA в онлайн-режиме.
- С помощью коннектора MQTT Connector, если на объекте мониторинга есть возможность передавать теги по протоколу MQTT и принимать оповещения о регистрации инцидентов в онлайн-режиме.
- С помощью коннектора AMQP Connector, если на объекте мониторинга есть возможность передавать теги по протоколу AMQP и принимать оповещения о регистрации инцидентов в онлайн-режиме.
- С помощью коннектора WebSocket Connector, если на объекте мониторинга есть возможность передавать теги по протоколу WebSocket и принимать оповещения о регистрации инцидентов в онлайн-режиме.
- С помощью коннектора CEF Connector, если на объекте мониторинга есть возможность передавать теги с помощью технологии CEF и принимать оповещения о регистрации возникновении инцидентов в онлайн-режиме.
- Если первые четыре способа передачи тегов недоступны, с помощью коннектора HTTP Connector можно настроить регламентную выгрузку тегов в виде CSV-файлов по протоколу HTTP (например, один раз в час или один раз в минуту), написав скрипт выгрузки тегов.
ML-модели
ML-модель – это алгоритм, основанный на методах машинного обучения, задачей которого является анализ телеметрии объекта мониторинга и обнаружение аномалий.
ML-модель создается специалистами "Лаборатории Касперского" или сертифицированным интегратором для конкретного объекта мониторинга с учетом особенностей объекта и характеристик данных телеметрии. При создании ML-модели формируется общая структура алгоритма (архитектура), после чего ML-модель обучается на исторических данных телеметрии, таким образом настраиваясь на особенности поведения конкретного объекта.
ML-модель, загружаемая в Kaspersky MLAD для работы с объектом мониторинга, состоит из одного или нескольких элементов, каждый из которых представляет собой самостоятельную ML-модель, а общий результат работы службы Anomaly Detector складывается из объединения результатов работы элементов ML-модели. Как правило, чем сложнее технологические процессы объекта мониторинга, тем больше элементов будет содержать ML-модель.
ML-модель Kaspersky MLAD может строиться на основе одного или нескольких детекторов, работающих параллельно:
В Kaspersky MLAD ML-модель может быть импортирована или создана по шаблону. В свою очередь, шаблоны ML-моделей создаются на основе ранее добавленных ML-моделей. В шаблонах ML-моделей сохраняется структура алгоритма, набор элементов и состояние ML-модели, по которой был создан шаблон. Состояние созданной ML-модели будет соответствовать состоянию обучения исходной ML-модели в момент создания ее шаблона.
С помощью шаблонов вы можете добавить в Kaspersky MLAD однотипные ML-модели, которые будут анализировать данные, поступающие с оборудования одного типа с похожим набором тегов. При создании ML-модели по шаблону можно изменить состав используемых в ML-модели тегов, указав идентификаторы тегов, отличные от идентификаторов тегов исходной ML-модели.
Инциденты
Инцидент – это обнаруженное детектором аномалий отклонение от ожидаемого (нормального) поведения объекта мониторинга.
Kaspersky MLAD поддерживает несколько типов детекторов аномалий: Forecaster, Rule Detector, Limit Detector. Каждый детектор анализирует поступающие от объекта мониторинга данные телеметрии на предмет отклонений от нормального поведения объекта.
Кроме выявления отклонений от нормального поведения объекта Kaspersky MLAD контролирует качество поступающих данных. В случае прекращения или прерывания входного потока данных для определенного тега или обнаружения во входном потоке наблюдений, поступивших в программу слишком рано или поздно, служба Stream Processor регистрирует инциденты.
При обнаружении отклонения соответствующий детектор фиксирует дату, время, релевантные параметры отклонения и сохраняет их в виде записи в разделе Инциденты. Если в Kaspersky MLAD для пользователей или внешних систем настроены уведомления об инцидентах, то информация об инциденте отправляется адресатам через соответствующие компоненты Kaspersky MLAD.
Инциденты, обнаруженные детектором Forecaster
ML-модель, созданная на основе детектора Forecaster, обучена на определенном подмножестве тегов и может предсказывать поведение тегов в текущий момент. Инцидентом в этом случае считается существенное расхождение между наблюдаемыми (фактическими) значениями тегов и предсказанными значениями тегов, полученными в результате работы элемента ML-модели. В параметрах элемента модели вы можете просмотреть, какие теги анализируются нейронной сетью (параметр in_tags) и поведение каких тегов предсказывается (параметр out_tags).
ML-модель, построенная на основе детектора Forecaster, состоит из одного или нескольких элементов ML-модели, функционирующих параллельно. В разделах История и Мониторинг вы можете выбрать определенную ветку ML-модели для отображения на графиках MSE инцидентов, зарегистрированных в результате работы определенного элемента модели. Зарегистрированные инциденты отображаются в нижней части графика MSE в виде цветных точек-индикаторов.
На графике MSE также отображаются предсказанные значения тегов и ошибки MSE для выбранного элемента ML-модели. Ошибка MSE – это показатель отличия предсказанных значений от фактических, суммарно по всем тегам, включенным в выбранный элемент ML-модели. Чем выше значение MSE, тем сильнее поведение тегов отличается от ожидаемого (нормального). Порог MSE – это критический уровень значения MSE, при превышении которого детектор Forecaster регистрирует инцидент. Порог MSE на графике MSE отображается в виде оранжевой линии.
График MSE отображается в нижней части раздела История (см. рисунок ниже).
График MSE в разделе История
Для каждого инцидента автоматически определяются теги, поведение которых сильнее повлияло на регистрацию инцидента. Из этих тегов формируется пресет Tags for event #N, который доступен для выбора в разделе История. Теги в составе пресета Tags for event #N отсортированы в порядке убывания отклонения их поведения от ожидаемого. Первый, наиболее аномальный тег также выводится в таблице инцидентов в разделе Инциденты. В таблице инцидентов также указывается порог ошибки MSE и фактическое значение ошибки MSE в момент регистрации инцидента.
Информация, полученная при просмотре пресета Tags for event #N, не является диагностической с точки зрения определения причин инцидента, но ее можно использовать при анализе значений тегов с наибольшими отклонениями в поведении. Тег, поведение которого первым отклонилось от нормы и повлекло дальнейшие отклонения в других тегах, является тегом-причиной. В некоторых случаях тег-причина может находиться не на первом месте в пресете Tags for event #N или отсутствовать в нем. Это может произойти по следующим причинам:
- Незначительные по амплитуде изменения в поведении тега-причины произвели мультипликативный эффект и вызвали существенные отклонения других тегов, которые попали в пресет Tags for event #N.
- Тег-причина не анализируется ML-моделью, и Kaspersky MLAD регистрирует вторичные изменения поведения тегов, вызванные отклонением тега-причины.
- Изменения в поведении тега-причины имели отложенный эффект, и к моменту возникновения аномалии в работе объекта мониторинга поведение тега-причины вернулось в нормальный режим.
Инциденты, обнаруженные детектором Rule Detector
Элемент ML-модели, построенный на основе детектора Rule Detector, состоит из одного или несколько диагностических правил. Результатом работы каждого диагностического правила является получение значения индикаторного тега, которое вычисляется в каждый момент времени. Имя и описание индикаторного тега отражают назначение диагностического правила, например: Отказ сенсора X, Лопатки турбины загрязнены или Падение оборотов ротора. Вы можете интерпретировать значения индикаторного тега следующим образом:
- Получено значение
0. Диагностическое правило в текущий момент не сработало или не применимо. - Получено значение
1. Диагностическое правило в текущий момент сработало. - В отдельных случаях возможны промежуточные значения от
0до1. Диагностическое правило в текущий момент сработало частично.
В момент, когда значение индикаторного тега достигает установленного для диагностического правила порога (как правило, равного единице), детектор Rule Detector регистрирует инцидент. Индикаторный тег отображается в таблице инцидентов раздела Инциденты. Для каждого инцидента, зарегистрированного детектором Rule Detector автоматически формируется пресет Tags for event #N, который доступен для выбора в разделе История. В составе этого пресета присутствует индикаторный тег, вызвавший инцидент, а также теги, входящие в состав соответствующего диагностического правила.
Для отображения графиков индикаторных тегов вы можете включить отображение предсказанных значений тегов в разделе История.
В начало
Инциденты, обнаруженные детектором Limit Detector
Если включен детектор Limit Detector, то при использовании любой ML-модели Kaspersky MLAD автоматически отслеживает все теги, для которых указаны допустимые технические пределы значений тега. Технические пределы могут быть указаны в конфигурации тегов, импортируемой в Kaspersky MLAD в начале работы. Вы можете изменить технические пределы значений тега при изменении тега.
Для визуального контроля положения графика тега относительно технических пределов включите функцию Всегда показывать технические пределы. Если эта функция выключена, то верхняя или нижняя предельная линия отображается только, если значения тега достигали соответствующего предела на промежутке времени, который в настоящий момент выводится на экране. Детектор Limit Detector определяет и регистрирует события независимо от работы функции Всегда показывать технические пределы.
В момент, когда значение тега достигает верхнего или нижнего технического предела, детектор Limit Detector регистрирует инцидент. Этот тег отображается в таблице инцидентов в разделе Инциденты. В таблице инцидентов указаны также технические пределы значений тега и фактическое значение тега, нарушившего один их этих пределов. Для каждого инцидента, зарегистрированного детектором Limit Detector автоматически формируется пресет Tags for event #N, который доступен для выбора в разделе История. В состав этого пресета включается единственный тег-причина возникновения инцидента.
В начало
Инциденты, обнаруженные службой Stream Processor
Служба Stream Processor собирает данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени, и приводит их к равноинтервальной временной сетке. При сборе поступающих данных служба Stream Processor может обнаруживать потери данных телеметрии и наблюдения, поступившие в Kaspersky MLAD слишком рано или поздно. В таких случаях служба Stream Processor регистрирует инцидент.
Инциденты, обнаруженные службой Stream Processor, отображаются в таблице инцидентов раздела Инциденты. Каждому инциденту, зарегистрированному службой Stream Processor, автоматически присваивается один из следующих типов инцидента:
- Сбой часов объекта мониторинга – в случае обнаружения наблюдений, поступивших в Kaspersky MLAD слишком рано.
- Позднее поступление наблюдения – в случае обнаружения наблюдений, поступивших в Kaspersky MLAD поздно.
- Нет данных – в случае прекращения или прерывания входного потока данных определенного тега.
Аномалии
Аномалия – это нештатное, не предусмотренное регламентом работы и не обусловленное производственным процессом отклонение в поведении объекта мониторинга.
Kaspersky MLAD регистрирует только инциденты. Является тот или иной инцидент аномалией определяет специалист АСУ ТП после проведения анализа зарегистрированных программой инцидентов. В результате анализа инцидента может быть сделан один из следующих выводов:
- Инцидент является аномалией, требующей ответных действий со стороны оператора объекта мониторинга.
- Инцидент не является аномалией, это ложно-положительное срабатывание детектора.
- Используемый в ML-модели детектор отработал корректно, но инцидент не является аномалией.
Анализ и оценка инцидентов производится предметным экспертом. В некоторых случаях (при регистрации инцидентов, выявленных диагностическими правилами или инцидентов, случившихся повторно) возможна автоматическая оценка и группирование похожих инцидентов.
Используемый в ML-модели детектор может не обнаружить объективно существовавшую аномалию. В этом случае аномалия не будет соответствовать ни одному из зарегистрированных инцидентов и не отразится в истории Kaspersky MLAD. Если из наблюдений эксперта, оператора или сторонних источников станет известно о неоднократных фактах отсутствия срабатывания детектора, необходимо определить причину ухудшения качества работы детектора и провести дополнительную настройку или дополнительное обучение ML-модели. Дополнительное обучение ML-модели могут выполнять только специалисты "Лаборатории Касперского" или сертифицированные интеграторы.
На аномалию в работе объекта мониторинга также могут указывать новые
, и значения параметров событий, обнаруженные службой Event Processor (далее также "процессор событий") в потоке поступающих событий. При обнаружении новых событий, паттернов или значений параметров событий служба Event Processor не регистрирует инциденты. Для просмотра новых обнаружений в разделе Процессор событий вы можете просмотреть историю регистрации паттернов, выполнив фильтрацию по типу Новые. Вы также можете создать монитор для отслеживания новых событий, паттернов или значений параметров событий. Служба Event Processor активирует монитор при каждом выявлении событий, паттернов или значений параметров событий, соответствующих заданным критериям поиска. При достижении заданного порога количества активаций монитора на скользящем окне служба Event Processor отправит оповещение об активации монитора во внешнюю систему с помощью CEF-коннектора.
Процессор событий
Процессор событий в составе Kaspersky MLAD предназначен для выявления в потоке событий, поступающих от объектов мониторинга и от службы Anomaly Detector, закономерностей в виде повторяющихся событий и паттернов, а также для выявления новых событий и паттернов. Новые события и паттерны могут указывать на аномалию в работе объекта мониторинга.
События
Служба Event Processor обрабатывает данные, поступающие от объектов мониторинга и от службы Anomaly Detector, в виде событий. Событие – это набор значений, описывающих изменение состояния объекта мониторинга по заранее заданному перечню параметров, с указанием момента времени, когда произошло изменение. Набор параметров событий зависит от объекта мониторинга и задается администратором в конфигурационном файле для службы Event Processor.
Процессор событий предназначен для работы только с категориальными значениями параметров событий. Значения параметров событий преобразуются к строковому типу. Для работы с численными значениями данных телеметрии при обработке потока событий Kaspersky MLAD использует службу Anomaly Detector. Администратор может включить обработку данных от службы Anomaly Detector при настройке параметров службы Event Processor.
Событие представляет собой явление, обособленное от других событий, и при этом могут существовать интервалы времени, в течение которых никаких событий не происходило. На регистрацию события могут повлиять такие факторы, как действия персонала, изменение режима работы устройства на предприятии или выполнение специалистом команд на АСУ ТП.
Примеры ситуаций, которые могут привести к регистрации событий в Kaspersky MLAD
Событие регистрируется службой Event Processor один раз. При поступлении потока событий процессор событий распознает ранее выявленные события. В случае обнаружения событий, которые не соответствуют ранее выявленным, процессор событий регистрирует новые события.
Вы можете просмотреть полученные события в виде графа или таблицы. Для просмотра событий требуется загрузить их в разделе Процессор событий → История событий. Параметры событий, указанные в конфигурационном файле для службы Event Processor, могут встречаться не во всех событиях, поступающих от объекта мониторинга. Таким образом, при просмотре полученных событий часть параметров может отсутствовать.
Паттерны
В потоке событий, поступающих от объекта мониторинга, процессор событий выявляет закономерности в виде иерархии стабильных (устойчиво повторяющихся) паттернов. Такие закономерности могут быть представлены простыми паттернами (последовательностью событий) или составными паттернами (последовательностью паттернов). В свою очередь паттерны, образующие составной паттерн, называются вложенными.
Последовательность событий или паттернов считается повторяющейся, если составляющие ее элементы следуют в одном и том же порядке, при этом интервалы времени между аналогичными элементами в разных последовательностях отличаются друг от друга не более чем на некоторый максимально допустимый диапазон. Допустимый диапазон интервалов между элементами паттерна рассчитывается с учетом значения параметра Коэффициент, определяющий допустимую дисперсию длительности паттерна. Паттерны обусловлены сложившимися на предприятии практиками, регламентами или техническими особенностями производственного процесса.
Процессор событий представляет выявленные закономерности как послойную иерархию вложенных элементов (структуру паттерна) до уровня событий. События являются элементами первого слоя, простые паттерны – элементами второго слоя, составные паттерны – элементами третьего слоя и выше. Значения параметров события являются элементами нулевого слоя.
Паттерн регистрируется службой Event Processor один раз. При поступлении потока событий процессор событий распознает ранее выявленные паттерны. В случае обнаружения паттернов, которые не соответствуют ранее выявленным закономерностям, процессор событий регистрирует новые паттерны.
К новым паттернам будут относиться последовательности событий или паттернов как с нарушением порядка или состава вложенных паттернов (например, включение агрегата до того, как оператор появился на рабочем месте), так и со значительным изменением интервалов между событиями или вложенными паттернами при сохранении их последовательности (например, включение агрегата через слишком короткий или, наоборот, слишком длинный интервал времени после появления оператора на рабочем месте). Таким образом, процессор событий регистрирует паттерны с новой структурой.
Новые паттерны могут указывать на аномалию в работе объекта мониторинга. Вы можете просмотреть структуру нового паттерна для изучения ее отклонений от структуры ранее выявленных закономерностей.
Если вновь выявленная последовательность событий или паттернов начинает устойчиво повторяться, такая последовательность превращается в стабильный паттерн.
Направления внимания
Поток событий, поступающих от объекта мониторинга, как правило, содержит множество несвязанных между собой событий. Служба Event Processor поддерживает механизм направлений внимания, который позволяет выявлять паттерны на определенном подмножестве событий из всего потока.
Внимание – это специальная конфигурация процессора событий, которую требуется настроить для отслеживания событий и паттернов по отдельным подмножествам истории событий (направлениям внимания). Направление внимания определяется значением параметра событий, которое должно присутствовать во всех событиях этого направления. Процессор событий будет выявлять события и паттерны только по тем направлениям внимания, которые задаются в конфигурации внимания.
Вы можете настроить направления внимания в разделе Процессор событий.
Режимы работы процессора событий
В Kaspersky MLAD предусмотрены следующие режимы работы службы Event Processor:
- Основной режим. В основном режиме работы процессор событий обрабатывает входящий поток событий в виде эпизодов. Эпизод – это последовательность событий из всего потока, ограниченная по времени и/или количеству событий. Эпизод считается сформированным при выполнении одного из следующих условий:
- Время накопления эпизода достигло предела, заданного в параметре Интервал получения событий эпизода (сек.) службы Event Processor.
- Количество накопленных событий достигло предела, заданного в параметре Размер эпизода в основном режиме (количество событий) службы Event Processor.
По полученному в потоке событий эпизоду служба Event Processor выявляет новые и/или повторяющиеся (стабильные) события и паттерны по каждому из заданных направлений внимания. Вы можете настроить направления внимания в разделе Процессор событий.
При поступлении события, временная метка которого относится к ранее обработанному эпизоду, служба Event Processor не пересматривает структуру паттернов, выявленных при обработке этого эпизода. Служба Event Processor учитывает события, поступившие в Kaspersky MLAD с временной задержкой, при выявлении паттернов во время повторной обработки истории событий в режиме сна.
- Режим сна. Для улучшения качества выявленных паттернов и их структуры процессор событий может переходить в режим сна в соответствии с заданным расписанием. Обработка потока событий в онлайн-режиме приостанавливается, при этом Kaspersky MLAD накапливает поступающие события во внутреннем ограниченном буфере сервера для последующей обработки после перехода из режима сна в основной режим работы.
В режиме сна процессор событий повторно анализирует последовательности событий, обработанные ранее в основном режиме работы. Для выявления более сложных структур паттернов в режиме сна процессор событий обрабатывает последовательности событий за более длительные интервалы времени, чем время накопления эпизода в основном режиме.
В параметрах службы Event Processor вы можете настроить расписание режима сна (например, на время, когда поток событий наименее интенсивен), а также интервал времени, за который требуется передать события, проанализированные в основном режиме работы, на повторную обработку.
Мониторы
Монитор – источник извещений о выявлении процессором событий паттернов, событий или значений параметров событий в соответствии с заданными критериями мониторинга. Критерии мониторинга определяют скользящий временной интервал, число последовательных обнаружений, фильтры для значения параметров событий, а также условие для обнаружения новых событий, паттернов или значений параметров событий.
Вы можете создать мониторы для оповещения о выявлении следующих вхождений в потоке событий:
- Значения параметров событий. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся значений определенного параметра события. Например, если вы хотите отслеживать новых пользователей на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Значения параметров и настроить его на выявление новых значений по параметру Пользователь.
- События. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся событий. Вы также можете сфокусировать внимание процессора событий на определенном параметре событий. Например, если вы хотите отслеживать новые действия конкретного пользователя на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки События и указать в параметре события Пользователь имя пользователя, действия которого вы хотите отслеживать.
- Паттерны. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся паттернов по определенному направлению внимания. Например, если вы хотите отслеживать закономерности в действиях конкретного пользователя на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Паттерны, сфокусировать внимание процессора событий на параметре Пользователь и указать в этом параметре имя пользователя, закономерности в действиях которого вы хотите отслеживать.
Фильтры в составе критериев мониторинга могут задаваться нечетко. Например, вы можете создать монитор для отслеживания ситуаций, при которых какой-либо пользователь (отслеживание по всем значениям параметра Пользователь) ходил к серверу бухгалтерии (значение параметра Сервер) более десяти раз (значение поля Порог) за последние пять минут (значение скользящего временного интервала).
При обнаружении в потоке поступающих данных событий, паттернов или значений параметров событий, соответствующих критериям мониторинга, процессор событий активирует монитор. Kaspersky MLAD отображает информацию о количестве активаций монитора при его просмотре, а также отправляет во внешнюю систему оповещения об активации мониторов при достижении заданного порога на скользящем окне с помощью коннектора CEF Connector.
Созданные пользователем мониторы отображаются в разделе Процессор событий на вкладке Мониторинг.
Компоненты Kaspersky MLAD
Kaspersky MLAD включает в себя следующие компоненты:
ML-модель
ML-модель – это модель, которую специалисты "Лаборатории Касперского" или сертифицированный интегратор создают для конкретного объекта защиты на основе алгоритмов машинного обучения и/или диагностических правил с использованием данных телеметрии этого объекта. ML-модель обеспечивает обнаружение инцидентов.
ML-модель не входит в комплект поставки программы и предоставляется в рамках Услуги построения модели и внедрения Kaspersky MLAD.
Службы Kaspersky MLAD
Службы Kaspersky MLAD – это набор основных компонентов программы, который поставляется на каждый объект мониторинга. Kaspersky MLAD включает в себя следующие службы:
- Anomaly Detector. Обнаруживает аномалии на основе обработки данных с помощью ML-модели.
- Event Processor. Выявляет паттерны и аномальные последовательности событий, используя методы машинного обучения на основе нейросемантической сети.
- Stream Processor. Приводит данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени, к равноинтервальной временной сетке.
- Model Trainer. Выполняет повторное или дополнительное обучение уже имеющейся ML-модели на основе новых данных телеметрии, полученных Kaspersky MLAD для конкретного объекта мониторинга.
- Similar Anomaly. Выявляет и группирует схожие инциденты.
- Message Broker. Выполняет обмен данными между компонентами Kaspersky MLAD.
- Time Series Database. Осуществляет хранение временных рядов наблюдаемых значений тегов, предсказываемых ML-моделью значений тегов и ошибок предсказания.
- Keeper. Осуществляет маршрутизацию данных телеметрии, которые подлежат сохранению в базе данных.
- Database. Используется для хранения всех конфигурационных параметров работы Kaspersky MLAD.
- API Server. Обеспечивает работу внутренних интерфейсов Kaspersky MLAD.
- Web Server. Обеспечивает работу веб-интерфейса Kaspersky MLAD.
- Logger. Осуществляет хранение функциональных логов работы Kaspersky MLAD.
- Mail Notifier. Выполняет рассылку по электронной почте уведомлений о регистрации инцидентов.
Коннекторы
Коннекторы – это службы, которые обеспечивают обмен данными с внешними системами. Для каждого объекта защиты требуется выбрать один из следующих коннекторов:
- КICS Connector. Обеспечивает взаимодействие с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше.
- OPC UA Connector. Обеспечивает получение тегов от систем АСУ ТП по протоколу, который описан спецификацией OPC Unified Architecture (Унифицированная архитектура OPC).
- CEF Connector. Обеспечивает получение событий от внешних источников (промышленного интернета вещей, сетевых устройств и приложений) и отправку обратно сообщений в формате CEF (Common Event Format), зарегистрированных мониторами анализа событий.
- MQTT Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).
- AMQP Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).
- WebSocket Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу WebSocket.
- HTTP Connector. Обеспечивает получение данных телеметрии от систем АСУ ТП в виде CSV-файлов через POST-запросы протокола HTTP.
На рисунке ниже представлена схема взаимодействия компонентов Kaspersky MLAD.
Схема взаимодействия компонентов Kaspersky MLAD
В начало
Типовые схемы развертывания
Этот раздел содержит описание стандартных схем развертывания Kaspersky MLAD в сети объекта мониторинга, а также описание особенностей интеграции Kaspersky MLAD с другими программами.
Kaspersky MLAD поддерживает следующие варианты установки:
- Одиночная установка.
- Установка с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше.
Одиночная установка Kaspersky MLAD
Вы можете установить только Kaspersky MLAD, если планируете использовать в качестве поставщика данных следующие коннекторы:
- OPC UA Connector;
- MQTT Connector;
- AMQP Connector;
- CEF Connector;
- WebSocket Connector;
- HTTP Connector.
На рисунках ниже представлены примеры схем одиночной установки Kaspersky MLAD с использованием описанных выше коннекторов. Вы можете использовать любые конфигурации коннекторов, которые подходят для вашего объекта мониторинга.
Одиночная установка Kaspersky MLAD с использованием коннекторов: OPC UA Connector, MQTT Connector, AMQP Connector, HTTP Connector, WebSocket Connector
Одиночная установка Kaspersky MLAD с использованием коннекторов: MQTT Connector, AMQP Connector, HTTP Connector, WebSocket Connector
Установка Kaspersky MLAD с Kaspersky Industrial CyberSecurity for Networks
Вы можете установить Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks, если планируете использовать в качестве поставщика данных Kaspersky Industrial CyberSecurity for Networks (см. рисунок ниже).
Kaspersky Machine Learning for Anomaly Detection совместим с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше.
Установка Kaspersky MLAD с Kaspersky Industrial CyberSecurity for Networks
Если вы хотите использовать этот вариант установки, сначала требуется установить Kaspersky Industrial CyberSecurity for Networks и добавить коннектор типа Generic. Для добавленного коннектора требуется создать файл свертки и указать в нем параметры подключения Kaspersky Industrial CyberSecurity for Networks к Kaspersky MLAD. Полученный файл свертки вам нужно загрузить в Kaspersky MLAD при настройке коннектора KICS Connector. Подробную информацию о создании и добавлении коннектора вы можете получить в разделе Добавление коннектора в справке Kaspersky Industrial CyberSecurity for Networks.
Компьютеры, на которых установлены Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks, должны находиться в одной сети.
В начало
Схема потока данных телеметрии и событий
В Kaspersky MLAD обмен данными с внешними системами обеспечивается за счет коннекторов. Для получения данных телеметрии (тегов) и/или событий от внешних систем вы можете настроить коннекторы HTTP Connector, MQTT Connector, AMQP Connector, OPC UA Connector, KICS Connector, CEF Connector и WebSocket Connector.
Данные телеметрии объекта мониторинга проходят первичную обработку в службе Stream Processor, которая приводит полученные теги к равноинтервальной временной сетке. При обнаружении потери данных телеметрии и наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно, служба Stream Processor регистрирует инциденты.
Служба Stream Processor передает данные, приведенные к РИВС, в ML-модель службы Anomaly Detector. Если при обработке полученных данных детекторы в основе ML-модели обнаруживают отклонения от нормального поведения объекта мониторинга, то служба Anomaly Detector регистрирует инциденты. При обнаружении схожих инцидентов служба Similar Anomaly формирует группы инцидентов.
Вы можете просмотреть зарегистрированные инциденты и группы инцидентов в разделе Инциденты. Kaspersky MLAD также отправляет уведомления об инцидентах на заданные адреса электронной почты и/или во внешние системы с помощью коннекторов.
События, поступившие в Kaspersky MLAD, проходят обработку в службе Event Processor. В качестве событий процессор событий также может обрабатывать инциденты, зарегистрированные службой Anomaly Detector. Процессор событий выявляет в потоке событий закономерности в виде повторяющихся событий и паттернов, а также новые события и паттерны. При активации мониторов служба Event Processor также отправляет оповещения о выявлении событий, паттернов и значений параметров событий в соответствии с заданными критериями мониторинга во внешние системы с помощью CEF-коннектора. Вы также можете просмотреть информацию о событиях, паттернах и мониторах в разделе Процессор событий.
На рисунке ниже показан поток данных телеметрии и событий в Kaspersky MLAD.
Поток данных телеметрии и событий в Kaspersky MLAD
В начало
Администрирование Kaspersky MLAD
Этот раздел содержит информацию об установке, обновлении, настройке параметров и удалении программы. Также раздел содержит инструкции по управлению учетными записями пользователей и по управлению уведомлениями об инцидентах.
Установка программы
Этот раздел содержит варианты установки программы (обычный режим и режим тихой установки), а также пошаговое описание установки Kaspersky MLAD для каждого из вариантов.
Установку Kaspersky MLAD выполняет квалифицированный администратор – сотрудник Заказчика, имеющий право принимать Лицензионное соглашение к программе.
Чтобы установить Kaspersky MLAD из командной строки:
- Распакуйте архив mlad-3.0.0-<номер сборки>.tar.xz, входящий в состав комплекта поставки:
tar xf mlad-3.0.0-<номер сборки>.tar.xz - Перейдите в директорию mlad-release-3.0.0-<номер сборки>:
cd mlad-release-3.0.0-<номер сборки> - Запустите скрипт установки setup.sh:
sudo ./setup.sh - Следуйте указаниям мастера установки программы.
Чтобы установить Kaspersky MLAD в неинтерактивном режиме:
- Распакуйте архив mlad-3.0.0-<номер сборки>.tar.xz, входящий в состав комплекта поставки:
tar xf mlad-3.0.0-<номер сборки>.tar.xz - Перейдите в директорию mlad-release-3.0.0-<номер сборки>:
cd mlad-release-3.0.0-<номер сборки> - Запустите скрипт установки setup.sh со следующими ключами:
sudo ./setup.sh -q -e acceptгде:
-qозначает, что программа будет установлена в неинтерактивном режиме;-e acceptозначает, что вы принимаете условия Лицензионного соглашения. Согласие с условиями Лицензионного соглашения является обязательным условием для установки программы. Если вы не указываете ключ-e accept, установка программы будет прервана.Прочитать текст Лицензионного соглашения можно в текстовых файлах license_ru.txt и license_en.txt, которые расположены в директории legal.
В результате программа будет установлена на компьютер.
Обновление программы и откат к предыдущей установленной версии
Этот раздел содержит пошаговое описание обновления Kaspersky MLAD, а также описание отката программы к предыдущей установленной версии.
Обновление и откат Kaspersky MLAD возможны только для версий программы не ниже 3.0.0-001. При обновлении Kaspersky MLAD будут сохранены все данные, загруженные, полученные и обработанные предыдущей версией Kaspersky MLAD: конфигурации тегов, пресеты, ML-модели и параметры Kaspersky MLAD.
Обновление Kaspersky MLAD выполняет квалифицированный администратор – сотрудник Заказчика, имеющий право принимать Лицензионное соглашение к программе.
Чтобы обновить Kaspersky MLAD из командной строки:
- Распакуйте архив mlad-3.0.0-<номер новой сборки>.tar.xz, входящий в состав комплекта поставки:
tar xf mlad-3.0.0-<номер новой сборки>.tar.xz - Перейдите в директорию, в которой вы распаковали Kaspersky MLAD:
cd mlad-3.0.0-<номер новой сборки> - Запустите скрипт обновления программы upgrade.sh:
sudo ./upgrade.shВы можете запустить скрипт upgrade.sh с ключом
-h, если требуется вызвать помощника в интерфейсе обновления Kaspersky MLAD:sudo ./upgrade.sh -h - Следуйте указаниям мастера обновления программы.
В результате Kaspersky MLAD будет обновлен до версии, указанной в номере сборки. Все файлы программы будут расположены в директории, в которой установлен Kaspersky MLAD (по умолчанию – mlad-release-3.0.0-<номер установочной сборки>). Там же будет создана папка с именем upgrade_backup-3.0.0-<номер предыдущей сборки>, которая содержит резервную копию предыдущей версии Kaspersky MLAD. Не рекомендуется перемещать папку upgrade_backup-3.0.0-<номер предыдущей сборки> в другую директорию.
Чтобы откатить Kaspersky MLAD к предыдущей установленной версии:
- Перейдите в директорию, в которой находится резервная копия Kaspersky MLAD:
cd upgrade_backup-3.0.0-<номер предыдущей сборки> - Запустите скрипт обновления программы upgrade.sh с ключом
-r:sudo ./upgrade.sh -r - Следуйте указаниям мастера обновления программы.
В результате выполнения отката Kaspersky MLAD к предыдущей установленной версии будут потеряны все данные, полученные и обработанные Kaspersky MLAD с момента обновления программы до момента отката к предыдущей версии. Рекомендуется проверить наличие полной резервной копии всех данных Kaspersky MLAD.
В результате будет выполнен откат Kaspersky MLAD к предыдущей установленной версии.
В начало
Подготовка к работе
Перед началом работы с Kaspersky MLAD требуется убедиться, что выполнены следующие действия:
- Источник данных телеметрии включен и настроен на отправку данных в Kaspersky MLAD.
- Сеть передачи данных подготовлена для доставки данных телеметрии от источника данных к серверу Kaspersky MLAD, сетевое оборудование надлежащим образом настроено, передача данных разрешена.
- Подготовлены конфигурационные параметры и/или файлы того коннектора, который будет использован в Kaspersky MLAD для приема данных телеметрии или событий от внешних систем. Коннектор должен быть настроен и активирован после запуска Kaspersky MLAD.
- Описания тегов принимаемой телеметрии и (опционально) их пресетов подготовлены для импорта в Kaspersky MLAD в виде файла формата JSON. Файл создается специалистами "Лаборатории Касперского" или сертифицированным интегратором.
- ML-модель или несколько ML-моделей созданы, обучены на исторических данных телеметрии и подготовлены для импорта в Kaspersky MLAD в виде файлов формата TAR. Файлы создаются специалистами "Лаборатории Касперского" или сертифицированным интегратором.
- Администратору Kaspersky MLAD переданы коды для активации ML-моделей. Коды для активации ML-моделей хранятся в надежном хранилище.
Запуск и остановка Kaspersky MLAD
Kaspersky MLAD запускается автоматически сразу после установки.
Чтобы запустить остановленную программу:
- Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – mlad-release-3.0.0-<номер установочной сборки>).
- В командной строке выполните команду:
./mlad-start.sh
Kaspersky MLAD будет запущен.
Чтобы остановить программу:
- Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – mlad-release-3.0.0-<номер установочной сборки>).
- В командной стоке выполните команду:
./mlad-stop.sh
Kaspersky MLAD будет остановлен.
В начало
Обновление сертификатов Kaspersky MLAD
В Kaspersky MLAD используются следующие сертификаты:
- сертификаты для подключения к Kaspersky MLAD через веб-интерфейс;
- сертификаты для подключения коннекторов и служб.
Рекомендуется обновлять сертификаты в следующих случаях:
- текущие сертификаты скомпрометированы;
- закончился срок действия сертификатов;
- требуется выполнить обновление сертификатов в соответствии с требованиями информационной безопасности на предприятии.
Обновление сертификата для подключения к Kaspersky MLAD через веб-интерфейс
По умолчанию для подключения к веб-интерфейсу Kaspersky MLAD использует самоподписанный сертификат, который автоматически генерируется на этапе установки программы. При использовании самоподписанного сертификата для подключения к веб-интерфейсу Kaspersky MLAD браузер будет отображать предупреждение о том, что сертификат безопасности или устанавливаемое соединение не является доверенным.
Если требуется использовать доверенные сертификаты для подключения к веб-интерфейсу Kaspersky MLAD, вы можете заменить самоподписанный сертификат сертификатом, полученным от аккредитованного центра сертификации, или пользовательским сертификатом, соответствующим стандартам безопасности вашей организации.
По умолчанию Kaspersky MLAD использует директорию mlad-3.0.0-<номер установочной сборки>/ssl/nginx/ для хранения сертификатов, обеспечивающих подключение к веб-интерфейсу.
Обновление сертификата для подключения к Kaspersky MLAD через веб-интерфейс выполняет квалифицированный администратор – сотрудник Заказчика, имеющий право принимать Лицензионное соглашение к программе.
Чтобы обновить сертификаты для подключения к Kaspersky MLAD через веб-интерфейс:
- Получите доверенный сертификат и ключ к этому сертификату для подключения к веб-интерфейсу Kaspersky MLAD.
Сертификат требуется получить на IP-адрес и доменное имя сервера, на котором установлен Kaspersky MLAD.
- Перейдите в директорию, в которой находятся доверенный сертификат и ключ к этому сертификату.
- В командной строке выполните следующие команды:
sudo chown root:root <новый сертификат.crt> <ключ к новому сертификату.key>sudo chmod 640 <новый сертификат.crt> <ключ к новому сертификату.key>sudo cp <новый сертификат.crt> mlad-3.0.0-<номер установочной сборки>/ssl/nginx/mlad_nginx.crtsudo cp <ключ к новому сертификату.key> mlad-3.0.0-<номер установочной сборки>/ssl/nginx/mlad_nginx.keyНовый сертификат и его ключ будут сохранены в директории mlad-3.0.0-<номер установочной сборки>/ssl/nginx/ в виде файлов mlad_nginx.crt и mlad_nginx.key соответственно.
- Перезапустите Kaspersky MLAD, выполнив в командной строке следующие команды:
mlad-3.0.0-<номер установочной сборки>/mlad-stop.shmlad-3.0.0-<номер установочной сборки>/mlad-start.sh
После перезапуска Kaspersky MLAD будет использовать новый сертификат для подключения к веб-интерфейсу.
Обновление сертификата для подключения коннекторов и служб
В Kaspersky MLAD вы можете использовать защищенное соединение для коннекторов MQTT Connector, AMQP Connector и WebSocket Connector, а также службы Mail Notifier. Вы можете обновлять сертификаты для подключения этих коннекторов и службы Mail Notifier по защищенному соединению в разделе Системные параметры в меню администратора.
Сертификат для подключения KICS-коннектора содержится в файле свертки, который вы можете обновить в Kaspersky Industrial CyberSecurity for Networks. Обновленный файл свертки вы можете загрузить в Kaspersky MLAD при настройке коннектора KICS Connector. Подробную информацию о создании файла свертки вы можете получить в справке Kaspersky Industrial CyberSecurity for Networks.
Kaspersky Machine Learning for Anomaly Detection совместим с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше.
В начало
Первый запуск Kaspersky MLAD
В этом разделе приводится последовательность действий, которые требуется выполнить администратору при первом запуске Kaspersky MLAD, чтобы настроить работу с программой.
Kaspersky MLAD запускается автоматически сразу после установки.
Сценарий первого запуска Kaspersky MLAD состоит из следующих этапов:
- Запуск Kaspersky MLAD
Запустите Kaspersky MLAD. Будут запущены следующие службы, необходимые для работы Kaspersky MLAD:
- API Server;
- Web Server;
- Message Broker;
- Keeper;
- Time Series Database;
- Database;
- Logger.
- Подключение к веб-интерфейсу Kaspersky MLAD
Откройте веб-интерфейс программы в поддерживаемом браузере и введите логин и пароль, созданные по умолчанию. Измените пароль для своей учетной записи. Для безопасного подключения к веб-интерфейсу Kaspersky MLAD установите доверенный сертификат.
- Настройка служб
В разделе Настройка → Системные параметры настройте службы, которые требуется использовать для вашего объекта мониторинга. В разделе Службы проверьте статусы служб и при необходимости запустите их. Например, для корректного обнаружения аномалий должна быть запущена служба Anomaly Detector.
- Загрузка конфигурации тегов в Kaspersky MLAD и создание пресетов
Конфигурация тегов создается в процессе выполнения работ по внедрению программы и построению ML-модели специалистом "Лаборатории Касперского" или интегратором. Конфигурация тегов описывается в файле в формате JSON. Пример описания конфигурации приведен в Приложении.
Для дальнейшей работы загрузите конфигурацию тегов в Kaspersky MLAD. Если конфигурация тегов не содержит пресетов, создайте новые пресеты из тегов.
- Загрузка и активация ML-модели
ML-модель не входит в комплект поставки программы и предоставляется в рамках Услуги построения модели и внедрения Kaspersky MLAD.
Загрузите и активируйте ML-модель. Для активации ML-модели требуется ввести код для активации модели.
- Настройка коннекторов
Для работы с данными выполните настройку коннекторов, используемых на вашем объекте мониторинга. Вы можете настроить следующие коннекторы:
- Подключение к источнику данных
Когда вышеперечисленные коннекторы настроены, запустите коннекторы, используемые для вашего объекта мониторинга. Перейдите в раздел Информационная панель и убедитесь, что данные поступают в Kaspersky MLAD в онлайн-режиме.
- Настройка конфигурации внимания
Для работы с событиями и паттернами настройте параметры конфигурации внимания и отображение параметров событий. Служба Event Processor будет выявлять события и паттерны только по тем направлениям внимания, которые задаются в конфигурации внимания.
- Создание учетных записей для пользователей
Создайте учетные записи для пользователей программы и назначьте им необходимые роли. Настройте уведомления об инцидентах для пользователей.
После выполнения этих действий, вы получите следующие результаты:
- Kaspersky Machine Learning for Anomaly Detection подготовлен к работе, данные поступают и обрабатываются программой.
- Пользователи могут приступать к работе с Kaspersky MLAD, используя веб-интерфейс.
Настройка параметров Kaspersky MLAD
Этот раздел содержит инструкции по настройке параметров Kaspersky MLAD.
Настройка основных параметров Kaspersky MLAD
Kaspersky MLAD позволяет указать название объекта мониторинга, веб-адрес и IP-адрес для подключения пользователей к веб-интерфейсу программы, а также периодичность получения новых данных от объекта мониторинга. Название объекта мониторинга будет отображаться в каждом разделе веб-интерфейса Kaspersky MLAD.
Работы по настройке основных параметров Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Чтобы настроить основные параметры Kaspersky MLAD:
- В меню администратора выберите раздел Системные параметры → Основные.
Справа отобразится список параметров.
- В поле Имя объекта мониторинга укажите название объекта мониторинга.
- В поле Веб-адрес программы укажите веб-адрес программы.
- В поле IP-адрес для подключения к программе укажите IP-адрес программы.
- В поле Интервал получения данных из службы Message Broker (мс) укажите интервал обновления данных телеметрии в веб-интерфейсе программы.
Чем больше указанное значение параметра, тем реже происходит обновление данных.
- В поле Интервал получения статистических данных об инцидентах из базы данных (мс) укажите интервал обновления в веб-интерфейсе программы данных о зарегистрированных программой инцидентах.
- В поле Количество попыток авторизации укажите количество неудачных попыток авторизации, при достижении которого Kaspersky MLAD заблокирует учетную запись пользователя.
- В поле Период блокировки пользователя (сек.) укажите период в секундах, в течение которого учетная запись пользователя будет заблокирована после достижения заданного количества неудачных попыток авторизации.
- Нажмите на кнопку Сохранить.
Настройка службы Anomaly Detector
В Kaspersky MLAD ML-модель может содержать следующие детекторы:
- Limit Detector – обнаруживает аномалии по факту выхода значения тега за минимальное или максимальное значение.
- Forecaster – предсказывает поведение объекта в настоящем на основе данных о его поведении в ближайшем прошлом.
- XGBoost – c определенной вероятностью обнаруживает аномалии в данных объекта мониторинга на основе выученной XGBoost-классификатором выборке данных для рассматриваемого отрезка времени.
- Rule Detector – строит прогнозы значений, принимаемых тегами при штатном функционировании объекта мониторинга и регистрирует инцидент при срабатывании одного или нескольких правил.
Вы можете настроить процесс обнаружения аномалий с учетом особенностей вашего объекта мониторинга, включив или выключив нужные детекторы в параметрах службы Anomaly Detector.
Работы по настройке службы Anomaly Detector выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Чтобы настроить параметры службы Anomaly Detector Kaspersky MLAD:
- В меню администратора выберите раздел Системные параметры → Anomaly Detector.
Справа отобразится список параметров.
- С помощью переключателя Использовать детектор Limit Detector включите или выключите использование детектора Limit Detector.
- С помощь переключателя Использовать детектор Forecaster включите или выключите использование детектора Forecaster.
- С помощью переключателя Использовать детектор XGBoost включите или выключите использование детектора XGBoost.
- С помощью переключателя Использовать детектор Rule Detector включите или выключите использование детектора Rule Detector.
- С помощью переключателя Пропускать разрывы в данных включите или выключите функцию пропуска разрывов в поступающем потоке данных.
- В поле Максимальное количество запрашиваемых записей из службы Message Broker введите количество записей, которое требуется запрашивать от службы Message Broker для последующей обработки в Anomaly Detector.
- В поле Количество сообщений, отправляемых в одном блоке в службу Message Broker введите количество инцидентов, которое требуется отправлять в службу Message Broker за один раз.
- В поле Количество одновременно запущенных моделей введите максимальное количество ML-моделей, которые могут анализировать данные телеметрии одновременно.
Для максимальной производительности Kaspersky MLAD количество одновременно работающих ML-моделей не должно превышать 80% от количества ядер сервера, на котором установлен Kaspersky MLAD.
- Нажмите на кнопку Сохранить.
Настройка службы Keeper
Kaspersky MLAD использует службу Keeper для маршрутизации данных телеметрии, которые подлежат сохранению в базе данных. Вы можете настроить параметры, определяющие скорость получения данных от коннекторов и внешних источников данных, а также объем сохранения этих данных в базе Kaspersky MLAD.
Работы по настройке параметров маршрутизации данных Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Чтобы настроить параметры маршрутизации данных Kaspersky MLAD:
- В меню администратора выберите раздел Системные параметры → Keeper.
Справа отобразится список параметров.
- Выполните одно из следующих действий:
- Если требуется сохранять в базе данных как известные, так и неизвестные программе теги, поступающие от внешних источников, включите переключатель Сохранять все теги.
- Если требуется сохранять только известные программе теги, выключите переключатель Сохранять все теги.
- В поле Время ожидания получения тегов (мс) введите максимальное время ожидания (в миллисекундах) для получения значений тегов.
- В поле Время ожидания получения инцидентов (мс) введите максимальное время ожидания (в миллисекундах) для получения инцидентов.
- В поле Время ожидания получения метрик (мс) введите максимальное время ожидания (в миллисекундах) для получения метрик.
- Нажмите на кнопку Сохранить.
Настройка службы Mail Notifier
Kaspersky MLAD использует службу Mail Notifier для уведомления пользователей о регистрации программой инцидентов.
Работы по настройке службы Mail Notifier выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Настройка службы Mail Notifier не является обязательной и выполняется, если в сети объекта мониторинга настроен SMTP-сервер.
Чтобы настроить службу Mail Notifier:
- В меню администратора выберите раздел Системные параметры → Mail Notifier.
Справа отобразится список параметров.
- Если требуется, с помощью переключателя Использовать SSL-соединение включите использование защищенного SSL-соединения.
По умолчанию использование защищенного SSL-соединения выключено.
- В поле Адрес SMTP-сервера укажите IP-адрес и порт SMTP-сервера.
- В поле Имя пользователя для SMTP-сервера укажите логин для SMTP-сервера.
- В поле Пароль для SMTP-сервера укажите пароль для SMTP-сервера.
- Если вы используете защищенное SSL-соединение, выполните следующие действия:
- В поле Сертификат SMTP-сервера загрузите сертификат удостоверяющего центра.
- В поле Ключ к сертификату SMTP-сервера загрузите ключ к сертификату удостоверяющего центра.
Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить (
) в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить (
) в соответствующем поле. - Нажмите на кнопку Сохранить.
Настройка службы Similar Anomaly
Kaspersky MLAD использует службу Similar Anomaly для выявления схожих инцидентов и объединения их в группы. В группах вы можете просматривать похожие инциденты, которые были зарегистрированы в разное время.
Работы по настройке службы Similar Anomaly выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Чтобы настроить параметры службы Similar Anomaly:
- В меню администратора выберите раздел Системные параметры → Similar Anomaly.
Справа отобразится список параметров службы.
- В поле Минимальное количество инцидентов для группы введите минимальное количество похожих инцидентов для формирования группы.
- В поле Максимальное количество инцидентов для группы введите максимальное количество инцидентов, которое может входить в одну группу.
Если вы хотите, чтобы все инциденты формировались в одну группу, оставьте это поле пустым.
- В поле Максимальное расстояние между схожими инцидентами введите максимальное расстояние, на которое могут отстоять друг от друга схожие инцидентами.
Вы можете указать значение в диапазоне от
0до1. - Нажмите на кнопку Сохранить.
Настройка службы Stream Processor
Служба Stream Processor собирает данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени (входной поток), и приводит их к РИВС (выходной поток). На основе накопленных данных служба Stream Processor определяет значения тегов в выходном потоке данных. После преобразования данных в выходной поток служба Stream Processor передает данные на обработку в ML-модель.
При преобразовании поступающих данных телеметрии служба Stream Processor учитывает возможные потери данных (например, в случае временного отключения сети объекта мониторинга) и обрабатывает наблюдения, поступившие в Kaspersky MLAD слишком рано или поздно. В таких случаях служба Stream Processor формирует инциденты и/или передает значения тегов по умолчанию в выходной поток данных.
Служба Stream Processor также может вычислять производные теги на основе поступающих данных телеметрии (например, для вычисления скользящего среднего или среднего значения группы тегов).
Работы по настройке службы Stream Processor выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Чтобы настроить параметры службы Stream Processor:
- В меню администратора выберите раздел Системные параметры → Stream Processor.
- В поле Периодичность равноинтервальной последовательности (сек.) укажите период в секундах, с которым служба Stream Processor будет обрабатывать поступающие данные телеметрии.
- В поле Конфигурационный файл добавьте файл, который содержит параметры конфигурации для службы Stream Processor.
Если требуется удалить файл конфигурации для службы Stream Processor, нажмите на значок Очистить (
). Если требуется сохранить файл конфигурации на компьютере, нажмите на значок Загрузить (). - Нажмите на кнопку Сохранить.
Настройка коннектора HTTP Connector
Kaspersky MLAD использует коннектор HTTP Connector для получения данных из CSV-файлов при регламентной загрузке данных методом POST.
Работы по настройке коннектора HTTP Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.
Чтобы настроить работу коннектора HTTP Connector:
- В меню администратора выберите раздел Системные параметры → HTTP Connector.
Справа отобразится список параметров.
- С помощью переключателя Записывать данные в службу Message Broker включите функцию записи данных в службу Message Broker.
- Если требуется, с помощью переключателя Сохранять полученный файл включите функцию сохранения полученных CSV-файлов.
- В поле Размер записываемого блока (количество тегов) укажите количество тегов, которое единовременно записывается в Message Broker.
- В поле Максимальный размер загружаемого файла (MБ) укажите максимальный размер файла (в мегабайтах), передаваемого в HTTP Connector.
При попытке загрузить CSV-файл большего размера файл не будет передан в HTTP Connector.
Если указано значение
0, то максимальный размер файла не ограничен. - Нажмите на кнопку Сохранить.
Kaspersky MLAD будет получать данные из CSV-файлов с помощью коннектора HTTP Connector.
Пример отправки CSV-файла в HTTP Connector через cURL методом POST на порт 4999 сервера Kaspersky MLAD:
curl -F "file=@<имя файла>.csv" -X POST "http://<IP-адрес или доменное имя сервера Kaspersky MLAD>:4999/" |
Коннектор HTTP Connector принимает CSV-файлы со следующими полями:
timestamp;tag_name;value
где:
timestamp– временная метка в формате %Y-%m-%dT%H:%M:%S.tag_name– имя тега.value– значение тега.Если значение тега содержит дробную часть, используйте точку при отделении целой и дробной частей.
Настройка коннектора MQTT Connector
Kaspersky MLAD использует MQTT Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).
Работы по настройке коннектора MQTT Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.
Чтобы настроить работу коннектора MQTT Connector:
- В меню администратора выберите раздел Системные параметры → MQTT Connector.
Справа отобразится список параметров.
- Если требуется, с помощью переключателя Использовать SSL-соединение включите использование защищенного SSL-соединения.
По умолчанию использование защищенного SSL-соединения выключено.
- В поле MQTT-брокер (адрес:порт) укажите имя хоста и порт внешнего MQTT-брокера, с которым будет взаимодействовать MQTT Connector.
По умолчанию этот параметр имеет значение
mqtt_broker:1883. - В поле Имя пользователя для MQTT-соединения укажите имя пользователя.
- В поле Пароль для MQTT-соединения укажите пароль пользователя.
- Если вы включили использование защищенного SSL-соединения, в поле Сертификат CA добавьте корневой сертификат для MQTT-брокера.
Если требуется удалить файл сертификата, нажмите на значок Очистить (
). Если требуется сохранить файл сертификата на компьютере, нажмите на значок Загрузить (). - Если требуется использовать клиентские сертификаты для защищенного SSL-соединения, выполните следующие действия:
- В поле Сертификат клиента добавьте сертификат клиентского приложения MQTT.
- В поле Ключ к сертификату клиента добавьте ключ к сертификату клиентского приложения MQTT.
Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить (
) в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле. - В поле Список подписок MQTT для получения тегов введите имя списка подписок MQTT, от которых MQTT Connector будет получать значения тегов.
По умолчанию этот параметр имеет значение
tags. - В поле Топик MQTT для публикации сообщений укажите имя топика, в котором MQTT Connector будет публиковать сообщения о регистрации инцидента.
Если значение этого параметра не установлено, то отправка сообщений не производится.
По умолчанию для этого параметра значение не установлено.
- В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться оповещения об инцидентах.
Для выбора доступны следующие варианты:
JSONBatch,Topic,SmartHome,KISG.По умолчанию этот параметр имеет значение
JSONBatch.Если вам не подходит ни один из форматов данных и оповещений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.
- Если вы выбрали формат данных
Topic, то в поле Конфигурационный файл коннектора добавьте конфигурационный файл, содержащий параметры настройки коннектора для этого формата данных.Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (
). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить (). - Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.
По умолчанию масштабирование полученных данных выключено.
- Нажмите на кнопку Сохранить.
Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу MQTT.
В начало
Настройка коннектора AMQP Connector
Kaspersky MLAD использует AMQP Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).
Работы по настройке коннектора AMQP Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.
Чтобы настроить работу коннектора AMQP Connector:
- В меню администратора выберите раздел Системные параметры → AMQP Connector.
Справа отобразится список параметров.
- Если требуется, с помощью переключателя Использовать SSL-соединение включите использование защищенного SSL-соединения.
По умолчанию использование защищенного SSL-соединения выключено.
- В поле AMQP-брокер (адрес:порт) укажите имя хоста и порт внешнего AMQP-брокера, с которым будет взаимодействовать AMQP Connector.
По умолчанию этот параметр имеет значение
rabbitmq:5672. - В поле Имя пользователя для AMQP-соединения укажите имя пользователя.
- В поле Пароль для AMQP-соединения укажите пароль пользователя.
- Если вы включили использование защищенного SSL-соединения, в поле Сертификат CA добавьте корневой сертификат для AMQP-брокера.
Если требуется удалить файл сертификата, нажмите на значок Очистить (
). Если требуется сохранить файл сертификата на компьютере, нажмите на значок Загрузить (). - Если требуется использовать клиентские сертификаты для защищенного SSL-соединения, выполните следующие действия:
- В поле Сертификат клиента добавьте сертификат клиентского приложения AMQP.
- В поле Ключ к сертификату клиента добавьте ключ к сертификату клиентского приложения AMQP.
Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить (
) в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле. - В поле Виртуальный узел AMQP укажите виртуальный узел для установки соединения между коннектором AMQP Connector и внешним AMQP-брокером.
По умолчанию этот параметр имеет значение
/. - В поле Имя точки обмена (exchange) AMQP для получения тегов укажите имя точки обмена для получения тегов от внешнего AMQP-брокера.
Если значение для этого параметра не установлено, то получение тегов через AMQP Connector не происходит.
По умолчанию для этого параметра значение не установлено.
- В поле Список подписок AMQP для получения тегов укажите имя списка подписок, от которых AMQP Connector будет получать значения тегов.
По умолчанию этот параметр имеет значение
#. - В поле Очередь AMQP для получения тегов укажите имя очереди для AMQP коннектора. Поле не является обязательным для заполнения.
- В поле Имя точки обмена (exchange) AMQP для публикации сообщений укажите имя точки обмена для отправки сообщений о возникновении событий.
Если значение для этого параметра не установлено, то отправка сообщений не происходит. Вы можете указать то же имя, которое указали в пункте 8 этой инструкции.
По умолчанию для этого параметра значение не установлено.
- В поле Топик AMQP для публикации сообщений укажите имя топика, в котором AMQP Connector будет публиковать сообщения о регистрации инцидента.
По умолчанию этот параметр имеет значение
alert. - В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться оповещения об инцидентах.
Для выбора доступны следующие варианты:
JSONBatch,Topic,SmartHome,KISG.По умолчанию этот параметр имеет значение
JSONBatch.Если вам не подходит ни один из форматов данных и оповещений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.
- Если вы выбрали формат данных
Topic, то в поле Конфигурационный файл коннектора добавьте конфигурационный файл, содержащий параметры настройки коннектора для этого формата данных.Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (
). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить (). - Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.
По умолчанию масштабирование полученных данных выключено.
- Нажмите на кнопку Сохранить.
Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу AMQP.
В начало
Настройка коннектора OPC UA Connector
Kaspersky MLAD использует OPC UA Connector для получения данных по протоколу, который описан спецификацией OPC Unified Architecture (унифицированная архитектура OPC).
Работы по настройке коннектора OPC UA Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.
Чтобы настроить работу коннектора OPC UA Connector:
- В меню администратора выберите раздел Системные параметры → OPC UA Connector.
Справа отобразится список параметров.
- В поле Точка подключения укажите адрес подключения. Например,
opc.tcp://10.65.48.40:8001/freeopcua/server/. - В поле Конфигурационный файл добавьте файл, содержащий параметры для настройки OPC UA Connector.
Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (
). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить (). - Нажмите на кнопку Сохранить.
Kaspersky MLAD будет получать данные по протоколу, который описан спецификацией OPC Unified Architecture.
В начало
Настройка коннектора KICS Connector
Kaspersky MLAD использует коннектор KICS Connector для получения данных от Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше и отправки обратно сообщений о регистрации инцидентов.
Предварительно в Kaspersky Industrial CyberSecurity for Networks требуется создать и добавить коннектор для интеграции с Kaspersky MLAD. Подробную информацию о создании и добавлении коннектора вы можете получить в разделе Добавление коннектора в справке Kaspersky Industrial CyberSecurity for Networks.
Работы по интеграции с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.
Чтобы настроить коннектор KICS Connector:
- В меню администратора выберите раздел Системные параметры → KICS Connector.
Справа отобразится список параметров.
- В поле Файл свертки для коннектора KICS Connector (zip) добавьте файл, содержащий параметры настройки взаимодействия Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks.
Подробную информацию о создании файла свертки вы можете получить в справке Kaspersky Industrial CyberSecurity for Networks. Созданный файл свертки требуется сохранить на компьютере, на котором установлен Kaspersky MLAD.
Если требуется удалить файл свертки, в поле Файл свертки для коннектора KICS Connector (zip) нажмите на значок Очистить (
). Если требуется сохранить файл свертки на компьютере, нажмите на значок Загрузить (). - В поле Пароль для коннектора KICS Connector введите пароль, который вы указали при добавлении коннектора в Kaspersky Industrial CyberSecurity for Networks.
- Если требуется отправлять в Kaspersky Industrial CyberSecurity for Networks сообщения о регистрации инцидентов, включите переключатель Отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks.
- В поле Частота семплирования тегов (Гц) укажите частоту (в герцах), с которой требуется получать значения тегов из Kaspersky Industrial CyberSecurity for Networks.
Укажите в этом поле значение 0, если не требуется использовать семплирование. Семплирование (англ. data sampling) – метод корректировки обучающей выборки с целью балансировки распределения классов в исходном наборе данных.
- Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.
По умолчанию масштабирование полученных данных выключено.
- Нажмите на кнопку Сохранить.
Kaspersky MLAD будет получать данные из Kaspersky Industrial CyberSecurity for Networks и отправлять обратно сообщения о регистрации инцидентов.
В начало
Настройка коннектора CEF Connector
Kaspersky MLAD использует коннектор CEF Connector для получения данных от внешних источников событий (промышленного интернета вещей, сетевых устройств и приложений) и отправки обратно сообщений о регистрации инцидентов.
Для получения событий от внешних источников с помощью коннектора CEF Connector требуется настроить службу Event Processor.
Перед настройкой параметров коннектора CEF Connector в веб-интерфейсе Kaspersky MLAD требуется указать в файле .env IP-адрес и номер порта, по которому будет осуществляться подключение к внешнему источнику событий при получении событий.
Работы по настройке коннектора CEF Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.
Чтобы настроить коннектор CEF Connector:
- В меню администратора выберите раздел Системные параметры → CEF Connector.
Справа отобразится список параметров.
- Если требуется, с помощью переключателя Получать события для службы Event Processor включите использование коннектора CEF Connector для получения событий из внешней системы.
- Если требуется отправлять во внешнюю систему сообщения об инцидентах, зарегистрированных службой Anomaly Detector, включите переключатель Отправлять зарегистрированные инциденты в SIEM-систему.
- Если требуется отправлять во внешнюю систему сообщения о событиях, зарегистрированных службой Event Processor, включите переключатель Отправлять зарегистрированные события в SIEM-систему.
- В поле IP-адрес для отправки событий и инцидентов в SIEM-систему укажите IP-адрес для подключения к внешней системе и отправке событий, обработанных службой Event Processor, и инцидентов, зарегистрированных службой Anomaly Detector.
- В поле Порт для отправки событий и инцидентов в SIEM-систему укажите номер порта для подключения к внешней системе и отправке событий, обработанных службой Event Processor, и инцидентов, зарегистрированных службой Anomaly Detector.
- Нажмите на кнопку Сохранить.
Kaspersky MLAD будет получать данные от внешних источников событий (промышленного интернета вещей, сетевых устройств и приложений) и отправлять обратно сообщения о регистрации событий и инцидентов.
В начало
Настройка коннектора WebSocket Connector
Kaspersky MLAD использует WebSocket Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу WebSocket.
Работы по настройке коннектора WebSocket Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор. Описанная в этом разделе инструкция приведена для ознакомительных целей.
Чтобы настроить коннектор WebSocket Connector:
- В меню администратора выберите раздел Системные параметры → WebSocket Connector.
Справа отобразится список параметров.
- В поле Веб-адрес WebSocket-сервера укажите веб-адрес WebSocket-сервера, с которым будет взаимодействовать WebSocket Connector.
Укажите веб-адрес в формате
WebSocket-протокол://адрес:порт/. - Если требуется использовать защищенное соединение для подключения к WebSocket-серверу, в поле Сертификат CA добавьте корневой сертификат для WebSocket-сервера.
Если требуется удалить файл сертификата, нажмите на значок Очистить (
). Если требуется сохранить файл сертификата на компьютере, нажмите на значок Загрузить (). - Если требуется использовать клиентские сертификаты для защищенного подключения к WebSocket-серверу, выполните следующие действия:
- В поле Сертификат клиента добавьте сертификат клиентского приложения WebSocket.
- В поле Ключ к сертификату клиента добавьте ключ к сертификату клиентского приложения WebSocket.
Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить (
) в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле. - В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться оповещения об инцидентах.
Для выбора доступны следующие варианты:
JSONBatch,Topic,SmartHome,KISG.По умолчанию этот параметр имеет значение
JSONBatch.Если вам не подходит ни один из форматов данных и оповещений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.
- Если вы выбрали формат данных
Topic, то в поле Конфигурационный файл коннектора добавьте конфигурационный файл, содержащий параметры настройки коннектора для этого формата данных.Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (
). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить (). - Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.
По умолчанию масштабирование полученных данных выключено.
- Если требуется отправлять оповещения о зарегистрированных в Kaspersky MLAD инцидентах на WebSocket-сервер, включите переключатель Отправлять инциденты.
- Нажмите на кнопку Сохранить.
Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу WebSocket.
В начало
Настройка службы Event Processor
Kaspersky MLAD использует службу Event Processor для выявления паттернов и аномальных последовательностей событий и паттернов. Вы можете настроить параметры службы Event Processor.
В случае перезапуска Kaspersky MLAD повторно задавать параметры службы Event Processor не нужно. Kaspersky MLAD восстанавливает состояние службы Event Processor из базы данных или файла в битовом формате. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления может занимать несколько минут. До момента восстановления состояния службы Event Processor в разделе Процессор событий не будут выполняться запросы и обновляться данные, а также в это время не будут обрабатываться данные, поступающие от CEF-коннектора. Эти данные временно сохраняются в очереди сообщений системы и обрабатываются после восстановления состояния службы Event Processor.
Для работы службы Event Processor может потребоваться большой объем оперативной памяти на сервере, на котором установлен Kaspersky MLAD. Объем используемой оперативной памяти зависит от интенсивности потока событий и объема обрабатываемой истории событий. Также на объем используемой оперативной памяти влияет правильность настройки параметров службы Event Processor.
Работы по настройке службы Event Processor выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Чтобы настроить параметры службы Event Processor:
- В меню администратора выберите раздел Системные параметры → Event Processor.
Справа отобразится список параметров службы.
- В блоке Основной режим выполните следующие действия:
- В поле Конфигурационный файл процессора событий добавьте файл, который содержит параметры конфигурации для службы Event Processor.
Файл конфигурации создается сотрудником "Лаборатории Касперского" или сертифицированным интегратором.
Если требуется удалить файл конфигурации для службы Event Processor, нажмите на значок Очистить (
). Если требуется сохранить файл конфигурации на компьютере, нажмите на значок Загрузить ().Изменение файла конфигурации службы Event Processor приводит к полной потере данных службы.
- Если требуется обрабатывать инциденты, зарегистрированные службой Anomaly Detector, включите переключатель Обрабатывать инциденты как события.
- В поле Максимальное количество слоев сети укажите количество слоев нейросемантической сети, которое будет использоваться.
По умолчанию количество слоев сети для событийных данных, имеющих в основе определенную структуру, составляет десять слоев. В большинстве случаев нейросемантической сети в основе процессора событий достаточно десяти слоев для иерархического представления данных. Для выявления протяженных по времени паттернов периодических процессов может потребоваться увеличение значения параметра Максимальное количество слоев сети.
- В поле Коэффициент, определяющий допустимую дисперсию длительности паттерна укажите коэффициент, с помощью которого будет определяться допустимая дисперсия интервалов между элементами в одном паттерне.
Если фактическая величина дисперсии меньше либо равна указанной, то выявленные последовательности событий будут относиться к одному паттерну.
- В поле Интервал получения событий эпизода (сек.) укажите интервал времени в секундах, за который служба Event Processor формирует эпизод из поступающих на обработку событий.
Если скорость получения событий составляет около 1000 событий в секунду, то рекомендуется указывать такое значение периода получения новых событий, чтобы за указанный период поступало количество событий, близкое к значению, которое указано в поле Размер эпизода в основном режиме (количество событий). Если скорость получения событий гораздо ниже, то период получения новых событий следует выставлять, исходя из баланса операционной актуальности обработки событий.
- В поле Размер эпизода в основном режиме (количество событий) укажите максимальное количество событий в эпизоде для последующей обработки службой Event Processor.
Если скорость получения событий составляет около 1000 событий в секунду, то в этом поле рекомендуется указывать значение равное 4096.
- В раскрывающемся списке Способ сохранения состояния службы Event Processor выберите один из следующих способов сохранения состояния службы Event Processor:
- Таблица базы данных – Kaspersky MLAD сохраняет результат обработки каждого эпизода в таблице базы данных.
- Файл в битовом формате – Kaspersky MLAD сохраняет состояние службы Event Processor с частотой, заданной в поле Периодичность создания резервных копий компонента. Программа сохраняет состояние службы в файле, указанном в поле Файл, содержащий резервную копию состояния компонента.
Сохранение состояния службы Event Processor в файл в битовом формате рекомендуется использовать для отладки и настройки параметров программы сотрудниками "Лаборатории Касперского" в процессе выполнения работ по внедрению Kaspersky MLAD.
По умолчанию служба Event Processor сохраняет результаты обработки потока событий в таблице базы данных.
Изменение способа сохранения состояния службы Event Processor приводит к полной потере данных службы.
- Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, в поле Периодичность создания резервных копий компонента укажите период (в днях, часах и минутах), через который будет выполняться резервное копирование службы Event Processor.
- Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, в поле Файл, содержащий резервную копию состояния компонента добавьте файл, который содержит резервную копию службы Event Processor.
Файл будет использован, если понадобится восстановить состояние службы Event Processor. Восстановление состояния службы Event Processor выполняют специалисты "Лаборатории Касперского" в рамках расширенной технической поддержки.
Если требуется удалить файл, содержащий резервную копию службы Event Processor, нажмите на значок Очистить (
). Если требуется сохранить файл, содержащий резервную копию службы, на компьютере, нажмите на значок Загрузить ().
- В поле Конфигурационный файл процессора событий добавьте файл, который содержит параметры конфигурации для службы Event Processor.
- В блоке Режим сна выполните следующие действия:
- В поле Размер эпизода в режиме сна (количество событий) укажите количество событий для формирования эпизода в режиме сна.
Служба Event Processor формирует эпизоды на основе истории событий, поступивших на повторную обработку за интервал времени, заданный в поле Интервал истории событий для обработки в режиме сна.
- В поле Отправка оповещений при активации монитора в режиме сна выберите одно из следующих значений:
- Отправлять оповещения об активации монитора любым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
- Не отправлять оповещений об активациях монитора – Kaspersky MLAD не отправляет оповещений об активации монитора в режиме сна.
- Отправлять оповещения об активации монитора новым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна новых паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
- Отправлять оповещения об активации монитора ранее зарегистрированным паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна стабильных паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
- В поле Периодичность режима сна укажите, как часто (в днях) и в какое время (в формате UTC) служба Event Processor будет переходить в режим сна для повторной обработки событий.
В качестве времени начала режима сна рекомендуется указать время, когда поток событий наименее интенсивен.
Если заданное время сна не наступило в текущий день, процессор событий перейдет в режим сна в этот же день. Если время сна уже наступило в текущий день, служба Event Processor перейдет в режим сна в указанное время через заданное количество дней.
- В поле Продолжительность режима сна (ЧЧ:ММ) укажите интервал времени (в часах и минутах), в течении которого служба Event Processor будет обрабатывать события в режиме сна.
- В поле Интервал истории событий для обработки в режиме сна укажите интервал времени (в днях, часах и минутах), за который требуется передать проанализированные события на повторную обработку службой Event Processor в режиме сна.
- В поле Размер эпизода в режиме сна (количество событий) укажите количество событий для формирования эпизода в режиме сна.
- Нажмите на кнопку Сохранить.
Настройка статусов и причин инцидентов
Kaspersky MLAD позволяет указать причины для инцидентов, а также статусы для инцидентов и групп инцидентов.
Статус инцидента и группы инцидентов представляет собой отметку о статусе анализа инцидента, проводимого экспертом. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание.
Причина инцидента представляют собой отметку о причине возникновения инцидента, которую добавляет эксперт по результатам анализа инцидента.
Вы можете добавить причины и статусов инцидентов. Созданные причины и статусы инцидентов станут доступными для выбора в разделе Инциденты. Вы также можете изменять и удалять статусы и причины инцидентов.
Работы по настройке причин и статусов инцидентов выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Чтобы добавить статусы инцидентов:
- В меню администратора выберите раздел Системные параметры → Инциденты.
- В блоке Статусы инцидентов нажмите на кнопку Создать.
Справа появится панель Создание элемента.
- В поле Значение, русский язык укажите название статуса инцидента на русском языке.
- В поле Значение, английский язык укажите название статуса инцидента на английском языке.
- В поле Сортировка укажите порядковый номер, с которым статус инцидента будет отсортирован в раскрывающемся списке Статус в разделе Инциденты.
Статусы инцидентов будут отсортированы по их названиям, если порядковые номера статусов инцидентов совпадают.
- Если требуется отправлять уведомления о регистрации инцидентов с добавляемым статусом и отображать его индикатор в блоке ошибки MSE для разделов Мониторинг и История, установите флажок Уведомлять об инциденте.
- Нажмите на кнопку Сохранить.
Чтобы добавить причины инцидентов:
- В меню администратора выберите раздел Системные параметры → Инциденты.
- В блоке Причины инцидентов нажмите на кнопку Создать.
Справа появится панель Создание элемента.
- В поле Причина инцидента укажите название причины инцидента.
- В поле Сортировка укажите порядковый номер, с которым причина инцидента будет отсортирована в раскрывающемся списке Причина инцидента в разделе Инциденты.
Причины инцидентов будут отсортированы по их названиям, если порядковые номера причин инцидентов совпадают.
- Нажмите на кнопку Сохранить.
Чтобы изменить статусы или причины инцидентов:
- В меню администратора выберите раздел Системные параметры → Инциденты.
- Для изменения параметров инцидентов, выполните одно из следующих действий:
- Если требуется изменить статусы инцидентов и групп инцидентов, в блоке параметров Статусы инцидентов выберите один или несколько статусов инцидентов и нажмите на кнопку Изменить.
- Если требуется изменить причины инцидентов, в блоке параметров Причины инцидентов выберите одну или несколько причин инцидентов нажмите на кнопку Изменить.
- Внесите необходимые изменения.
- Нажмите на кнопку Сохранить.
Чтобы удалить статусы или причины инцидентов:
- В меню администратора выберите раздел Системные параметры → Инциденты.
- Для удаления параметров инцидентов, выполните одно из следующих действий:
- Если требуется удалить статусы инцидентов и групп инцидентов, в блоке параметров Статусы инцидентов выберите один или несколько статусов инцидентов и нажмите на кнопку Удалить.
- Если требуется удалить причины инцидентов, в блоке параметров Причины инцидентов выберите одну или несколько причин инцидентов и нажмите на кнопку Удалить.
- В открывшемся окне нажмите на кнопку Да, чтобы подтвердить удаление.
Kaspersky MLAD удалит информацию о статусах или причинах инцидентов из соответствующих таблиц, а также из информации об инцидентах и группах инцидентов в разделе Инциденты, для которых были выбраны эти причины или статусы инцидентов.
В начало
Настройка логирования служб Kaspersky MLAD
Вы можете настроить уровни логирования служб Kaspersky MLAD для записи определенной информации о состоянии программы и ее отображения в системе логирования (Grafana). Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker, см. в Приложении.
Работы по настройке логирования служб Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Чтобы настроить уровни логирования служб Kaspersky MLAD:
- В меню администратора выберите раздел Системные параметры → Логирование.
Справа отобразится список служб Kaspersky MLAD.
- Если требуется, в раскрывающихся списках рядом с названием необходимой службы измените уровень логирования службы.
В Kaspersky MLAD доступны следующие уровни логирования:
- Отладка – логирование всей информации в программе;
- Инфо – логирование общей информации о работе программы;
- Общие – логирование важной информации о работе программы;
- Важные – логирование ошибок, возникших в работе программы, и событий, которые могут привести к ошибкам в работе программы;
- Ошибка – логирование ошибок, возникших в работе программы;
- Критические – логирование критических ошибок, возникших в работе программы.
По умолчанию для большинства служб используется уровень логирования Общие. Для службы API Server по умолчанию используется уровень логирования Инфо.
- Нажмите на кнопку Сохранить.
Настройка временных интервалов отображения данных
Kaspersky MLAD позволяет указать временной интервал (масштаб) отображения данных на графиках в разделах Мониторинг, История и Временной срез. По умолчанию при установке Kaspersky MLAD доступны следующие временные интервалы:
- 1, 5, 10, 15 и 30 минут;
- 1, 3, 6 и 12 часов;
- 1, 2, 15 и 30 дней;
- 3 и 6 месяцев;
- 1, 2 и 3 года.
Вы можете добавить временные интервалы отображения данных на графиках. Созданные временные интервалы станут доступными для выбора в разделах Мониторинг, История и Временной срез. Вы также можете изменять и удалять временные интервалы.
Работы по настройке временных интервалов отображения данных на графиках выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Чтобы добавить временные интервалы отображения данных:
- В меню администратора выберите раздел Системные параметры → Графики.
- В блоке параметров Временные интервалы нажмите на кнопку Создать.
Справа появится панель Создание элемента.
- В поле Временной интервал (сек.) укажите временной интервал в секундах, за который вы хотите отображать данные на графиках.
При вводе временного интервала Kaspersky MLAD автоматически разбивает значение временной интервал по единицам измерения времени (годы, месяцы, недели, дни, часы, минуты, секунды) в полях Значение, русский язык и Значение, английский язык.
- Если требуется, в поле Значение, русский язык измените название временного интервала на русском языке.
- Если требуется, в поле Значение, английский язык измените название временного интервала на английском языке.
- В поле Сортировка укажите порядковый номер, с которым временной интервал будет отсортирован в раскрывающихся списках в разделах Мониторинг, История и Временной срез.
- Нажмите на кнопку Сохранить.
Чтобы изменить временные интервалы отображения данных:
- В меню администратора выберите раздел Системные параметры → Графики.
- В блоке параметров Временные интервалы выберите один или несколько временных интервалов и нажмите на кнопку Изменить.
- Внесите необходимые изменения.
- Нажмите на кнопку Сохранить.
Чтобы удалить временные интервалы отображения данных:
- В меню администратора выберите раздел Системные параметры → Графики.
- В блоке параметров Временные интервалы выберите один или несколько временных интервалов и нажмите на кнопку Удалить.
- В открывшемся окне нажмите на кнопку Да, чтобы подтвердить удаление.
Информация о временном интервале будет удалена из таблицы.
В начало
Настройка отображения основного меню Kaspersky MLAD
Работы по настройке параметров отображения основного меню Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
Чтобы настроить отображение основного меню и меню администратора Kaspersky MLAD:
- В меню пользователя выберите раздел Настройка.
Вы перейдете в режим администрирования.
- На открывшейся странице в меню слева выберите раздел Системные параметры → Меню.
Справа отобразится список параметров.
- В блоке параметров Доступность пунктов основного меню с помощью переключателя включите или выключите отображение раздела в основном меню.
- В блоке параметров Доступность пунктов меню в режиме администрирования с помощью переключателя включите или выключите отображение раздела в меню администратора.
- Нажмите на кнопку Сохранить.
Экспорт и импорт файла конфигурации компонентов Kaspersky MLAD
Kaspersky MLAD позволяет выполнять экспорт и импорт конфигурационного файла, который содержит параметры компонентов программы, настраиваемые через веб-интерфейс. Это может сократить время на настройку Kaspersky MLAD при повторном развертывании программы.
Чтобы экспортировать файл конфигурации компонентов из Kaspersky MLAD:
- В меню администратора выберите раздел Системные параметры.
- Нажмите на кнопку Экспорт, которая расположена в верхней части открывшейся страницы.
Файл конфигурации компонентов Kaspersky MLAD в виде архива mlad-settings.tar.gz будет сохранен на локальном компьютере.
Чтобы загрузить файл конфигурации компонентов в Kaspersky MLAD:
- В меню администратора выберите раздел Системные параметры.
- Нажмите на кнопку Импорт, которая расположена в верхней части открывшейся страницы.
- В открывшемся окне выберите архивный файл, содержащий необходимую конфигурацию компонентов в Kaspersky MLAD.
Файл конфигурации компонентов Kaspersky MLAD будет загружен в программу.
В начало
Запуск, остановка и перезапуск служб
Kaspersky MLAD позволяет запускать, останавливать и перезапускать службы.
Управление службами Kaspersky MLAD доступно только пользователям с правами администратора.
Чтобы запустить, остановить или перезапустить службу:
- В основном меню выберите раздел Службы.
- На открывшейся странице выберите один из следующих подразделов: Машинное обучение, Основные, Коннекторы или Другие.
- Для нужной службы выполните одно из следующих действий:
- Если вы хотите запустить службу, нажмите на кнопку Запустить службу (
). - Если вы хотите остановить службу, нажмите на кнопку Остановить службу (
). - Если вы хотите перезапустить службу, нажмите на кнопку Перезапустить службу (
).
Новый статус службы отобразится в столбце Статус.
- Если вы хотите запустить службу, нажмите на кнопку Запустить службу (
Управление тегами
Управление тегами доступно только для пользователей с правами администратора.
В разделе Настройка → Теги вы можете просматривать созданные или загруженные в Kaspersky MLAD
и группы тегов. Структура тегов и групп тегов отображается в виде дерева тегов. Для каждого тега в дереве отображается его идентификатор, имя и описание. Вы можете создавать теги и группы тегов, а также изменять параметры тега, например допустимые технические пределы значений тега или границы отображения значений тегов на графике.Kaspersky MLAD может получать данные от устройств, зарегистрированных во внешних системах (например, Kaspersky Industrial CyberSecurity for Networks). Kaspersky MLAD сохраняет теги, полученные от внешних устройств, в базе данных Time Series Database. При включенной функции сохранения всех тегов в базе данных Time Series Database также сохраняются идентификаторы и значения неизвестных тегов (отсутствующих в дереве тегов). Вы можете сравнить текущую структуру тегов со структурой тегов в базе данных Time Series Database и при необходимости добавить отсутствующие теги в текущую структуру.
Если Kaspersky MLAD обнаруживает неизвестные теги, полученные от внешних устройств через KICS Connector, эти теги будут автоматически созданы в разделе Настройка → Теги в соответствии с именами тегов и устройств в Kaspersky Industrial CyberSecurity for Networks.
Kaspersky MLAD совместим с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше.
Также вы можете удалять существующие в системе теги, импортировать теги из JSON-файла и экспортировать их в JSON-файл.
Создание тега
В Kaspersky MLAD вы можете создавать новые теги для описания данных, поступающих от объекта мониторинга (исходные теги) или от службы Stream Processor.
Чтобы создать новый тег:
- В меню администратора выберите раздел Теги.
- В верхней части страницы нажмите на кнопку Создать.
Справа откроется панель Создание тега.
- В раскрывающемся списке Тип тега выберите Тег.
- Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для тега.
Вы можете загрузить значок для тега, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.
Если требуется удалить значок тега, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.
- В раскрывающемся списке Группа выберите нужную группу тегов, к которой вы хотите отнести создаваемый тег.
Группы тегов требуется предварительно загрузить или создать вручную.
- В поле Название укажите имя тега. Если требуется получать значения тега от внешней системы, укажите имя тега во внешней системе.
Если включено использование KICS-коннектора, Kaspersky MLAD автоматически заполнит имя тега в соответствии с именем тега, полученным от Kaspersky Industrial CyberSecurity for Networks.
- В поле Описание укажите описание тега.
- В поле ID укажите идентификатор тега.
- В поле Размерность укажите единицы измерения для тега.
- В полях X, Y, Z укажите координаты расположения датчика объекта мониторинга в пространстве.
Вы можете использовать произвольную точку в качестве начала координат.
Вы можете использовать координаты датчиков для расчета значения тегов при создании пресета и их отображения на графике в разделе Временной срез.
- В поле Класс для отображения укажите класс для отображения тега.
- В блоке Технические пределы в полях Нижний и Верхний укажите нижний и верхний пределы значений тега.
Эти параметры требуются для корректной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего технического предела, детектор Limit Detector регистрирует инцидент.
Если включена функция Всегда показывать технические пределы, вертикальный масштаб графика будет зафиксирован предельными линиями, выводимыми по нижней и верхней границам графика тега, при условии, что значения тега находятся в заданном диапазоне. Если значения тега выйдут за заданные пределы, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.
- В блоке Границы отображения в полях Нижняя и Верхняя укажите нижнюю и верхнюю границы отображения значений тега на графиках.
Если значения тега будут выходить за указанные границы, то они не будут отображаться на графике тега. Допустимые границы отображения значений тега имеют приоритет над отображением технических пределов, даже если включена функция Всегда показывать технические пределы.
- В поле Устройство укажите имя устройства, созданного во внешней системе, для которого требуется получать теги.
Если включено использование KICS-коннектора, Kaspersky MLAD автоматически заполнит имя устройства в соответствии с именем устройства, для которого получен тег от Kaspersky Industrial CyberSecurity for Networks.
- Если требуется добавить для этого тега на графиках в разделах Мониторинг и История дополнительные горизонтальные пороговые линии, нажмите на кнопку Добавить линию и в появившемся поле Пороговое значение укажите значение, которое требуется отображать на графике.
Дополнительные горизонтальные пороговые линии помогают визуально оценить колебания значений тега в определенных пределах. Вы можете добавить несколько дополнительных горизонтальных пороговых линий.
- Нажмите на кнопку Создать.
Новый тег отобразится в разделе Теги в дереве тегов слева. Если требуется, вы можете изменить расположение тегов в дереве тегов. Для этого нужно перетащить нужный тег вверх или вниз в дереве тегов, удерживая за три горизонтальные линии (
) слева от его идентификатора.
Создание виртуального тега
В Kaspersky MLAD вы можете создавать виртуальные теги.
Для расчета реальных и предсказанных значений виртуального тега, а также для расчета ошибки виртуального тега вы можете задать выражение с простыми арифметическими действиями (например, сложение вычитание, умножение и деление), с вычислением квадратного корня (функция sqrt) и степени (специальный символ ^). В выражениях вы можете использовать следующие переменные:
- $tag – значения тега, на основе которого вычисляются значения виртуального тега;
- $tagX – значение координаты расположения датчика объекта мониторинга по оси абсцисс;
- $tagY – значение координаты расположения датчика объекта мониторинга по оси ординат;
- $tagZ – значение координаты расположения датчика объекта мониторинга по оси аппликат.
Например, вы можете указать выражение для вычисления температуры по Цельсию на основе тега, по которому поступают значения температуры по Фаренгейту:
5/9 * ($tag - 32) |
Значения виртуального тега будут отображаться на графиках в разделах Мониторинг и История в соответствии с заданным выражением.
Чтобы создать новый тег:
- В меню администратора выберите раздел Теги.
- В верхней части страницы нажмите на кнопку Создать.
Справа откроется панель Создание тега.
- В раскрывающемся списке Тип тега выберите Виртуальный тег.
- Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для виртуального тега.
Вы можете загрузить значок для тега, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.
Если требуется удалить значок тега, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.
- В раскрывающемся списке Группа выберите нужную группу тегов, к которой вы хотите отнести создаваемый виртуальный тег.
Группы тегов требуется предварительно загрузить или создать вручную.
- В поле Название укажите имя виртуального тега.
- В поле Описание укажите описание виртуального тега.
- В поле ID укажите идентификатор виртуального тега.
- В поле Размерность укажите единицы измерения для виртуального тега.
- В полях X, Y, Z укажите координаты расположения датчика объекта мониторинга в пространстве.
Вы можете использовать произвольную точку в качестве начала координат.
Вы можете использовать значения координат датчиков для расчета значений виртуального тега и их отображения на графиках в разделах Мониторинг и История.
- В поле Класс для отображения укажите класс для отображения виртуального тега.
- В блоке Технические пределы в полях Нижний и Верхний укажите нижний и верхний пределы значений виртуального тега.
Эти параметры требуются для корректной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего технического предела, детектор Limit Detector регистрирует инцидент.
Если включена функция Всегда показывать технические пределы, вертикальный масштаб графика будет зафиксирован предельными линиями, выводимыми по нижней и верхней границам графика тега, при условии, что значения тега находятся в заданном диапазоне. Если значения тега выйдут за заданные пределы, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.
- В блоке Границы отображения в полях Нижняя и Верхняя укажите нижнюю и верхнюю границы отображения значений виртуального тега на графиках.
Если значения тега будут выходить за указанные границы, то они не будут отображаться на графике тега. Допустимые границы отображения значений тега имеют приоритет над отображением технических пределов, даже если включена функция Всегда показывать технические пределы.
- В поле Устройство укажите имя устройства, созданного во внешней системе, для которого требуется рассчитать значения виртуального тега.
- Если требуется добавить для этого тега на графиках в разделах Мониторинг и История дополнительные горизонтальные пороговые линии, нажмите на кнопку Добавить линию и в появившемся поле Пороговое значение укажите значение, которое требуется отображать на графике.
Дополнительные горизонтальные пороговые линии помогают визуально оценить колебания значений тега в определенных пределах. Вы можете добавить несколько дополнительных горизонтальных пороговых линий.
- Для отображения значений виртуального тега на графиках в разделах Мониторинг и История выполните следующие действия в блоке параметров Выражение для расчета тега:
- В раскрывающемся списке ID тега для расчета выберите идентификатор тега, на основе которого вы хотите вычислить значение виртуального тега.
- В раскрывающемся списке Выражения для расчета реальных и предсказанных значений тега выберите одно из следующих значений:
- Если требуется использовать одинаковые выражения для расчета реальных и предсказанных значений тегов, выберите значение Одинаковые выражения.
- Если требуется использовать разные выражения для расчета реальных и предсказанных значений тегов, выберите значение Разные выражения.
- В поле Выражение для расчета значений тега укажите выражение для расчета значений тега.
Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием одинаковых выражений.
- В поле Выражение для расчета реальных значений тега укажите выражение для расчета реальных значений тега.
Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием разных выражений.
- Если требуется, в поле Выражение для расчета предсказанных значений тега укажите выражение для расчета предсказанных значений тега.
Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием разных выражений.
- Если требуется, в поле Выражение для расчета ошибки укажите выражение для расчета ошибки.
- Нажмите на кнопку Создать.
Новый тег отобразится в разделе Теги в дереве тегов слева. Если требуется, вы можете изменить расположение тегов в дереве тегов. Для этого нужно перетащить нужный тег вверх или вниз в дереве тегов, удерживая за три горизонтальные линии () слева от его идентификатора.
Создание группы тегов
В Kaspersky MLAD вы можете создавать группы тегов и распределять теги по группам наиболее удобным для вас способом. Например, вы можете создать группы тегов в соответствии с устройствами объекта мониторинга, от которых поступают данные телеметрии.
Группы тегов используются для визуального отображения структуры тегов в виде дерева тегов.
Чтобы создать новую группу тегов:
- В меню администратора выберите раздел Теги.
- В верхней части страницы нажмите на кнопку Создать.
Справа откроется панель Создание тега.
- В раскрывающемся списке Тип тега выберите значение Группа.
- Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для тега.
Вы можете загрузить значок для группы тегов, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.
Если требуется удалить значок группы тегов, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.
- В раскрывающемся списке выберите группу тегов, на основе которой будет создана новая группа тегов.
- В поле Название укажите имя для группы тегов.
- В поле Описание укажите описание для группы тегов.
- Нажмите на кнопку Создать.
Новая группа тегов отобразится в разделе Теги в дереве тегов слева. Если требуется, вы можете изменить расположение группы тегов в дереве тегов. Для этого перетащите нужную группу тегов вверх или вниз в дереве тегов, удерживая за три горизонтальные линии () слева от названия группы тегов.
Изменение тега
Вы можете изменять созданные ранее теги.
Чтобы изменить тег:
- В меню администратора выберите раздел Теги.
- В дереве тегов слева выберите тег, который нужно изменить, и нажмите на кнопку Изменить.
Вы также можете перейти в режим изменения тега двойным щелчком мыши.
Справа откроется панель Изменение тега.
- Если требуется изменить значок тега, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для тега.
Вы можете загрузить значок для тега, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.
Если требуется удалить значок тега, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.
- Если требуется, в поле Название укажите новое имя тега. Если требуется получать значения тега от внешней системы, укажите имя тега во внешней системе.
Если включено использование KICS-коннектора, Kaspersky MLAD автоматически заполнит имя тега в соответствии с именем тега, полученным от Kaspersky Industrial CyberSecurity for Networks.
- Если требуется, в поле Описание укажите новое описание тега.
- Если требуется, в поле Размерность укажите новые единицы измерения для тега.
- В полях X, Y, Z укажите координаты расположения датчика объекта мониторинга в пространстве.
Вы можете использовать произвольную точку в качестве начала координат.
Вы можете использовать значения координат датчиков для расчета значений виртуального тега и их отображения на графиках в разделах Мониторинг и История. Вы также можете использовать координаты датчиков для расчета значения тегов при создании пресета и их отображения на графике в разделе Временной срез.
- В поле Класс для отображения укажите класс для отображения тега.
- В блоке Технические пределы в полях Нижний и Верхний укажите нижнюю и верхнюю границы предела значений тега.
Эти параметры требуются для корректной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего технического предела, детектор Limit Detector регистрирует инцидент.
Если включена функция Всегда показывать технические пределы, вертикальный масштаб графика будет зафиксирован предельными линиями, выводимыми по нижней и верхней границам графика тега, при условии, что значения тега находятся в заданном диапазоне. Если значения тега выйдут за заданные пределы, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.
- В блоке Границы отображения в полях Нижняя и Верхняя укажите нижнюю и верхнюю границы отображения значений тега на графиках.
Если значения тега будут выходить за указанные границы, то они не будут отображаться на графике тега. Допустимые границы отображения значений тега имеют приоритет над отображением технических пределов, даже если включена функция Всегда показывать технические пределы.
- В поле Устройство укажите имя устройства, созданного во внешней системе, для которого требуется получать теги.
Если включено использование KICS-коннектора, Kaspersky MLAD автоматически заполнит имя устройства в соответствии с именем устройства, для которого получен тег от Kaspersky Industrial CyberSecurity for Networks.
- Если требуется добавить для этого тега на графиках в разделах Мониторинг и История дополнительные горизонтальные пороговые линии, нажмите на кнопку Добавить линию и в появившемся поле Пороговое значение укажите значение, которое требуется отображать на графике.
Дополнительные горизонтальные пороговые линии помогают визуально оценить колебания значений тега в определенных пределах. Вы можете добавить несколько дополнительных горизонтальных пороговых линий.
- Если требуется изменить выражение, по которому рассчитываются значения виртуального тега, выполните следующие действия в блоке параметров Выражение для расчета тега:
- В раскрывающемся списке Выражения для расчета реальных и предсказанных значений тега выберите одно из следующих значений:
- Если требуется использовать одинаковые выражения для расчета реальных и предсказанных значений тегов, выберите значение Одинаковые выражения.
- Если требуется использовать разные выражения для расчета реальных и предсказанных значений тегов, выберите значение Разные выражения.
- В поле Выражение для расчета значений тега укажите выражение для расчета значений тега.
Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием одинаковых выражений.
- В поле Выражение для расчета реальных значений тега укажите выражение для расчета реальных значений тега.
Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием разных выражений.
- В поле Выражение для расчета предсказанных значений тега укажите выражение для расчета предсказанных значений тега.
Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием разных выражений.
- В поле Выражение для расчета ошибки укажите выражение для расчета ошибки.
- В раскрывающемся списке Выражения для расчета реальных и предсказанных значений тега выберите одно из следующих значений:
- Нажмите на кнопку Сохранить.
Измененный тег отобразится в разделе Теги в дереве тегов слева. Если требуется, вы можете изменить расположение тегов в дереве тегов. Для этого нужно перетащить нужный тег вверх или вниз в дереве тегов, удерживая за три горизонтальные линии () слева от его идентификатора.
Изменение группы тегов
Вы можете изменять созданные ранее группы тегов.
Чтобы изменить группу тегов:
- В меню администратора выберите раздел Теги.
- В дереве тегов слева выберите группу тегов, которую нужно изменить, и нажмите на кнопку Изменить.
Вы также можете перейти в режим изменения группы тега двойным щелчком мыши.
Справа откроется панель Изменение группы тегов.
- Если требуется изменить значок группы, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для группы тегов.
Вы можете загрузить значок для группы тегов, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.
Если требуется удалить значок группы тегов, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.
- Если требуется, в поле Название укажите новое имя для группы тегов.
- Если требуется, в поле Описание укажите новое описание для группы тегов.
- Нажмите на кнопку Сохранить.
Измененная группа тегов отобразится в разделе Теги в дереве тегов слева. Если требуется, вы можете изменить расположение группы тегов в дереве тегов. Для этого нужно перетащить нужную группу тегов вверх или вниз в дереве тегов, удерживая за три горизонтальные линии () слева от названия группы тегов.
Удаление тега или группы тегов
Вы можете перемещать созданные ранее теги и группы тегов из дерева тегов в корзину тегов и удалять их из корзины безвозвратно. Чтобы удалить тег или группу тегов:
- В меню администратора выберите раздел Теги.
- В дереве тегов или в корзине тегов установите флажки рядом с названием тега и/или группы тегов.
Если требуется удалить один или несколько тегов из группы, разверните группу тегов, нажав на значок стрелки вправо (
), и выберите нужные теги. Вы также можете выбрать все теги и группы одновременно, установив флажок в заголовке таблицы. - Нажмите на кнопку Удалить в верхней части страницы.
- В открывшемся окне Подтверждение удаления нажмите на кнопку Да, чтобы подтвердить удаление.
Если при удалении выбранные теги и/или группы тегов находились в дереве тегов, то эти теги будут перемещены в корзину. Для восстановления тегов выберите теги и/или группы тегов в корзине тегов и, удерживая за три горизонтальные линии () слева от одного из выбранных элементов, перетащите теги и/или группы из корзины в нужное место в дереве тегов.
Если при удалении выбранные теги и/или группы тегов находились в корзине, эти теги будут удалены из Kaspersky MLAD безвозвратно.
В начало
Проверка текущей структуры тегов
Kaspersky MLAD сохраняет теги, полученные от внешних устройств, в базе Time Series Database. При поступлении неизвестных тегов через KICS Connector программа также автоматически создает эти теги в разделе Настройка → Теги.
Kaspersky MLAD позволяет сравнить текущую структуру тегов, которая отображается в разделе Настройка → Теги и используется для объекта мониторинга, со структурой тегов, сохраненной для этого объекта мониторинга в базе Time Series Database. Kaspersky MLAD выявляет теги, которые были получены от внешних устройств, но отсутствуют в текущей структуре тегов и не используются для объекта мониторинга. Если требуется, вы можете добавить эти теги в текущую структуру тегов.
Чтобы сравнить текущую структуру тегов со структурой в Time Series Database:
- В меню администратора выберите раздел Теги.
- В верхней части страницы нажмите на кнопку Сравнить теги.
Текущая структура тегов, используемая для объекта мониторинга, сравнивается со структурой тегов, которая хранится в Time Series Database. Сообщение о результате выполненного сравнения отобразится в верхней части страницы.
В случае выявления отсутствующих тегов Kaspersky MLAD отобразит список этих тегов с названиями в формате Tag <идентификатор тега>.
- Если требуется добавить отсутствующие теги, выполните следующие действия:
- В поле Группа для каждого обнаруженного тега выберите группу тегов, к которой вы хотите отнести тег.
- Нажмите на кнопку Да.
Kaspersky MLAD добавит теги в текущую структуру тегов. Для этих тегов будут указаны только их идентификаторы, названия в формате Tag <идентификатор тега> и группы, к которым вы отнесли теги. Если требуется, вы можете изменить добавленные теги.
В начало
Загрузка конфигурации тегов в систему
Конфигурация тегов создается в процессе выполнения работ по внедрению Kaspersky MLAD и построению ML-модели. Конфигурация тегов предоставляется в виде файла в формате JSON.
Чтобы загрузить конфигурацию тегов в Kaspersky MLAD:
- В меню администратора выберите раздел Теги.
- Нажмите на кнопку Импорт.
- В открывшемся окне выберите JSON-файл, содержащий необходимую конфигурацию тегов.
Конфигурация тегов будет загружена в Kaspersky MLAD. Теги, сгруппированные по агрегатам установки, отобразятся в левой части раздела Теги в виде дерева.
В начало
Сохранение конфигурации тегов в файл
Вы можете сохранить структуру тегов и пресетов в файл в формате JSON для дальнейшего использования.
Чтобы сохранить конфигурацию тегов в файл в формате JSON:
- В меню администратора выберите раздел Теги.
- Нажмите на кнопку Экспорт.
Конфигурация тегов будет сохранена в файл mlad.json (см. пример в Приложении).
В начало
Управление ML-моделями и шаблонами
В разделе Модели представлены данные об ML-моделях, а также шаблонах, созданных на основе добавленных в Kaspersky MLAD ML-моделей.
Управление ML-моделями и шаблонами доступно только пользователям с правами администратора.
Вкладка Модели
На вкладке Модели представлена таблица ML-моделей. Вы можете загрузить ML-модели в Kaspersky MLAD или добавить ML-модели на основе шаблонов ML-моделей.
Для каждой ML-модели отображается следующая информация:
- ID – цифровой идентификатор ML-модели.
- Имя модели – название добавленной ML-модели.
- Способ создания – параметр, указывающий, была ли ML-модель импортирована, создана по шаблону или создана в результате обучения по ранее добавленной ML-модели. Если шаблон, по которому была создана ML-модель, был удален, в столбце Способ создания отображается значение Шаблон удален. Если ML-модель, по которой была обучена текущая ML-модель, была удалена, в столбце Способ создания отображается значение Клонирована и обучена, исходная модель удалена.
- Состояние – переключатель, позволяющий включить или выключить использование ML-модели для объекта мониторинга. Если ML-модель не активирована, в столбце Состояние отображается неактивный переключатель Недоступна.
- Действие – кнопка, позволяющая активировать ML-модель или запустить процесс обучения ML-модели после ее активации.
Рядом с каждой моделью находится вертикальное меню 
, позволяющее создать шаблон по существующей ML-модели, просмотреть подробные сведения о модели или удалить ML-модель.
Вкладка Шаблоны
На вкладке Шаблоны представлена таблица шаблонов, созданных на основе добавленных в Kaspersky MLAD ML-моделей. Для каждого шаблона доступна следующая информация:
- ID – цифровой идентификатор шаблона ML-модели.
- Имя шаблона – название шаблона ML-модели.
- Способ создания – название ML-модели, по которой создан шаблон. Если ML-модель, по который был создан шаблон, была удалена, в столбце Способ создания отображается значение Исходная модель удалена.
- Действие – кнопка, позволяющая создать ML-модель по шаблону.
Вы можете использовать созданные шаблоны для добавления новых ML-моделей в Kaspersky MLAD. После добавления ML-модели вы можете включить ее использование для объекта мониторинга. Вы также можете удалить шаблоны ML-моделей.
Изменение параметров ML-модели и ее элементов
Вы можете изменить некоторые параметры ML-модели и ее элементов.
Изменение параметров ML-модели и элемента ML-модели выполняет только сотрудник "Лаборатории Касперского" или сертифицированный интегратор. Не рекомендуется изменять эти параметры самостоятельно.
Чтобы изменить параметры ML-модели:
- В основном меню выберите раздел Модели.
- Нажмите на вертикальное меню , которое расположено в строке той ML-модели, параметры которой нужно изменить и выберите Детали модели.
Справа откроется панель <Имя ML-модели> на вкладке Параметры модели.
- Нажмите на кнопку Изменить.
- На вкладке Параметры модели измените нужные параметры ML-модели.
- На вкладке Элементы модели измените параметры нужного элемента ML-модели. Если требуется изменить относительные веса для выходных тегов элемента ML-модели, выполните следующие действия:
- В списке параметров элемента ML-модели нажмите на значение параметра out_tags и mse_weights.
Справа отобразится панель Выходные теги и их относительные веса.
- Нажмите на кнопку Изменить.
- Измените значения относительных весов в столбце Значение веса для нужных выходных тегов элемента ML-модели и нажмите на кнопку Сохранить.
- Нажмите на кнопку Закрыть.
- В списке параметров элемента ML-модели нажмите на значение параметра out_tags и mse_weights.
- Нажмите на кнопку Сохранить.
Загрузка ML-модели
Kaspersky MLAD позволяет загружать новые ML-модели. Файлы ML-моделей для загрузки поставляется специалистами "Лаборатории Касперского" или сертифицированным интегратором.
При загрузке ML-модели, размер которой превышает 1 ГБ, работа Kaspersky MLAD может замедлиться.
Чтобы загрузить ML-модель:
- В основном меню выберите раздел Модели.
- Нажмите на кнопку Импорт.
- В открывшемся окне выберите файл ML-модели.
Файл ML-модели поставляется в виде архива формата TAR размером не более 1,5 ГБ.
ML-модель будет загружена в Kaspersky MLAD. Имя и состояние ML-модели отобразятся в таблице. После загрузки требуется активировать ML-модель. При повторной загрузке ML-модели, которая ранее была активирована и затем удалена, повторная активация ML-модели не требуется.
В начало
Активация ML-модели
После добавления новой ML-модели в Kaspersky MLAD ее требуется активировать.
При потере кода для активации ML-модели требуется отправить запрос специалисту "Лаборатории Касперского" для получения нового кода.
Чтобы активировать ML-модель:
- В основном меню выберите раздел Модели.
- В столбце Действие нажмите на кнопку Активировать.
Справа появится панель Активация модели.
- В поле Код для активации модели введите код, полученный от сотрудников "Лаборатории Касперского", и нажмите на кнопку Активировать в нижней части окна.
ML-модель активирована. Для запуска анализа данных телеметрии от объекта мониторинга требуется включить ML-модель.
В начало
Изменение состояния ML-модели
Вы можете включить или выключить использование ML-модели для анализа данных телеметрии от объекта мониторинга. По умолчанию после активации ML-модель выключена.
По умолчанию Kaspersky MLAD поддерживает параллельную работу пяти ML-моделей. Если требуется, пользователь с правами администратора может изменить максимально возможное количество одновременно запущенных моделей при настройке службы Anomaly Detector.
Чтобы изменить состояние ML-модели:
- В основном меню выберите раздел Модели.
- С помощью переключателя в столбце Состояние включите или выключите использование нужной ML-модели.
Вы можете включить или выключить использование ML-модели, которая была предварительно активирована. Если ML-модель не активирована, в столбце Состояние отображается неактивный переключатель Недоступна.
Обучение ML-модели
Kaspersky MLAD позволяет выполнить клонирование уже имеющейся ML-модели, построенной на детекторе Forecaster, для ее переобучения или дополнительного обучения на основе новых данных телеметрии, полученных Kaspersky MLAD для конкретного объекта мониторинга.
Обучение ML-модели является ресурсоемким процессом. В зависимости от сложности модели и объема данных возможна замедленная работа основных служб Kaspersky MLAD (прием данных, обнаружение аномалий, работа веб-интерфейса). Для уточнения регламента обучения ML-модели рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.
Чтобы обучить ML-модель:
- В основном меню выберите раздел Модели.
- В столбце Действие нажмите на кнопку Обучить, расположенную в строке той ML-модели, которую требуется взять за основу для обучения новой ML-модели.
Справа откроется панель Клонирование и обучение модели.
- Если требуется, в поле Имя новой модели укажите имя для новой ML-модели.
По умолчанию новой ML-модели присваивается имя в формате <имя_исходной_модели>_Cloned&Retrained_<дата_и_время>.
- В поле Начало периода выгрузки данных нажмите на значок Календарь (
) и в открывшемся окне выберите дату и время начала периода выгрузки данных для обучения модели. - В поле Окончание периода выгрузки данных нажмите на значок Календарь () и в открывшемся окне выберите дату и время окончания периода выгрузки данных для обучения модели.
- Разверните список Дополнительные параметры, нажав на значок стрелки вправо (), и при необходимости укажите значения для следующих параметров:
- В поле Количество эпох обучения укажите максимальное количество эпох обучения.
Kaspersky MLAD может закончить обучение ML-модели до достижения заданного количества эпох, если посчитает, что ML-модель обучена. По умолчанию установлено 10 000 эпох обучения.
- Для ограничения времени обучения модели включите переключатель Ограничить время обучения модели и заполните следующие поля:
- В поле Дни укажите количество дней, в течение которых ML-модель должна обучаться.
- В поле Часы укажите количество часов, в течение которых ML-модель должна обучаться.
- Выполните одно из следующих действий:
- Если требуется загрузить относительные веса выходных тегов ранее обученной ML-модели, включите переключатель Загрузить состояние исходной модели до обучения.
- Если требуется переобучить ML-модель, выключите переключатель Загрузить состояние исходной модели до обучения.
По умолчанию этот параметр выключен.
- В поле Окно сглаживания ошибки укажите интервал для сглаживания ошибки MSE (параметр alpha).
По умолчанию этот интервал равен размеру окна предсказания forecast_window_size. Если сглаживание ошибки MSE не требуется, укажите в поле Окно сглаживания ошибки значение 0.
Изменять интервал сглаживания ошибки могут только специалисты "Лаборатории Касперского" или сертифицированный интегратор.
- В поле Количество эпох обучения укажите максимальное количество эпох обучения.
- Нажмите на кнопку Клонировать и обучить.
После обучения новая ML-модель появится в таблице моделей.
В начало
Удаление ML-модели
Вы можете удалить одну или несколько ML-моделей из Kaspersky MLAD.
После удаления ML-модели результаты предсказанных с помощью этой модели значений тегов, а также рассчитанные ошибки MSE станут недоступны.
Чтобы удалить ML-модель:
- В основном меню выберите раздел Модели.
- В таблице моделей выберите одну или несколько ML-моделей и нажмите на кнопку Удалить.
Вы также можете удалить конкретную ML-модель, выбрав пункт Удалить в вертикальном меню
для нужной модели. - Подтвердите удаление ML-модели.
Выбранная ML-модель будет удалена из Kaspersky MLAD.
В начало
Создание шаблона по ML-модели
Вы можете создать шаблон ML-модели на основе ранее добавленной ML-модели. В созданных шаблонах будет сохранена структура алгоритма, набор элементов, состав тегов и состояние обучения исходной ML-модели.
Чтобы создать шаблон по ML-модели:
- В основном меню выберите раздел Модели.
- Нажмите на вертикальное меню , которое расположено в строке той ML-модели, по которой нужно создать шаблон.
- Выберите пункт Создать шаблон.
Справа откроется панель Создание шаблона.
- В поле Имя шаблона укажите имя шаблона.
Вы можете ввести не более 100 символов.
- Если требуется изменить имена тегов шаблона, в столбце Имя тега шаблона укажите новые имена для нужных тегов.
Если теги, используемые в ML-модели, по которой вы создаете шаблон, были загружены или созданы в разделе Настройка → Теги, их имена автоматически присваиваются тегам шаблона. Если тег, используемый в ML-модели, не обнаружен в Kaspersky MLAD, этому тегу присваивается имя по умолчанию в формате Test <ID тега модели>.
Вы можете указать имя тега шаблона, отличное от имен тегов в разделе Настройка → Теги. Сопоставление тегов шаблона и тегов в разделе Настройка → Теги происходит по идентификаторам тегов ML-модели, которые вы можете указать при создании ML-модели по шаблону.
- Нажмите на кнопку Создать.
Созданный шаблон ML-модели отобразится на вкладке Шаблоны.
В начало
Создание ML-модели по шаблону
Вы можете создать новую ML-модель на основе доступных шаблонов. При создании ML-модели вы можете указать идентификаторы тегов, которые требуется использовать в новой ML-модели.
Чтобы создать ML-модель по шаблону:
- В основном меню выберите раздел Модели и нажмите на Шаблоны.
- В столбце Действие нажмите на кнопку Создать модель, расположенную в строке того шаблона, по которому требуется создать ML-модель.
Справа откроется панель Создание модели.
- В поле Имя модели укажите имя новой ML-модели.
Вы можете указать имя ML-модели длиной не более 100 символов.
- В столбце ID тега модели выберите идентификаторы тегов для каждого тега ML-модели, которые будут использоваться создаваемой ML-моделью.
Сопоставление тегов шаблона и тегов в разделе Настройка → Теги происходит по идентификаторам тегов ML-модели.
- Нажмите на кнопку Создать.
Созданная ML-модель отобразится на вкладке Модели. Состояние созданной ML-модели будет соответствовать состоянию обучения исходной ML-модели в момент создания ее шаблона.
В начало
Удаление шаблона ML-модели
Вы можете удалить шаблон ML-модели из Kaspersky MLAD.
Чтобы удалить шаблон ML-модели:
- В основном меню выберите раздел Модели и нажмите Шаблоны.
- В таблице шаблонов выберите один или несколько шаблонов ML-моделей и нажмите на кнопку Удалить.
Вы также можете удалить конкретный шаблон ML-модели, выбрав пункт Удалить в вертикальном меню
в строке нужного шаблона. - Подтвердите удаление шаблона ML-модели.
Выбранный шаблон ML-модели будет удален из Kaspersky MLAD. Удаление шаблона не приводит к удалению ML-моделей, созданных на основе этого шаблона.
В начало
Настройка параметров в разделе Процессор событий
Перед обработкой событий службой Event Processor требуется настроить параметры конфигурации внимания и отображение параметров событий.
Управление параметрами конфигурации внимания и отображением параметров событий доступно только пользователям с правами администратора.
Большое количество направлений внимания может привести к замедлению работы основных служб Kaspersky MLAD (прием данных, обнаружение аномалий, работа веб-интерфейса). Для уточнения количества направлений внимания рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.
Чтобы настроить параметры конфигурации внимания и отображение параметров событий:
- В основном меню выберите раздел Процессор событий.
- На открывшейся странице нажмите на кнопку Параметры.
Справа появится панель Параметры процессора событий.
- В блоке Настройка конфигурации внимания для каждого параметра события, выполните одно из следующих действий:
- Если требуется регистрировать паттерны по всем значениям параметра события, в раскрывающемся списке выберите Все значения параметра.
- Если требуется регистрировать паттерны по конкретному значению параметра события, в раскрывающемся списке выберите значение параметра. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.
Если значение параметра отсутствует в списке, введите нужное значение и выберите Создать значение: <значение параметра события>.
- Если требуется регистрировать паттерны по шаблону значения параметра событий, включите переключатель Регулярное выражение для нужного параметра события, в раскрывающемся списке введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.
Для поиска паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.
Каждое направление внимания задается значением параметра, которое должно присутствовать во всех событиях этого направления. При настройке направлений внимания вы можете указать определенные значения или шаблоны значений одного или нескольких параметров или задать направления внимания для всех возможных значений одного либо нескольких параметров.
- Если требуется настроить отображение фильтров параметров событий в блоке Фильтры на вкладках История событий и История паттернов, в блоке Настройка отображения фильтров параметров событий установите флажки рядом с названиями нужных параметров событий.
По умолчанию в блоке Настройка отображения фильтров параметров событий отображаются параметры событий от службы Anomaly Detector. Для отображения пользовательских параметров событий требуется загрузить конфигурационный файл службы Event Processor. По умолчанию выбраны все доступные параметры событий.
При необходимости вы можете изменить порядок отображения параметров событий в блоке Фильтры. Для этого нужно перетащить нужный параметр события вверх или вниз в блоке Настройка отображения фильтров параметров событий, удерживая за название параметра события.
- Нажмите на кнопку Применить для сохранения внесенных изменений.
Управление учетными записями пользователей
Этот раздел содержит информацию об управлении учетными записями пользователей Kaspersky MLAD.
Управление учетными записями пользователей Kaspersky MLAD доступно только пользователям с правами администратора.
Чтобы обеспечить безопасную работу пользователей с Kaspersky MLAD, вам нужно установить доверенный сертификат для подключения к веб-интерфейсу, создать учетную запись для каждого пользователя, настроить и проверить отправку сообщений об инцидентах на электронную почту пользователей.
Все созданные учетные записи пользователей отображаются в разделе Настройка → Пользователи. Раздел Пользователи содержит таблицу, в которой представлена информация о пользователях.
При необходимости вы также можете добавлять и изменять учетные записи пользователей. Kaspersky MLAD не позволяет удалять учетные записи пользователей. Если вы хотите запретить доступ к веб-интерфейсу Kaspersky MLAD для определенной учетной записи, рекомендуется заблокировать ее. Позже вы можете разблокировать эту учетную запись, если потребуется. Вы также можете разблокировать учетную запись, заблокированную при достижении количества неудачных попыток авторизации этого пользователя до истечения периода блокировки. Вы можете указать количество неудачных попыток авторизации и период блокировки учетной записи при настройке основных параметров Kaspersky MLAD.
При необходимости вы также можете отозвать ключи для учетной записи пользователя.
Раздел Пользователи
Создание учетной записи пользователя
Управление учетными записями пользователей Kaspersky MLAD доступно только пользователям с правами администратора.
Чтобы создать учетную запись пользователя:
- В меню пользователя выберите раздел Настройка.
Откроется раздел Пользователи.
- Нажмите на кнопку Добавить пользователя.
- В открывшемся окне Добавление пользователя заполните следующие поля:
- Фамилия – фамилия пользователя.
- Имя – имя пользователя.
- Отчество – отчество пользователя (опционально).
- Адрес электронной почты – адрес электронной почты пользователя.
- Пароль – пароль для учетной записи пользователя.
Пароль должен состоять из прописных и строчных латинских букв, а также цифр. Минимальная длина пароля – восемь символов.
- Подтверждение пароля – подтвердите пароль для учетной записи пользователя.
- Нажмите на кнопку Добавить.
Информация о новом пользователе отобразится в таблице. Если требуется, вы можете изменять, блокировать или разблокировать учетные записи пользователей.
При создании учетной записи присвоить пользователю роль Администратор или Оператор невозможно. Вы можете присвоить пользователю роль Администратор или Оператор только при изменении учетной записи.
В начало
Изменение учетной записи пользователя
Управление учетными записями пользователей Kaspersky MLAD доступно только пользователям с правами администратора.
Чтобы изменить учетную запись пользователя:
- В меню пользователя выберите раздел Настройка.
Откроется раздел Пользователи.
- Около учетной записи, которую вы хотите изменить, нажмите на кнопку редактирования
.Откроется окно Изменение пользователя.
- Внесите необходимые изменения.
- При необходимости присвойте роль Администратор или Оператор для учетной записи пользователя, установив соответствующий флажок.
- Если требуется заблокировать или разблокировать учетную запись пользователя, включите или выключите переключатель Активность.
Kaspersky MLAD не позволяет удалять учетные записи пользователей. Если вы хотите запретить доступ к Kaspersky MLAD для определенной учетной записи, рекомендуется заблокировать ее.
- Нажмите на кнопку Сохранить.
Измененная информация о пользователе отобразится в таблице.
В начало
Отзыв ключей для учетной записи пользователя
После подключения пользователя к веб-интерфейсу внутри Kaspersky MLAD создается индивидуальный ключ, позволяющий сохранять авторизацию пользователя в программе между сеансами подключения к веб-интерфейсу программы, в том числе связанными с перезапуском браузера. Если пользователь авторизовался на нескольких устройствах, для каждой пользовательской сессии создается свой ключ. При необходимости в любой момент вы можете отозвать ключи для учетной записи пользователя. В результате для пользователя, чьи ключи вы отозвали, будет завершена сессия работы в программе одновременно на всех устройствах, на которых он был авторизован. Отзыв ключей может быть полезен в случае, если требуется принудительно завершить сеансы подключения к программе для определенного пользователя.
Чтобы отозвать ключ или ключи для учетной записи пользователя:
- В меню пользователя выберите раздел Настройка.
Откроется раздел Пользователи.
- Около учетной записи пользователя, ключи для которой вы хотите отозвать, нажмите на кнопку отзыва ключей
. - В открывшемся окне подтверждения нажмите на кнопку Да.
Ключи для учетной записи пользователя будут отозваны, пользовательская сессия будет завершена.
В начало
Управление блокировкой учетной записи пользователя
Вы можете заблокировать или разблокировать учетную запись пользователя. При блокировке учетной записи пользователь не может авторизоваться в Kaspersky MLAD.
Если пользователь был авторизован в момент блокировки его учетной записи, сессия работы в программе будет активна до выполнения одного из следующих условий:
- Пользователь вышел из своей учетной записи.
- Программа автоматически завершила сеанс подключения по истечении срока действия ключей для учетной записи пользователя.
- Администратор отозвал ключи для учетной записи пользователя.
Чтобы заблокировать или разблокировать учетную запись пользователя:
- В меню пользователя выберите раздел Настройка.
Откроется раздел Пользователи.
- Для нужного пользователя выполните одно из следующих действий:
- Если требуется заблокировать учетную запись пользователя, выключите переключатель Активность в нужной строке таблицы.
- Если требуется разблокировать учетную запись пользователя, включите переключатель Активность в нужной строке таблицы.
Управление уведомлениями об инцидентах
Этот раздел содержит информацию об управлении уведомлениями при регистрации инцидентов. Уведомления отправляются по электронной почте пользователям, для которых они были настроены.
Управление уведомлениями об инцидентах доступно только для пользователей с правами администратора.
Предварительно требуется настроить и запустить службу Mail Notifier.
Все созданные уведомления об инцидентах отображаются в разделе Настройка → Уведомления. Раздел Уведомления содержит таблицу, в которой представлена информация об уведомлениях.
Если требуется, вы можете изменять количество уведомлений, отображаемых на одной странице.
Вы можете создавать, изменять и удалять уведомления об определенных инцидентах для пользователей Kaspersky MLAD.
Раздел Уведомления
Создание уведомления об инцидентах
Управление уведомлениями об инцидентах доступно только для пользователей с правами администратора.
Чтобы создать уведомление пользователя об инцидентах:
- В меню пользователя выберите раздел Настройка → Уведомления.
Вы перейдете в режим администрирования.
- На открывшейся странице нажмите на кнопку Создать.
Откроется окно Создание уведомления.
- В раскрывающемся списке Пользователь выберите пользователя, для которого вы хотите создать уведомление.
В списке Пользователь отображаются фамилии и имена пользователей, заданные при создании их учетных записей.
- В поле Адрес электронной почты измените адрес электронной почты пользователя, на который будут приходить уведомления об инцидентах.
По умолчанию Kaspersky MLAD автоматически заполняет поле Адрес электронной почты адресом, указанным для выбранного пользователя при создании его учетной записи.
- Укажите типы инцидентов, при регистрации которых требуется получать уведомления:
- Если вы хотите настроить уведомление о прогнозируемых значениях тега, установите флажок Forecaster.
- Если вы хотите настроить уведомление о приближении значения тега к допустимым пределам, установите флажок Limit Detector.
- Если вы хотите настроить уведомление о достижении значения индикаторного тега порога, установленного для диагностического правила, установите флажок Rule Detector.
- Если вы хотите настроить уведомление о прекращении или прерывании входного потока данных определенного тега, а также об обнаружении наблюдений, поступивших слишком рано или поздно, установите флажок Stream Processor.
- В поле Язык рассылки выберите язык, на котором будут приходить уведомления об инцидентах.
По умолчанию для уведомлений об инцидентах используется текущий язык локализации веб-интерфейса Kaspersky MLAD. Доступны английский и русский языки.
- Для включения отправки уведомлений установите переключатель Состояние в положение Активировано.
- Нажмите на кнопку Создать.
Информация о новом уведомлении отобразится в таблице. Если требуется, вы можете изменять или удалять уведомления.
В начало
Изменение уведомления об инцидентах
Управление уведомлениями об инцидентах доступно только для пользователей с правами администратора.
Чтобы изменить уведомление об инцидентах:
- В меню пользователя выберите раздел Настройка → Уведомления.
Вы перейдете в режим администрирования.
- Установите флажок около уведомления, которое вы хотите изменить, и нажмите на кнопку Изменить.
Кнопка Изменить доступна, если выбрано только одно уведомление.
- Внесите необходимые изменения.
- При необходимости включите или выключите отправку уведомлений об инцидентах с помощью переключателя Состояние.
- Нажмите на кнопку Изменить для сохранения изменений.
Измененная информация об уведомлении отобразится в таблице. Если требуется, вы можете удалять уведомления.
В начало
Включение и выключение отправки уведомлений об инцидентах
Kaspersky MLAD позволяет временно выключить отправку уведомлений вместо удаления их конфигураций. Информация об уведомлении сохраняется в разделе Уведомления. Вы можете включить отправку уведомление в любое время.
Чтобы включить или выключить отправку уведомлений об инцидентах:
- В меню пользователя выберите раздел Настройка → Уведомления.
Вы перейдете в режим администрирования.
- С помощью переключателя в столбце Состояние включите или выключите отправку нужного уведомления об инцидентах.
Удаление уведомления об инцидентах
Управление уведомлениями об инцидентах доступно только для пользователей с правами администратора.
Чтобы удалить уведомление об инцидентах:
- В меню пользователя выберите раздел Настройка → Уведомления.
Вы перейдете в режим администрирования.
- Установите флажок около уведомления, которое вы хотите удалить, и нажмите на кнопку Удалить.
Кнопка Удалить доступна, если выбрано хотя бы одно уведомление. Вы можете выбрать несколько уведомлений одновременно.
- В открывшемся окне нажмите на кнопку Да, чтобы подтвердить удаление.
Информация об уведомлении будет удалена из таблицы.
Kaspersky MLAD позволяет временно выключить отправку уведомлений вместо удаления.
В начало
Удаление программы
Удаление Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).
В результате удаления Kaspersky MLAD будут потеряны все данные Kaspersky MLAD, полученные, загруженные и обработанные с момента установки программы. Рекомендуется проверить наличие полной резервной копии всех данных Kaspersky MLAD. При обновлении программы Kaspersky MLAD автоматически создает резервную копию предыдущей версии программы.
Чтобы удалить Kaspersky MLAD:
- Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – mlad-release-3.0.0-<номер установочной сборки>):
cd mlad-release-3.0.0-<номер сборки> - Запустите скрипт установки setup.sh с ключом -u:
sudo ./setup.sh -u - Подтвердите удаление компонентов Kaspersky MLAD.
Программа Kaspersky MLAD будет удалена.
В начало
Подключение к Kaspersky MLAD и завершение сеанса
Для подключения к веб-интерфейсу Kaspersky MLAD нужно использовать поддерживаемый браузер.
При подключении пользователя внутри программы генерируется ключ со сроком действия семь дней. В течение этого времени программа не запрашивает учетные данные пользователя, если для подключения используются те же компьютер, браузер и учетная запись. По истечении срока действия ключа программа автоматически завершает сеанс подключения для этого пользователя.
Для завершения сеанса подключения до истечения срока действия ключа авторизованный пользователь может самостоятельно выйти из своей учетной записи. При необходимости пользователь с правами администратора также может отозвать ключи для учетной записи пользователя. При отзыве ключей для пользователя будет завершена сессия работы в программе одновременно на всех устройствах, на которых он был авторизован.
Веб-адрес, имя пользователя (далее "логин") и пароль для входа в программу требуется запросить у администратора Kaspersky MLAD.
Подключение к веб-интерфейсу
Чтобы подключиться к Kaspersky MLAD через браузер:
- На компьютере откройте поддерживаемый браузер.
- В адресной строке браузера введите веб-адрес сервера Kaspersky MLAD, полученный от администратора Kaspersky MLAD.
- На открывшейся странице ввода учетных данных введите логин и пароль.
При первом подключении к веб-интерфейсу Kaspersky MLAD используйте логин и пароль, созданные по умолчанию.
- Нажмите на кнопку Войти или на клавишу ENTER.
В окне браузера откроется Информационная панель.
Если вы закрыли окно браузера без завершения сеанса подключения, сеанс останется действующим. Время действия незавершенного сеанса подключения к программе составляет семь дней. В течение этого времени программа предоставляет доступ к странице веб-интерфейса Kaspersky MLAD без запроса учетных данных пользователя, если для подключения используются те же компьютер, браузер и учетная запись операционной системы.
В случае неудачной авторизации Kaspersky MLAD заблокирует вашу учетную запись при достижении числа неудачных попыток авторизации в заданный период блокировки. Количество неудачных попыток авторизации и период блокировки учетной записи задаются пользователем с правами администратора при настройке основных параметров Kaspersky MLAD.
Страница ввода учетных данных Kaspersky MLAD
В начало
Завершение сеанса подключения к Kaspersky MLAD
После окончания работы с Kaspersky MLAD в браузере требуется завершить сеанс подключения к программе.
Чтобы завершить сеанс подключения к программе,
в окне браузера на странице веб-интерфейса Kaspersky MLAD откройте меню пользователя и выберите пункт Выход.
После завершения сеанса подключения к программе в окне браузера отобразится страница ввода учетных данных.
В начало
Веб-интерфейс Kaspersky MLAD
Работа с Kaspersky MLAD осуществляется через веб-интерфейс. В этом разделе приведено описание основных элементов веб-интерфейса Kaspersky MLAD.
Главное окно веб-интерфейса программы содержит следующие элементы:
- меню в левой части окна веб-интерфейса программы;
- рабочую область в центральной части окна веб-интерфейса программы.
Меню состоит из основного меню и меню пользователя, которое можно открыть нажатием на 
в нижнем левом углу страницы. При необходимости вы также можете свернуть или развернуть основное меню нажатием на 
в верхнем левом углу страницы.
Для пользователей с правами администратора доступно меню, предоставляющее возможность управлять учетными записями пользователей, настраивать уведомления об инцидентах, управлять тегами, а также переходить на страницу системы логирования для просмотра логов.
Основное меню
Основное меню Kaspersky MLAD включает следующие разделы:
|
Открывает раздел, который содержит информацию о последних инцидентах, службах и их статусах. |
|
Открывает раздел, в котором отображаются данные, поступающие в систему в реальном времени. Вы также можете настраивать параметры отображения поступающих данных на графике. |
|
Открывает раздел, который содержит полную историю поступивших в систему данных и результаты их анализа ML-моделями. Вы также можете настраивать параметры отображения исторических данных на графике. |
|
Открывает раздел, который содержит информацию о значениях технологических параметров, полученных от датчиков в один и тот же момент времени. Вы также можете настраивать параметры отображения данных на графике. |
|
Открывает раздел, в котором вы можете просматривать информацию о полученных из внешних систем событиях и выявленных среди них паттернах, а также управлять мониторами для отслеживания определенных событий, паттернов или значений параметров событий. |
|
Открывает раздел, который содержит журнал обнаруженных инцидентов. В рамках анализа инцидентов вы также можете добавить статус, причину, экспертное заключение и замечание к инциденту или группе инцидентов. |
|
Открывает раздел, который позволяет просмотреть информацию об используемых в системе ML-моделях и шаблонах ML-моделей, а также управлять ими. |
|
Открывает раздел, в котором вы можете просматривать информацию о доступных пресетах, изменять их параметры, а также создавать пресеты. |
|
Службы Открывает раздел, который позволяет просмотреть информацию о службах и их статусах, а также запускать, останавливать и перезапускать службы. |
|
|
Меню пользователя
Меню пользователя Kaspersky MLAD включает следующие элементы:
English / Русский Позволяет выбрать язык локализации для веб-интерфейса Kaspersky MLAD. Доступны английский и русский языки. |
Выход Выход из учетной записи текущего пользователя. |
Настройка Открывает меню администратора, в котором вы можете управлять учетными данными пользователей, просматривать их роли и права, а также настраивать уведомления об инцидентах и управлять тегами. Меню администратора доступно только пользователям с правами администратора. |
Логирование Осуществляет переход в систему логирования (Grafana) в новой вкладке браузера. Этот раздел доступен только для пользователей с правами администратора. |
Справка Открывает справку Kaspersky MLAD в новой вкладке браузера. |
О программе Открывает страницу с краткой информацией о программе. |
Меню администратора
Меню администратора Kaspersky MLAD доступно только пользователям с правами администратора и включает следующие разделы:
|
Открывает раздел, в котором вы можете управлять учетными записями пользователей. |
|
Открывает раздел, который содержит информацию о доступных ролях пользователей. |
|
Открывает раздел, который содержит информацию о правах пользователей. |
|
Открывает раздел, в котором вы можете управлять уведомлениями, которые программа отправляет пользователям при регистрации инцидентов. |
|
Открывает раздел, в котором вы можете управлять параметрами компонентов Kaspersky MLAD. |
|
Открывает раздел, в котором вы можете управлять тегами. |
|
Назад Выход из режима администрирования и переход в раздел Информационная панель. |
|
|
Лицензирование программы
Этот раздел содержит информацию об основных понятиях, связанных с лицензированием Kaspersky MLAD.
О Лицензионном соглашении
Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать программу.
Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с программой.
Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:
- Во время установки Kaspersky MLAD.
- Прочитав документ license_ru.txt. Этот документ включен в комплект поставки программы.
Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки программы. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку программы и не должны использовать программу.
В начало
О лицензии
Лицензия – это ограниченное по времени право на использование программы, предоставляемое вам на основании Лицензионного соглашения.
Лицензия включает в себя право на получение следующих видов услуг:
- использование программы в соответствии с условиями Лицензионного соглашения;
- получение технической поддержки.
Услуги технической поддержки предоставляются при наличии действующего Договора об оказании технической поддержки. Объем предоставляемых услуг технической поддержки определяется действующим Договором об оказании технической поддержки.
В начало
Обработка и хранение данных в Kaspersky MLAD
Этот раздел содержит информацию о предоставлении данных и о директориях для хранения данных.
О предоставлении данных
Принимая условия Лицензионного соглашения, вы соглашаетесь на обработку в автоматическом режиме информации о персональных данных для обеспечения работы программы. Сведения о получении, обработке и хранении персональных данных вы можете узнать, прочитав текст Лицензионного соглашения.
Программа не передает пользовательские персональные данные в "Лабораторию Касперского". Пользовательские персональные данные обрабатываются на компьютерах, на которых установлена программа.
Программа обрабатывает и сохраняет следующие данные, имеющие отношение к пользовательским персональным данным:
- имена учетных записей пользователей;
- имена пользователей для подключения через веб-интерфейс;
- адреса электронной почты получателей уведомлений об инцидентах;
- IP-адреса или имена компьютеров, которые были использованы для подключения к веб-интерфейсу программы.
Обработка перечисленных данных выполняется с целью анализа нарушений технологического процесса и для обнаружения аномалий сетевого трафика, которые могут являться признаками атак.
Фамилии, имена, отчества и адреса электронной почты пользователей программы хранятся в открытом виде. Конфиденциальность этих данных должен обеспечивать квалифицированный администратор программы – сотрудник Заказчика.
Если в программе настроена передача событий и инцидентов в сторонние системы, программа отправляет зарегистрированные события и инциденты в сторонние системы по выбору администратора. Администратор программы самостоятельно выбирает сторонние системы и типы событий и инцидентов для передачи в сторонние системы. Обработка и сохранение полученных данных в сторонней системе выполняется в соответствии с ее функциональностью и назначением.
Программа не отслеживает доступ к файлу параметров установки программы, который может содержать персональные данные. Факты запуска компонентов программы, при которых происходит проверка учетных данных пользователей, отслеживаются программой.
Система логирования (Grafana) не передает пользовательские персональные данные в "Лабораторию Касперского" или на сторонние серверы. Отправка данных на сторонние серверы доступна по действию пользователя, поэтому перед началом работы с системой логирования рекомендуется ознакомиться с руководством пользователя системы Grafana.
Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.
В начало
Директории для хранения данных программы
Kaspersky MLAD использует для хранения данных следующие директории и их поддиректории:
- Директории программы (по умолчанию mlad-release-3.0.0-<номер установочной сборки>):
- . – корневая директория программы. Используется для хранения конфигурационных файлов, журнала логов установки и обновления Kaspersky MLAD, скриптов для установки, обновления, запуска и остановки Kaspersky MLAD, подписи дистрибутива. Также в корне директории программы хранятся примечания к текущему выпуску Kaspersky MLAD (Release Notes).
- ./data – директория для хранения данных, которые загружаются с использованием коннектора HTTP Connector.
- ./containers – директория для хранения архива с контейнерами служб Kaspersky MLAD. Контейнеры служб Kaspersky MLAD устанавливаются в Docker из этого архива.
- ./legal – директория для хранения текста Лицензионного соглашения и метки о дате его принятия пользователем.
- ./ssl – директория для хранения скрипта генерации самоподписанного сертификата, обеспечивающего HTTPS-соединение с браузером пользователя Kaspersky MLAD.
- ./ssl/tokens – директория для хранения ключа JWT (JSON Web Token).
- ./ssl/nginx – директория для хранения сертификатов, обеспечивающих HTTPS-соединение с браузером пользователя Kaspersky MLAD.
- ./upgrade_backup-<номер версии>-<номер сборки> – директория для хранения резервных копий Kaspersky MLAD, которые создаются в процессе обновления Kaspersky MLAD. Содержимое повторяет структуру корневой директории, в которую установлен Kaspersky MLAD.
- ./volumes_backup_<дата удаления> – директория для хранения резервных копий томов (volumes) Docker, которые создаются во время удаления Kaspersky MLAD.
- Директория /var/lib/docker/volumes/:
- ./mlad-release-<номер версии>-<номер установочной сборки>_postgres-volume – директория для хранения файлов базы данных Postgres.
- ./mlad-release-<номер версии>-<номер установочной сборки>_inflxdb-volume – директория для хранения файлов базы данных Time Series Database.
- ./mlad-release-<номер версии>-<номер установочной сборки>_logger-volume – директория для хранения файлов подсистемы логирования.
- ./mlad-release-<номер версии>-<номер установочной сборки>_webstatic-volume – директория для хранения статических данных веб-интерфейса программы.
- /etc/hosts – служебный файл, описывающий соответствие IP-адресов и имен хостов внешних серверов.
Изменить файлы программы может пользователь с правами администратора программы или пользователь, от имени которого распакован архив, содержащий установочный скрипт и все необходимые для установки Kaspersky MLAD файлы.
Удаление или изменение любого файла Kaspersky MLAD может привести к нарушению работоспособности программы.
В начало
Решение типовых задач
Этот раздел содержит описание типовых пользовательских задач и инструкции по их выполнению.
Сценарий: Работа с Kaspersky MLAD
В этом разделе описаны действия пользователей с правами оператора при работе с Kaspersky MLAD.
Сценарий работы с программой состоит из следующих этапов:
- Создание пресетов для мониторинга участков защищаемого объекта
Для быстрого доступа к необходимым данным рекомендуется создать пресеты, которые включают в себя теги, соответствующие агрегатам установки. Если требуется, вы можете изменить уже существующие пресеты.
- Просмотр исторических данных
Перейдите в раздел История, чтобы просмотреть исторические данные технологических параметров, результаты их обработки Kaspersky MLAD – сформированные прогнозы и выделенные инциденты. Выберите необходимый пресет и укажите дату и интервал времени для просмотра данных. Вы можете просматривать исторические данные, используя навигацию.
- Мониторинг в онлайн-режиме
Для просмотра поступающих значений технологических параметров, их прогнозируемых значений и ошибок в онлайн-режиме, перейдите в раздел Мониторинг. Выберите необходимый пресет и интервал времени для отображения поступающих данных.
- Просмотр данных в разделе Временной срез
Для просмотра значений технологических параметров, полученных от датчиков объекта мониторинга в один и тот же момент времени, перейдите в раздел Временной срез. Выберите необходимый пресет и укажите дату и интервал времени для просмотра данных. Вы можете просматривать данные, используя навигацию.
- Работа с инцидентами
Перейдите в раздел Инциденты и просмотрите информацию о зарегистрированных инцидентах. Проанализируйте инциденты и добавьте экспертные заключения или замечания, в которых вы можете указать, являются ли зарегистрированные инциденты аномалиями.
Если вы подписаны на уведомления об инцидентах, при возникновении аномальной ситуации вы получите сообщение по электронной почте. В сообщении указываются дата и время начала инцидента, а также ссылка, по которой вы можете перейти в раздел История.
- Работа с событиями и паттернами
Перейдите в раздел Процессор событий и просмотрите события и паттерны, выявленные процессором событий. Для отслеживания определенных событий, паттернов или значений параметров событий создайте мониторы.
Просмотр сводных данных в разделе Информационная панель
В разделе Информационная панель представлена сводная информация о количестве тегов и событий, поступающих в Kaspersky MLAD, зарегистрированных инцидентах и о статусе служб.
Информация на странице разбита на следующие блоки:
- Поступающие данные – график, на котором отображается количество поступающих в Kaspersky MLAD тегов и событий. Вы можете включить или выключить отображение на графике поступающих тегов и событий, нажав на соответствующую легенду подписи данных, которая расположена под графиком. Левая шкала графика отображает диапазон количества тегов, поступающих в секунду. Правая шкала графика отображает диапазон количество событий, поступающих в секунду.
- Последние инциденты – таблица, содержащая информацию о последних зарегистрированных инцидентах.
- ID – идентификатор зарегистрированного инцидента.
- Дата и время – дата и время возникновения инцидента.
- Топ-тег – название параметра технологического процесса, для которого зарегистрирован инцидент.
- Детектор – название детектора, который зарегистрировал инцидент.
При нажатии на значок плюса (
) около инцидента в таблице инцидентов раскрывается окно с техническими характеристиками выбранного инцидента и тега:- Инцидент – блок, содержащий информацию об инциденте:
- Имя модели – название используемой ML-модели.
- Ветка модели – название используемой ветки ML-модели.
- Детектор – название детектора, который зарегистрировал инцидент.
- Значение MSE – значение индивидуальной ошибки MSE.
- Пороговое значение – пороговое значение MSE для используемой ветки ML-модели на момент регистрации инцидента.
- Топ-тег – блок, содержащий информацию о теге, для которого зарегистрирован инцидент:
- Имя топ-тега (ID топ-тега) – название тега, поведение которого привело к регистрации инцидента.
- Значение топ-тега – зарегистрированное в момент инцидента значение топ-тега.
- Пределы – допустимые пределы значений для топ-тега.
- Описание – описание топ-тега.
- Единицы измерения – единицы измерения значений топ-тега.
- Машинное обучение – таблица, в которой отображается статус служб, используемых для работы и обучения ML-модели, а также имя активной ML-модели.
- Статусы служб – таблица, в которой для каждой службы отображается ее статус.
Из раздела Информационная панель вы можете перейти в раздел История, нажав на дату и время инцидента в таблице Последние инциденты. В разделе История отображается подробная информация о зарегистрированных Kaspersky MLAD инцидентах.
Раздел Информационная панель
В начало
Просмотр поступающих данных в разделе Мониторинг
В разделе Мониторинг вы можете просматривать поступающие в реальном времени значения тегов, входящих в пресет и их прогнозируемые значения. В раскрывающемся списке вы можете выбрать необходимый пресет для просмотра данных по интересующим вас тегам. В список входят пресеты, которые можно создать в разделе Пресеты. Для каждого тега, входящего в выбранный пресет, поступающие значения отображаются в виде графика. Вы можете настроить отображение графиков, а также выбрать ветку определенной ML-модели, чтобы просмотреть результаты работы этой ветки: предсказанные детектором Forecaster значения тегов и их ошибки или значения индикаторных тегов для диагностических правил.
В нижней части страницы расположен блок, отображающий суммарную среднеквадратичную ошибку MSE (далее также "ошибка MSE" или "суммарная ошибка"), а также количество зарегистрированных инцидентов (цветные точки-индикаторы). Оранжевая линия отображает порог MSE, при превышении которого Kaspersky MLAD регистрирует инцидент.
В зависимости от выбранного масштаба времени и плотности инцидентов одна точка-индикатор может соответствовать одному или нескольким близко расположенным инцидентам, зарегистрированных одним или несколькими разными детекторами. Цвет точек-индикаторов соответствует цвету ветки ML-модели, с помощью которой был зарегистрирован инцидент. Для точек-индикаторов, которые соответствуют группе инцидентов, зарегистрированных разными ветками, а также для инцидентов, зарегистрированных детектором Limit Detector зарезервированы специальные цвета.
Для инцидентов, зарегистрированных детектором Rule Detector, значение ошибки MSE будет отсутствовать, так как регистрация инцидента происходит при достижении значения индикаторного тега равного единице. При анализе таких инцидентов требуется обращать внимание на маркер срабатывания правила (цветная точка-индикатор) ниже графика ошибки MSE для выбранной ветки ML-модели.
Раздел Мониторинг
Просмотр данных для определенного пресета в разделе Мониторинг
Kaspersky MLAD позволяет выбирать пресеты, для которых отображаются данные, поступающие в реальном времени.
Чтобы просмотреть поступающие данные для определенного пресета в режиме реального времени:
- В основном меню выберите раздел Мониторинг.
- На открывшейся странице в раскрывающемся списке выберите необходимый пресет.
На странице отобразятся графики для тегов, которые входят в выбранный пресет.
Если требуется, вы можете изменить временной интервал отображения данных, настроить отображение графиков или выбрать определенную ветку ML-модели. Также вы можете изменить состав отображаемых тегов, изменив пресет.
В начало
Выбор определенной ветки ML-модели в разделе Мониторинг
В разделе Мониторинг вы можете просматривать поступающие в реальном времени значения тегов, входящих в пресет, их прогнозируемые значения и ошибки MSE.
Если для объекта мониторинга используется ML-модель, которая имеет несколько веток для обработки и предсказания данных, Kaspersky MLAD позволяет выбрать определенную ветку ML-модели для отображения результатов работы соответствующего элемента модели:
- Для ветки ML-модели, в основе которой лежит детектор Forecaster, результаты работы отображаются в виде предсказанных значений для отдельных тегов, индивидуальных ошибок предсказания отдельных тегов, а также общей ошибки MSE и точек-индикаторов инцидентов, зарегистрированных детектором.
- Для ветки ML-модели, в основе которой лежит детектор Rule Detector, результаты работы представлены в виде индикаторных тегов и точек-индикаторов инцидентов.
- Для детектора Limit Detector ветка ML-модели не создается. Точки-индикаторы инцидентов, зарегистрированных с помощью этого детектора, отображаются, если включено использование детектора Limit Detector и включен режим отображения индикаторов для всех тегов.
Для отображения предсказанных значений тега на графиках в разделе Мониторинг, а также для вывода значений индикаторных тегов для диагностических правил требуется настроить отображение графиков.
Чтобы просмотреть результаты работы определенной ветки ML-модели:
- В основном меню выберите раздел Мониторинг.
- На открывшейся странице в раскрывающемся списке установите флажки около нужных веток ML-модели.
Имена выбранных веток отобразятся в поле.
Ветки, которые относятся к используемой в текущий момент ML-модели, расположены в верхней части списка. В нижней части списка отображаются ветки других неиспользуемых в текущий момент ML-моделей, которые загружены в Kaspersky MLAD. Ветка ML-модели отображается в раскрывающемся списке только после того, как в Kaspersky MLAD появятся данные, полученные в результате ее работы.
На графиках выбранного пресета отобразятся предсказанные значения тегов или значения индикаторных тегов, в зависимости от типа детектора в выбранной ветке ML-модели.
Если требуется скрыть отображение результатов работы выбранных ранее веток ML-модели, снимите флажки около этих веток (одна из веток должна остаться активной для отображения графиков в разделе Мониторинг).
- Если требуется отображать ошибку MSE, которая получена в результате обработки данных определенной веткой ML-модели, выполните следующие действия:
- Нажмите на кнопку настройки
, которая расположена под графиками тегов в левой части страницы. - В появившейся справа панели Параметры отображения графиков MSE в раскрывающемся списке Ветка модели выберите ветку. Вы можете выбрать только одну ветку ML-модели из списка.
- Нажмите на кнопку Закрыть.
- Нажмите на кнопку настройки
На графике ошибки MSE отобразятся значения ошибки MSE для выбранной веткой ML-модели. В нижней части графика отображаются точки-индикаторы инцидентов, зарегистрированных выбранными ветками ML-модели. Если включен режим отображения индикаторов для всех тегов, то отображаются точки-индикаторы инцидентов, зарегистрированных всеми ветками ML-модели.
В начало
Выбор интервала времени в разделе Мониторинг
Kaspersky MLAD позволяет выбирать временной интервал (масштаб) отображения поступающих данных.
Чтобы выбрать временной интервал:
- В основном меню выберите раздел Мониторинг.
- На открывшейся странице в раскрывающемся списке выберите нужный интервал времени. По умолчанию для выбора доступны следующие значения:
- 1, 5, 10, 15 и 30 минут;
- 1, 3, 6 и 12 часов;
- 1, 2, 15 и 30 дней;
- 3 и 6 месяцев;
- 1, 2 и 3 года.
Если требуется, пользователь с правами администратора может создать, изменить или удалить временные интервалы.
На странице отобразятся графики заданного пресета для выбранного интервала времени.
В начало
Настройка параметров отображения графиков в разделе Мониторинг
Kaspersky MLAD позволяет настроить параметры отображения графиков пресетов в разделе Мониторинг.
Чтобы настроить параметры отображения графиков пресетов:
- В основном меню выберите раздел Мониторинг.
- На открывшейся странице нажмите на кнопку настройки , которая расположена в верхней части экрана.
Справа появится панель Параметры отображения графиков.
- В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.
По умолчанию параметр Высота графиков имеет значение 55 px.
- В раскрывающемся списке Для перехода в раздел История использовать выберите пресет, графики которого по умолчанию будут отображаться при переходе в раздел История.
- Если требуется, с помощью переключателя Отображать графики в выбранном цвете включите отображение графиков тегов в определенном цвете и выберите цвет.
- Если требуется, с помощью переключателя Предсказанное значение тега включите отображение на графиках прогнозируемого значения тега и значений индикаторных тегов диагностических правил.
- Если требуется отображать установленные технические пределы для тега на графиках, выполните следующие действия:
- Включите переключатель Технические пределы.
- Если требуется всегда отображать установленные технические пределы, включите переключатель Всегда показывать технические пределы.
Если этот режим выключен, то технические пределы будут отображаться, только если значение тега достигло соответствующего предела в отображаемой на экране области графика.
- Если требуется, с помощью переключателя Персональная ошибка тега включите отображение персональной ошибки тега на графиках.
- Если требуется, с помощью переключателя Имя и описание тега включите отображение имени и описания тега на графиках.
- Если требуется, с помощью переключателя Дополнительные пороговые линии включите отображение дополнительных пороговых линий на графике.
- Если требуется, с помощью переключателя Отображать индикаторы для всех инцидентов включите отображение точек-индикаторов инцидентов, зарегистрированных всеми ветками ML-модели.
Если этот режим выключен, то будут отображаться только точки-индикаторы для инцидентов, которые были зарегистрированы выбранными ветками ML-модели.
- Нажмите на кнопку Закрыть для возвращения к просмотру графиков в разделе Мониторинг.
Установленные параметры отображения графиков пресетов в разделе Мониторинг будут применены.
В начало
Просмотр данных в разделе История
В разделе История доступна история поступивших данных, результат их обработки Kaspersky MLAD с формированием прогнозов и регистрации инцидентов. Вы можете выбрать необходимый пресет в раскрывающемся списке. В список входят пресеты, которые можно создать в разделе Пресеты. Для каждого тега, входящего в выбранный пресет, поступающие значения отображаются в виде графика. Вы можете настроить отображение графиков, выбрать интервал времени для просмотра данных, а также выбрать ветку определенной ML-модели, чтобы просмотреть результаты работы этой ветки: предсказанные детектором Forecaster значения тегов и их ошибки или значения индикаторных тегов для диагностических правил.
В нижней части страницы расположен блок, отображающий суммарную среднеквадратичную ошибку MSE (далее также "ошибка MSE" или "суммарная ошибка"), а также количество зарегистрированных инцидентов (цветные точки-индикаторы). Оранжевая линия отображает порог MSE, при превышении которого Kaspersky MLAD регистрирует инцидент.
В зависимости от выбранного масштаба времени и плотности инцидентов одна точка-индикатор может соответствовать одному или нескольким близко расположенным инцидентам, зарегистрированным одним или несколькими разными детекторами. Цвет точек-индикаторов соответствует цвету ветки ML-модели, с помощью которой был зарегистрирован инцидент. Для точек-индикаторов, которые соответствуют группе инцидентов, зарегистрированных разными ветками, а также для инцидентов, зарегистрированных детектором Limit Detector зарезервированы специальные цвета.
Для инцидентов, зарегистрированных детектором Rule Detector, значение ошибки MSE будет отсутствовать, так как регистрация инцидента происходит при достижении значения индикаторного тега равного единице. При анализе таких инцидентов требуется обращать внимание на маркер срабатывания правила (цветная точка-индикатор) ниже графика ошибки MSE для выбранной ветки ML-модели.
Раздел История
Просмотр исторических данных для определенного пресета
Kaspersky MLAD позволяет выбирать пользовательские пресеты, для которых отображаются исторические данные. Вы также можете просмотреть информацию о динамическом пресете Tags for event #N, если вы перешли в раздел История из раздела Инциденты нажатием на значение даты регистрации инцидента. Динамический пресет Tags for event #N содержит теги, оказавшие наибольшее влияние на формирование зарегистрированного инцидента.
Чтобы просмотреть исторические данные для определенного пресета:
- В основном меню выберите раздел История.
- На открывшейся странице в раскрывающемся списке выберите необходимый пресет.
На странице отобразятся графики для тегов, которые входят в выбранный пресет.
Вы можете просматривать всю историю данных, используя навигацию по времени. Если необходимо, вы можете изменить дату и интервал времени. Также вы можете изменить состав тегов в пресете, создать новый пресет или выбрать определенную ветку ML-модели.
В начало
Выбор определенной ветки ML-модели в разделе История
В разделе История доступна история поступивших данных, результат их обработки Kaspersky MLAD с формированием прогнозов и регистрацией инцидентов.
Если для объекта мониторинга используется ML-модель, которая имеет несколько элементов для обработки данных, Kaspersky MLAD позволяет выбрать определенную ветку ML-модели для отображения результатов работы соответствующего элемента модели:
- Для ветки ML-модели, в основе которой лежит детектор Forecaster, результаты работы отображаются в виде предсказанных значений для отдельных тегов, индивидуальных ошибок предсказания отдельных тегов, а также общей ошибки MSE и точек-индикаторов инцидентов, зарегистрированных детектором.
- Для ветки ML-модели, в основе которой лежит детектор Rule Detector, результаты работы представлены в виде индикаторных тегов и точек-индикаторов инцидентов.
- Для детектора Limit Detector ветка ML-модели не создается. Точки-индикаторы инцидентов, зарегистрированных с помощью этого детектора, отображаются, если включено использование детектора Limit Detector и включен режим отображения индикаторов для всех тегов.
Для отображения предсказанных значений тега на графиках в разделе История, а также для вывода значений индикаторных тегов для диагностических правил требуется настроить отображение графиков.
Чтобы просмотреть результаты работы определенной ветки ML-модели:
- В основном меню выберите раздел История.
- На открывшейся странице в раскрывающемся списке установите флажки около нужных веток ML-модели.
Имена выбранных веток отобразятся в поле.
Ветки, которые относятся к используемой в текущий момент ML-модели, расположены в верхней части списка. В нижней части списка отображаются ветки других неиспользуемых в текущий момент ML-моделей, которые загружены в Kaspersky MLAD. Ветка ML-модели отображается в раскрывающемся списке только после того, как в Kaspersky MLAD появятся данные, полученные в результате ее работы.
На графиках выбранного пресета отобразятся предсказанные значения тегов или значения индикаторных тегов, в зависимости от типа детектора в выбранной ветке ML-модели.
Если требуется скрыть отображение результатов работы выбранных ранее веток ML-модели, снимите флажки около этих веток (одна из веток должна остаться активной для отображения графиков в разделе История).
- Если требуется отображать ошибку MSE, которая получена в результате обработки данных определенной веткой ML-модели, выполните следующие действия:
- Нажмите на кнопку настройки , которая расположена под графиками тегов в левой части страницы.
- В появившейся справа панели Параметры отображения графиков MSE в раскрывающемся списке Ветка модели выберите ветку. Вы можете выбрать только одну ветку ML-модели из списка.
- Нажмите на кнопку Закрыть.
- Нажмите на кнопку настройки
На графике ошибки MSE отобразятся значения ошибки MSE для выбранной ветки ML-модели.
В нижней части графика отображаются точки-индикаторы инцидентов, зарегистрированных выбранными ветками ML-модели. Если включен режим отображения индикаторов для всех тегов, то отображаются точки-индикаторы инцидентов, зарегистрированных всеми ветками ML-модели.
В начало
Выбор даты и интервала времени в разделе История
Kaspersky MLAD позволяет выбирать дату, а также фиксированный интервал времени (масштаб) отображения исторических данных или произвольный интервал времени, например, когда был зафиксирован инцидент.
Чтобы выбрать дату для отображения исторических данных:
- В основном меню выберите раздел История.
- Нажмите на значок календаря () и в открывшемся окне выберите дату и время, на которое требуется отображать исторические данные на графиках.
- Нажмите на кнопку Применить.
На графиках вертикальная синяя линия будет указывать на выбранную дату и время (центр графика).
- Если требуется выбрать новые дату и время (точку) на графике, нажмите на значок местоположения (
), который расположен слева от оси времени, и выберите на оси времени нужную точку.Выбранная точка станет новым центром графика. Вертикальная синяя пунктирная линия будет указывать на новые дату и время.
Чтобы выбрать интервал времени для отображения исторических данных:
- В основном меню выберите раздел История.
- На открывшейся странице выполните одно из следующих действий:
- Если требуется отображать данные за фиксированный интервал времени, в раскрывающемся списке выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
- 1, 5, 10, 15 и 30 минут;
- 1, 3, 6 и 12 часов;
- 1, 2, 15 и 30 дней;
- 3 и 6 месяцев;
- 1, 2 и 3 года.
При необходимости пользователь с правами администратора может создать, изменить или удалить временные интервалы.
- Если требуется отображать данные за произвольный интервал времени, нажмите на значок выбора интервала (
), который расположен слева от оси времени, выберите на оси времени нужный интервал и нажмите на 
. Если требуется еще раз изменить масштаб, повторите это действие.
- Если требуется отображать данные за фиксированный интервал времени, в раскрывающемся списке выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
На графиках заданного пресета отобразятся значения тегов за выбранный интервал времени.
В начало
Навигация по времени в разделе История
Kaspersky MLAD предоставляет возможность навигации по времени для удобного просмотра исторических данных.
Чтобы использовать навигацию по времени при просмотре данных:
- В основном меню выберите раздел История.
- На открывшейся странице выберите интервал времени, за который требуется просмотреть данные.
- С помощью значков стрелки влево (
) и стрелки вправо (
), расположенных в верхней части страницы, перемещайтесь по оси времени влево или вправо.
Сдвиг по оси времени на графике просмотра исторических данных будет происходить на выбранный интервал времени.
Навигация по времени
На графиках вертикальная синяя пунктирная линия указывает на середину выбранного временного интервала и совпадает с выбранными датой и временем. Если выбран интервал 1 день, то на графике отображаются исторические данные за 12 часов до и после выбранных даты и времени относительно пунктирной линии. Если требуется, вы можете изменить временной интервал.
В начало
Настройка параметров отображения графиков в разделе История
Kaspersky MLAD позволяет настроить параметры отображения графиков пресетов в разделе История.
Чтобы настроить параметры отображения графиков пресетов:
- В основном меню выберите раздел История.
- На открывшейся странице нажмите на кнопку настройки , которая расположена в верхней части экрана.
Справа появится панель Параметры отображения графиков.
- В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.
По умолчанию параметр Высота графиков имеет значение 55 px.
- Если требуется, с помощью переключателя Отображать графики в выбранном цвете включите отображение графиков тегов в определенном цвете и выберите цвет.
- Если требуется, с помощью переключателя Предсказанное значение тега включите отображение на графиках прогнозируемого значения тега и значений индикаторных тегов диагностических правил.
- Если требуется отображать установленные технические пределы для тега на графиках, выполните следующие действия:
- Включите переключатель Технические пределы.
- Если требуется всегда отображать установленные технические пределы, включите переключатель Всегда показывать технические пределы.
Если этот режим выключен, то технические пределы будут отображаться, только если значение тега достигло соответствующего предела в отображаемой на экране области графика.
- Если требуется, с помощью переключателя Персональная ошибка тега включите отображение персональной ошибки тега на графиках.
- Если требуется, с помощью переключателя Имя и описание тега включите отображение имени и описания тега на графиках.
- Если требуется, с помощью переключателя Дополнительные пороговые линии включите отображение дополнительных пороговых линий на графике.
- Если требуется, с помощью переключателя Отображать индикаторы для всех инцидентов включите отображение точек-индикаторов инцидентов, зарегистрированных всеми ветками ML-модели.
Если этот режим выключен, то будут отображаться только точки-индикаторы для инцидентов, которые были зарегистрированы выбранными ветками ML-модели.
- Нажмите на кнопку Закрыть для возвращения к просмотру графиков в разделе История.
Установленные параметры отображения графиков пресетов в разделе История будут применены.
В начало
Просмотр данных в разделе Временной срез
В разделе Временной срез вы можете просматривать значения технологических параметров, полученные от датчиков объекта мониторинга в один и тот же момент времени. Датчики должны быть однотипными (иметь одинаковую размерность) и расположены в пространстве линейно, например, датчики давления в трубе нефтепровода.
Данные представлены в виде графиков, которые позволяют увидеть, был ли зафиксирован инцидент в выбранный момент времени и где находится вероятный источник инцидента.
В нижней части страницы расположен блок, отображающий индивидуальные ошибки тегов. Данные представлены в виде столбчатой диаграммы. Величина ошибки для каждого тега отображается при наведении курсора мыши на столбец. Справа от графиков тегов пресета расположен график ошибки MSE.
В разделе Временной срез в раскрывающемся списке вы можете выбрать пресет, дату и время получения данных. В список входят специальные пресеты, которые можно создать в разделе Пресеты. В специальном пресете должны присутствовать только однотипные теги, у которых указаны координаты по оси абсцисс. Вы можете дополнительно указать динамически вычисляемые для каждого тега выражения, основанные на реальных и предсказываемых значениях тегов, индивидуальных ошибках предсказания, а также значениях координат тегов и задаваемых в выражениях константах.
Также вы можете настроить отображение графиков, выбрать интервал времени для просмотра данных, а также выбрать определенный элемент ML-модели, чтобы просмотреть персональные ошибки тегов пресета, полученные в результате обработки данных выбранным элементом ML-модели.
Раздел Временной срез
Просмотр данных для определенного пресета в разделе Временной срез
Чтобы просмотреть данные для определенного пресета:
- В основном меню выберите раздел Временной срез.
- На открывшейся странице в раскрывающемся списке выберите необходимый пресет.
На странице отобразятся графики для тегов, которые входят в выбранный пресет.
Если требуется, вы можете изменить временной интервал отображения данных, настроить отображение графика или выбрать ветку ML-модели. Также вы можете изменить состав отображаемых тегов, изменив пресет.
В начало
Выбор определенной ветки ML-модели в разделе Временной срез
Если для объекта мониторинга используется ML-модель, которая имеет несколько веток для обработки и предсказания данных, Kaspersky MLAD позволяет выбрать определенную ветку ML-модели для отображения в разделе Временной срез персональных ошибок тегов, полученных в результате работы этой ветки.
Чтобы просмотреть персональные ошибки тега, полученные в результате обработки данных определенной веткой ML-модели:
- В основном меню выберите раздел Временной срез.
- На открывшейся странице в раскрывающемся списке Ветка модели выберите нужную ветку ML-модели.
Имя выбранной ветки отобразится в поле.
На графиках тегов выбранного пресета отобразятся персональные ошибки тегов, полученные в результате обработки данных выбранной веткой ML-модели.
В начало
Выбор даты и интервала времени в разделе Временной срез
Kaspersky MLAD позволяет выбрать дату и временной интервал (масштаб) отображения поступающих данных.
Чтобы выбрать дату для отображения поступающих данных:
- В основном меню выберите раздел Временной срез.
- Нажмите на значок календаря () и в открывшемся окне выберите дату и время, для которых требуется отображать данные на графиках.
- Нажмите на кнопку Применить.
На графиках отобразятся значения тегов для выбранных даты и времени.
Чтобы выбрать интервал времени для отображения поступающих данных:
- В основном меню выберите раздел Временной срез.
- На открывшейся странице в раскрывающемся списке в верхней части страницы выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
- 1, 5, 10, 15 и 30 минут;
- 1, 3, 6 и 12 часов;
- 1, 2, 15 и 30 дней;
- 3 и 6 месяцев;
- 1, 2 и 3 года.
Если требуется, пользователь с правами администратора может создать, изменить или удалить временные интервалы.
На странице отобразятся графики заданного пресета для выбранного интервала времени.
В начало
Навигация по времени в разделе Временной срез
Kaspersky MLAD предоставляет возможность навигации по времени для удобного просмотра данных.
Чтобы использовать навигацию по времени при просмотре данных:
- В основном меню выберите раздел Временной срез.
- На открывшейся странице выберите интервал времени, за который требуется просмотреть данные.
- С помощью значков стрелки влево () и стрелки вправо (), расположенных в верхней части страницы, перемещайтесь по оси времени влево или вправо.
Сдвиг по оси времени на графике просмотра данных будет происходить на выбранный интервал времени.
Навигация по времени
В начало
Настройка параметров отображения графиков в разделе Временной срез
Kaspersky MLAD позволяет настроить параметры отображения графиков пресетов в разделе Временной срез.
Чтобы настроить параметры отображения графиков пресетов:
- В основном меню выберите раздел Временной срез.
- На открывшейся странице нажмите на кнопку настройки , которая расположена в верхней части экрана.
Справа появится панель Параметры отображения графиков.
- В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.
По умолчанию параметр Высота графиков имеет значение 55 px.
- Нажмите на кнопку Закрыть для возвращения к просмотру графиков.
Установленные параметры отображения графиков будут применены.
В начало
Работа с событиями и паттернами
В разделе Процессор событий представлены данные о событиях, а также структуре паттернов, выявленных с помощью службы Event Processor в потоке событий, которые поступают от внешних источников и от службы Anomaly Detector.
В разделе Процессор событий вы можете просматривать историю полученных событий и историю регистрации новых и/или устойчиво повторяющихся паттернов. Вы также можете настраивать отображение параметров событий и параметры регистрации паттернов. На вкладке Мониторинг вы можете осуществлять мониторинг определенных событий, паттернов или значений параметров событий, поступающих в процессор событий в потоке данных от объектов мониторинга.
В случае перезапуска Kaspersky MLAD восстанавливает состояние службы Event Processor и приостанавливает обработку данных, поступающих от CEF-коннектора. Эти данные временно сохраняются во внутренней очереди брокера сообщений программы. До восстановления службы Event Processor в разделе Процессор событий будет отображаться уведомление о том, что служба Event Processor остановлена. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления службы может занимать несколько минут.
Раздел Процессор событий
Работа с мониторами
В разделе Процессор событий на вкладке Мониторинг вы можете создавать мониторы для отслеживания определенных событий, паттернов или значений параметров событий.
На вкладке Мониторинг отображаются все созданные в программе мониторы со следующей краткой информацией:
- Название монитора.
- Порог монитора.
- Скользящее окно, за время которого ведется учет количества активаций монитора.
- Количество активаций монитора на скользящем окне.
При необходимости вы можете просмотреть подробную информацию о каждом мониторе, нажав в таблице на кнопку Информация, которая расположена рядом с названием необходимого монитора.
На вкладке Гистограмма вы также можете посмотреть краткую статистику количества зарегистрированных активаций по каждому созданному монитору.
Создание монитора
Чтобы создать монитор:
- В основном меню выберите раздел Процессор событий.
- На открывшейся странице выберите вкладку Мониторинг.
- Нажмите на кнопку Создать монитор.
Справа появится панель Создание монитора.
- В поле Название укажите имя монитора.
- В поле Скользящее окно (сек.) укажите интервал в секундах от текущего момента времени назад по временной последовательности, за который монитор будет обрабатывать поступившие значения параметров, события или паттерны.
- В поле Порог укажите количество активаций монитора на скользящем окне, после достижения которого монитор отправит оповещение во внешнюю систему.
- В поле Размер стека укажите количество активаций монитора, которое требуется отображать при просмотре информации о мониторе.
- В раскрывающемся списке Тип подписки выберите одно из следующих значений:
- Если требуется обрабатывать данные по значениям параметров событий, выберите Значения параметров.
- Если требуется обрабатывать данные по событиям, выберите События.
- Если требуется обрабатывать данные по обнаруженным паттернам, выберите Паттерны.
- Если требуется отслеживать новые события, паттерны или значения параметров событий, в блоке Фильтры включите переключатель Только новые.
- Для фокусировки внимания модели на определенные направления развития событий, выполните одно из следующий действий:
- Если вы выбрали События в раскрывающемся списке Тип подписки, выберите Внимание для нужного параметра события. Если требуется отслеживать события без указания направления внимания, снимите флажок Внимание.
- Если вы выбрали Паттерны в раскрывающемся списке Тип подписки, установите флажок Внимание для нужного параметра события.
Вы можете выбрать только одно направление внимания.
- Для каждого параметра события, выполните одно из следующих действий:
- Если требуется обрабатывать данные по всем значениям параметра события, в раскрывающемся списке выберите Все значения параметра.
Этот пункт отображается, если вы указали направление внимания для текущего параметра события.
- Если требуется обрабатывать данные только по новым значениям параметра события, в раскрывающемся списке выберите Новые значения параметра.
Этот пункт отображается только при включенной функции Только новые для обработки данных по событиям.
- Если требуется обрабатывать данные по конкретному значению параметра события, в раскрывающемся списке выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.
Если значение параметра отсутствует в списке, введите нужное значение и выберите Создать значение: <значение параметра события>.
- Если требуется обрабатывать данные по шаблону значения параметра событий, включите переключатель Регулярное выражение для нужного параметра события, в раскрывающемся списке введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.
Для поиска паттернов с помощью регулярных выражений используйте специальные символы регулярных выражений.
- Если требуется обрабатывать данные по всем значениям параметра события, в раскрывающемся списке выберите Все значения параметра.
- Нажмите на кнопку Создать.
Новый монитор будет создан и отобразится на вкладке Мониторинг.
В начало
Удаление монитора
Чтобы удалить монитор:
- В основном меню выберите раздел Процессор событий.
- На открывшейся странице выберите вкладку Мониторинг.
- Нажмите на кнопку Удалить в ячейке того монитора, информацию о котором вы хотите удалить, и подтвердите свои действия.
Монитор будет удален.
В начало
Просмотр истории событий
Kaspersky MLAD позволяет просматривать события, которые поступили от внешних источников событий. Для просмотра событий требуется загрузить их в разделе Процессор событий → История событий.
Kaspersky MLAD отображает поступившие события в виде графа отношений параметров событий. Вершины графа соответствуют значениям параметров событий, а дуги между вершинами графа соответствуют связям между значениями параметров поступивших событий. Вы можете навести курсор мыши на граф события и просмотреть информацию о параметрах событий и их значениях. Вы также можете навести курсор мыши на дугу графа события и просмотреть информацию о количестве связей между значениями параметров событий.
Вы также можете просмотреть информацию о выявленных событиях в виде таблицы.
Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Список параметров событий определяется в конфигурационном файле для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор) на этапе настройки службы Event Processor.
Чтобы загрузить данные для просмотра поступивших событий:
- В основном меню выберите раздел Процессор событий.
- На открывшейся странице выберите вкладку История событий.
- В блоке Фильтры выберите даты и время начала и окончания периода, за который вы хотите загрузить и просмотреть события, нажав на значок календаря (). Для настройки параметров событий выполните одно из следующих действий:
- Если вы хотите загрузить события по конкретным значениям параметров событий, в раскрывающихся списках выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списках.
- Если вы хотите загрузить события по шаблону значений, включите переключатель Регулярное выражение для нужных параметров события, в раскрывающихся списках введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.
Для поиска с помощью регулярных выражений используйте специальные символы регулярных выражений.
Для каждого объекта мониторинга количество и наименование параметров событий индивидуально.
- Нажмите на кнопку Выполнить запрос.
В центральной части страницы в виде графа отобразятся данные о найденных программой событиях.
- Если требуется просмотреть полученные события в виде таблицы, выберите вкладку Таблица.
В центральной части страницы отобразится таблица, которая содержит информацию о выявленных событиях.
Просмотр истории паттернов
На странице История паттернов вы можете найти и просмотреть структуру устойчиво повторяющихся и/или новых паттернов. Процессор событий формирует паттерны только по определенным направлениям, которые задаются в конфигурации внимания пользователем с правами администратора.
Вы также можете просмотреть структуру выявленных паттернов до уровня событий. Процессор событий представляет паттерны, события и значения параметров событий как послойную иерархию вложенных элементов. Например, паттерн четвертого слоя состоит из вложенных паттернов третьего слоя, в свою очередь паттерн третьего слоя состоит из паттернов второго слоя, а паттерн второго слоя состоит из событий – элементов первого слоя. Значения параметров события являются элементами нулевого терминального слоя.
Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Список параметров событий определяется в файле конфигурации для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор на этапе настройки службы Event Processor.
Чтобы просмотреть зарегистрированные паттерны:
- В основном меню выберите раздел Процессор событий.
- На открывшейся странице выберите вкладку История паттернов.
- В блоке Фильтры настройте следующие параметры отображения паттернов на странице:
- В поле Начало периода нажмите на значок календаря () и в открывшемся окне выберите дату и время начала периода, за который вы хотите просматривать паттерны.
- В поле Конец периода нажмите на значок календаря () и в открывшемся окне выберите дату и время окончания периода, за который вы хотите просматривать паттерны.
- В раскрывающемся списке Тип паттернов выберите одно из следующих значений:
- Стабильные – паттерны, которые были зарегистрированы службой Event Processor два и более раза.
- Новые – новые паттерны, зарегистрированные службой Event Processor впервые.
- Все – все паттерны, зарегистрированные службой Event Processor.
- Для просмотра паттернов по определенному направлению внимания, выберите Внимание для нужного параметра события.
Требуется выбрать одно из направлений внимания, заданных при настройке конфигурации внимания.
- Для настройки параметров событий выполните одно из следующих действий:
- Если вы хотите просматривать паттерны по конкретным значениям параметров событий, в раскрывающихся списках выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списках.
- Если вы хотите просматривать паттерны по шаблону значений, включите переключатель Регулярное выражение для нужных параметров события, в раскрывающихся списках введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.
Для поиска с помощью регулярных выражений используйте специальные символы регулярных выражений.
Для корректного выполнения запроса требуется ввести значения для параметра события, на котором сфокусировано внимание модели. Если в параметре события, на котором сфокусировано внимание, задано несколько значений параметра события, процессор событий сформирует паттерны для каждого значения параметра.
- В поле Начало периода нажмите на значок календаря (
- Нажмите на кнопку Выполнить запрос.
В центральной части страницы отобразится таблица, которая содержит данные о зарегистрированных паттернах.
- Если требуется перейти к просмотру структуры паттерна, нажмите на нужную строку паттерна.
Откроется страница с подробной информацией о паттерне.
- Для просмотра структуры паттерна выполните одно из следующих действий:
- Если требуется посмотреть структуру определенного вложенного паттерна, на вкладке Паттерны блока Вложенные элементы нажмите на нужную строку паттерна.
Вы можете вернуться к просмотру структуры паттерна верхнего уровня вложенности, нажав на идентификатор нужного паттерна над блоком Информация о паттерне.
- Если требуется просмотреть таблицу вложенных паттернов на определенном уровне вложенности, на вкладке Паттерны блока Вложенные элементы выберите нужный слой.
- Если требуется просмотреть события, составляющие паттерн на текущем уровне вложенности, нажмите на вкладку События.
Kaspersky MLAD отображает структуру паттерна с верхнего уровня вложенности.
- Если требуется посмотреть структуру определенного вложенного паттерна, на вкладке Паттерны блока Вложенные элементы нажмите на нужную строку паттерна.
Работа с инцидентами и группами инцидентов
В Kaspersky MLAD в составе ML-модели одновременно могут использоваться несколько типов детекторов, которые анализируют поступающие данные телеметрии и обнаруживают инциденты независимо друг от друга. Веб-интерфейс Kaspersky MLAD предоставляет возможность исследования обнаруженных инцидентов. В зависимости от типа детектора, зарегистрировавшего инцидент, информация об инциденте и методы его исследования могут отличаться.
Для любого инцидента вы можете выполнить следующие действия:
- Изучить детали инцидента.
- Выяснить, были ли ранее обнаружены похожие инциденты.
- Исследовать поведение объекта мониторинга в момент обнаружения инцидента.
- Оставить замечание или экспертное заключение к зарегистрированному инциденту или к группе инцидентов.
В разделе Инциденты в виде столбчатой диаграммы отображаются инциденты, которые соответствуют критериям фильтрации, установленным под диаграммой. Диаграмма отображает статистику по зарегистрированным инцидентам за период, установленный над диаграммой.
Диаграмма может отображать не более 60 столбцов. Если длительность заданного периода не превышает 60 дней, то инциденты на диаграмме сгруппированы по дням. Если длительность заданного периода составляет от 60 дней до 60 недель, то инциденты на диаграмме сгруппированы по неделям. В случае, когда длительность заданного периода составляет больше 60 недель, инциденты на диаграмме сгруппированы по месяцам.
При наведении курсора мыши на столбец диаграммы отображается окно с указанием количества зарегистрированных инцидентов за единицу времени, соответствующую группировке инцидентов на диаграмме. При нажатии на столбец на диаграмме и в таблице ниже отображается информация об инцидентах, зарегистрированных в период, соответствующий интервалу времени выбранного столбца.
В этом разделе вы можете просматривать как отдельные инциденты, так и группы инцидентов.
Вкладка Инциденты
На вкладке Инциденты представлена таблица зарегистрированных инцидентов. Инциденты отсортированы в порядке убывания даты: первыми показаны самые новые инциденты.
Вкладка Инциденты
Вы можете перейти в раздел История, нажав на дату и время инцидента.
Вкладка Группы
На вкладке Группы представлена таблица групп инцидентов. Kaspersky MLAD автоматически формирует группы похожих инцидентов.
Вы можете изменить имя группы, присвоенное автоматически, и установить статус инцидентов, которые входят в эту группу. Также вы можете указать экспертное заключение, содержащее, например, рекомендуемые действия при возникновении новых инцидентов в этой группе.
Вкладка Группы
Сценарий: Анализ инцидентов
В этом разделе приводится последовательность действий, которые требуется выполнить при анализе зарегистрированных Kaspersky MLAD инцидентов.
Описанный в этом разделе сценарий анализа инцидентов не является четко регламентированным процессом. Состав и порядок действий, предпринимаемых для исследования инцидента и выявления причины его возникновения, зависят от предметной области, уровня знаний технолога или специалиста АСУ ТП, исследующего инцидент, а также наличия дополнительной информации об объекте мониторинга.
Сценарий анализа инцидентов состоит из следующих этапов:
- Просмотр информации о зарегистрированном инциденте
В разделе Инциденты отображаются все зарегистрированные Kaspersky MLAD инциденты, а также подробная информация о времени их регистрации, детекторе, который зарегистрировал инцидент, и экспертное заключение, если оно было добавлено. Вы можете перейти к просмотру информации об инцидентах одним из следующих способов:
- Просмотр последних инцидентов в разделе Информационная панель
Если вы хотите просмотреть недавно обнаруженный инцидент, в разделе Информационная панель нажмите на дату и время интересующего вас инцидента в таблице Последние инциденты. В открывшемся разделе История в нижней части страницы нажмите на точку-индикатор в блоке ошибки MSE для просмотра определенного инцидента. Откроется раздел Инциденты, в котором отобразятся только те инциденты, которые были зарегистрированы в период, представленный выбранной точкой-индикатором (период указан над таблицей инцидентов).
- Просмотр инцидентов в разделе Инциденты
Если вам известны дата и время регистрации инцидента, выберите соответствующий инцидент в разделе Инциденты. Вы можете изменить интервал времени, в котором отображаются инциденты, используя столбчатую диаграмму или поле выбора даты в верхней части страницы.
- Переход из уведомления об инциденте, поступившего по электронной почте
Если для вас было создано уведомление об инцидентах, при регистрации инцидента вы получите уведомление по электронной почте. Сообщение электронной почты содержит время начала инцидента, наиболее аномальный тег и ссылку для перехода в раздел История в веб-интерфейсе Kaspersky MLAD. Вы можете перейти по этой ссылке в раздел История в момент начала инцидента. В нижней части страницы раздела История нажмите на точку-индикатор в блоке ошибки MSE в соответствии с временем начала инцидента. Откроется раздел Инциденты, в котором отобразятся только те инциденты, которые были зарегистрированы в период, представленный выбранной точкой-индикатором (период указан над таблицей инцидентов).
Когда вы нашли запись об интересующем инциденте, нажмите на значок стрелки вправо (
) для просмотра подробной информации об инциденте. - Просмотр последних инцидентов в разделе Информационная панель
- Просмотр информации о похожих инцидентах
При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа. Если в этом столбце для выбранного инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие.
Для просмотра всех инцидентов группы выберите вкладку Группы и нажмите на значок стрелки вправо (
) рядом с нужной группой. В таблице отобразится информация об инцидентах, отнесенных к выбранной группе, а также экспертное заключение, если оно было добавлено. Ознакомьтесь с экспертными заключениями для отдельных инцидентов и для группы. - Исследование поведения объекта мониторинга в момент обнаружения инцидента
Исследуйте поведение объекта мониторинга в момент обнаружения инцидента.
- Анализ инцидента
Проведите анализ инцидента, учитывая особенности регистрации инцидента в зависимости от типа детектора, который его зарегистрировал:
- Forecaster. Основываясь на информации, полученной при просмотре автоматически сформированного пресета Tags for event #N, а также используя экспертное знание об объекте мониторинга, сформулируйте гипотезу о том, какие теги могли вызвать возникновение инцидента, и изучите их поведение, выбрав соответствующий пресет. Проанализируйте график ошибки MSE, переместитесь назад по времени от момента достижения порога MSE и изучите поведение тегов в момент начала роста значений ошибки MSE.
- Rule Detector. Для каждого инцидента, зарегистрированного детектором Rule Detector автоматически формируется пресет Tags for event #N, в составе которого присутствует индикаторный тег, вызвавший регистрацию инцидента.
- Limit Detector. Для каждого инцидента, зарегистрированного детектором Limit Detector автоматически формируется пресет Tags for event #N, в состав которого включается единственный тег-причина возникновения инцидента.
- Stream Processor. Служба Stream Processor регистрирует инциденты до передачи данных телеметрии на обработку в ML-модель. Инциденты регистрируются в случае обнаружения потери данных или наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно.
- Добавление статуса, причины, экспертного заключения и замечания к инциденту или его группе
Для каждого инцидента добавьте экспертное заключение или замечание, в которых вы можете указать, является ли инцидент аномалией. Экспертное заключение и замечание для инцидента отображаются только при просмотре определенного инцидента. Если требуется, вы можете указать статус и причину инцидента. Причина инцидента отображается в таблице инцидентов и при просмотре определенного инцидента. Вы также можете добавить или изменить статус и экспертное заключение для группы инцидентов.
Просмотр инцидентов
Чтобы просмотреть инциденты, зарегистрированные на конкретную дату:
- В основном меню выберите раздел Инциденты.
- В верхней части открывшейся страницы на столбчатой диаграмме нажмите на столбец диаграммы для нужной даты.
- Если требуется, отфильтруйте инциденты по детектору, топ-тегу, статусу, группе или причине инцидентов, выбрав нужные значения в соответствующем раскрывающемся списке.
В таблице, расположенной в центральной области страницы, будут показаны инциденты, зарегистрированные в этот день в соответствии с заданными критериями фильтрации. При нажатии на кнопку Сбросить в таблице и на столбчатой диаграмме будут показаны все зарегистрированные инциденты.
Для каждого инцидента, представленного в таблице, отображается следующая информация:
- ID – идентификатор зарегистрированного инцидента.
- Дата и время – дата и время регистрации инцидента.
Нажав на значение даты регистрации инцидента, вы перейдете в раздел История, где вы можете посмотреть информацию о пресете Tags for event #N, сформированного для зарегистрированного инцидента.
- Имя топ-тега – название параметра технологического процесса, для которого зафиксировано наибольшее отклонение от прогноза на момент регистрации инцидента.
- Причина инцидента – причина зарегистрированного инцидента, добавленная экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидента.
- Детектор – название детектора, который определил аномалию и зарегистрировал инцидент: Forecaster, Limit Detector, XGBoost, Rule Detector, Stream Processor.
- Группа – название группы инцидентов, в которую входит зарегистрированный инцидент.
Если обнаружены два или более похожих инцидента, то они объединяются в группу, которая создается автоматически с помощью компонента Similar Anomaly. Вы можете просмотреть только те инциденты, которые входят в группу, выбрав название группы в раскрывающемся списке.
- Статус – статус зарегистрированного инцидента, указанный экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидента.
Вы можете установить статус инцидента по результатам анализа инцидента, выбрав нужное значение в раскрывающемся списке. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Если требуется, пользователь с правами администратора может создать, изменить или удалить статусы инцидентов.
Просмотр технических характеристик зарегистрированного инцидента
В разделе Инциденты вы можете просмотреть технические характеристики зарегистрированных инцидентов. Для этого нажмите на значок стрелки вправо () около нужного инцидента в таблице инцидентов. Для выбранного инцидента отобразятся следующие технические характеристики:
- Инцидент – блок, содержащий информацию об инциденте.
- Топ-тег – блок, содержащий информацию о теге, для которого зарегистрирован инцидент.
- Параметры инцидента службы Stream Processor – блок, содержащий информацию о параметрах инцидента, зарегистрированного службой Stream Processor. Этот блок параметров отображается, только если текущий инцидент был зарегистрирован службой Stream Processor.
- Причина инцидента – поле для выбора причины инцидента. Это поле заполняет эксперт (технолог или специалист АСУ ТП). Если требуется, пользователь с правами администратора может создать, изменить или удалить причины инцидентов.
- Экспертное заключение – поле для ввода экспертного заключения по анализу зарегистрированного инцидента. Это поле заполняет эксперт (технолог или специалист АСУ ТП).
- Замечание – поле для ввода комментария для выбранного инцидента. Если требуется, вы можете указать комментарий для инцидента.
Просмотр групп инцидентов
При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу (с помощью компонента Similar Anomaly). Это позволяет анализировать инциденты с учетом предыстории, а также использовать экспертные заключения, сделанные для аналогичных инцидентов. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа. Если в этом столбце для инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие. Инциденты могут быть перегруппированы, и при этом экспертные заключения, добавленные к этим инцидентам, мигрируют в новую группу. Имя группы присваивается автоматически – Group #N (N – порядковый номер группы). При необходимости вы можете изменить имя группы.
Чтобы просмотреть группы инцидентов,
в основном меню выберите раздел Инциденты и нажмите на Группы.
В таблице, расположенной в центральной части страницы, будут показаны все группы инцидентов для вашего объекта мониторинга.
Для каждой группы инцидентов в таблице, отображается следующая информация:
- ID – идентификатор группы инцидентов.
- Имя группы – название группы инцидентов.
- Экспертное заключение – заключение по анализу группы зарегистрированных инцидентов, добавленное экспертом (технологом или специалистом АСУ ТП).
- Количество инцидентов – количество зарегистрированных инцидентов, которые входят в группу.
Вы можете перейти к просмотру инцидентов группы, нажав на Количество инцидентов.
- Дата и время – дата и время создания группы инцидентов.
- Статус – статус зарегистрированных инцидентов в группе, указанный экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидентов.
Вы можете установить статус группы инцидентов по результатам их анализа, выбрав нужное значение в раскрывающемся списке. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Если требуется, пользователь с правами администратора может создать, изменить или удалить статусы инцидентов.
Чтобы просмотреть подробную информацию о группе инцидентов:
- Нажмите на значок стрелки вправо () около группы инцидентов.
Отобразится список инцидентов, входящих в эту группу. Для каждого инцидента группы отображаются следующие технические характеристики:
- Дата инцидента – дата и время регистрации инцидента.
Вы можете перейти в раздел История, нажав на значение даты регистрации инцидента.
- Имя топ-тега – название параметра технологического процесса, который оказал наибольшее влияние при возникновении инцидента.
- Значение топ-тега – зарегистрированное значение тега, оказавшего наибольшее влияние при возникновении инцидента.
- Релевантные теги – таблица, которая содержит идентификаторы тегов, оказавших влияние на определение похожих инцидентов и объединение таких инцидентов в группу.
- Дата инцидента – дата и время регистрации инцидента.
- Если требуется просмотреть степень влияния тега на формирование похожих инцидентов, нажмите на ячейку таблицы Релевантные теги, в которой содержится идентификатор нужного тега.
Все ячейки таблицы, содержащие выбранный идентификатор тега, будут выделены зеленым цветом. Чем ближе к первому столбцу таблицы находятся выделенные зеленым цветом ячейки, содержащие идентификатор выбранного тега, тем большее влияние этот тег оказал на определение похожих инцидентов и объединение их в группу.
Также вы можете добавить статус и экспертное заключение для группы инцидентов.
В начало
Исследование поведения объекта мониторинга в момент обнаружения инцидента
В этом разделе приводится последовательность действий, которые требуется выполнить для исследования поведения объекта мониторинга в момент обнаружения инцидента.
Исследование поведения объекта мониторинга состоит из следующих этапов:
- Просмотр истории полученных тегов для объекта мониторинга в разделе История
Вы можете перейти к просмотру информации об инциденте одним из следующих способов:
- Если вы хотите просмотреть недавно обнаруженный инцидент, в разделе Информационная панель нажмите на дату и время интересующего вас инцидента в таблице Последние инциденты.
- В разделе Инциденты нажмите на дату и время интересующего вас инцидента в таблице инцидентов.
- Если для вас было создано уведомление об инцидентах, вы можете перейти к инциденту по ссылке из уведомления электронной почты. Сообщение электронной почты содержит время начала инцидента, наиболее аномальный тег и ссылку для перехода в раздел История в веб-интерфейсе Kaspersky MLAD.
В разделе История Kaspersky MLAD отображает график тегов, полученных от объекта мониторинга, для которого зарегистрирован выбранный инцидент. На графике отображаются данные по пресету Tags for event #N (где N – идентификатор инцидента в разделе Инциденты), сформированному по дате и времени регистрации выбранного инцидента. В этот пресет входят теги, которые привели к регистрации инцидента. В зависимости от типа детектора, который зарегистрировал инцидент, это могут быть следующие теги:
- Теги, фактическое значение которых было признано ML-моделью наиболее аномальным, если инцидент был зарегистрирован детектором Forecaster.
- Индикаторный тег сработавшего диагностического правила и теги, входящие в это правило, если инцидент был зарегистрирован детектором Rule Detector.
- Тег, значение которого вышло за пределы допустимого диапазона значений, если инцидент был зарегистрирован детектором Limit Detector.
Если требуется, вы можете выбрать другой пресет для отображения данных, полученных от объекта мониторинга в момент регистрации инцидента. На дату и время регистрации инцидента на графике указывает вертикальная синяя пунктирная линия.
Пример графика тегов в разделе История.
График тегов отображается в верхней части раздела История. В нижней части раздела История отображается график MSE.
График тегов в разделе История
- Настройка параметров отображения данных на графике в разделе История
В разделе История вы можете включить отображение предсказанных значений тегов. Это позволяет оценить расхождение между фактическими и предсказанными значениями тегов. Также включенная функция отображения предсказанных значений позволяет просматривать значения индикаторных тегов, отображающих результаты применения диагностических правил. Информация о теге (имя, числовой идентификатор, описание, единица измерения, время и значение тега) отображается при наведении указателя мыши на график тега. Также вы можете включить отображение имени и описания тега для каждого графика тега.
- Настройка параметров времени для отображения данных в разделе История
При исследовании поведения тегов, вы можете изменять масштаб оси времени или перемещаться по графикам вперед или назад по времени. При отображении более коротких интервалов времени на графиках тегов в разделе История могут проявляться детали поведения тегов, которые усреднялись, когда график тега отображался за более длительный период.
- Изменение вертикальных границ отображения данных в разделе История
Выбор вертикального масштаба каждого графика по умолчанию производится автоматически, исходя из минимального и максимального значений тега в отображаемой области. Вы можете контролировать масштаб графиков по шкале значений на вертикальной оси одним из следующих способов:
- Если для тега установлены минимальное и максимальное допустимые значения (технические пределы), включите функцию Всегда показывать технические пределы.
При условии, что значения тега находятся в допустимом диапазоне, вертикальный масштаб графика будет зафиксирован предельными линиями, выводимыми по нижней и верхней границам графика тега. Если значения тега выйдут за допустимые пределы, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.
- В свойствах тега установите допустимые границы отображения значений тега на графиках.
Если значения тега будут выходить за указанные границы, то они не будут отображаться на графике тега. Допустимые границы отображения значений тега имеют приоритет над отображением технических пределов, даже если включена функция Всегда показывать технические пределы.
- Если для тега установлены минимальное и максимальное допустимые значения (технические пределы), включите функцию Всегда показывать технические пределы.
Добавление статуса, причины, экспертного заключения и замечания к инциденту или группе инцидентов
Kaspersky MLAD позволяет добавлять экспертное заключение или замечание к зарегистрированному инциденту.
Экспертное заключение, как правило, добавляет эксперт (технолог или специалист АСУ ТП), и оно может содержать анализ инцидента или рекомендации по устранению проблемы, на которую указывает выявленный инцидент. Экспертное заключение может быть добавлено как к инциденту, так и к группе инцидентов. При этом если сгруппированы инциденты, к которым ранее были добавлены экспертные заключения, то эти заключения отображаются и в группе (с привязкой к каждому конкретному инциденту). При перегруппировке инцидентов экспертное заключение для инцидента мигрирует вместе с инцидентом в новую группу.
Замечания предназначены для обсуждения между экспертами или операторами предпринятых по инциденту действий: анализ, расследование, исправление. В каждом замечании фиксируется информация о том, кто и когда его добавил.
Вы также можете добавить причину возникновения инцидента и статус инцидента, установленные экспертом по результатом анализа инцидента. Статус инцидента может быть присвоен как инциденту, так и группе инцидентов. При изменении статуса группы инцидентов Kaspersky MLAD изменяет статус инцидентов, входящих в эту группу.
Перед добавлением причины, статуса, замечания или экспертного заключения требуется провести анализ зарегистрированного инцидента.
Чтобы добавить экспертное заключение, статус, причину и замечание к инциденту:
- В основном меню выберите раздел Инциденты.
- При необходимости измените статус инцидента, выбрав в раскрывающемся списке Статус один из следующих статусов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать или Ложное срабатывание.
По умолчанию инциденту присваивается статус Не установлен. Если требуется, пользователь с правами администратора может создать, изменить или удалить статусы инцидентов.
- Для отображения подробных технических характеристик нажмите на значок стрелки вправо () около интересующего вас инцидента. В открывшейся области деталей вы можете выполнить следующие действия:
- Если требуется добавить причину инцидента, в поле Причина инцидента выберите причину инцидента.
При необходимости пользователь с правами администратора может создать, изменить или удалить причины инцидентов.
- Если требуется добавить экспертное заключение по анализу зарегистрированного инцидента, нажмите на значок Изменить экспертное заключение (
), расположенную справа от поля Экспертное заключение, в появившемся поле введите заключение и нажмите на клавишу ENTER.Экспертное заключение будет добавлено к выбранному инциденту и отобразится в таблице инцидентов разделе Инциденты.
- Если требуется добавить замечание к инциденту, в поле Замечание введите сообщение и нажмите на кнопку Добавить замечание.
Вы можете указать сообщение длиной не более 512 символов.
- Если требуется добавить причину инцидента, в поле Причина инцидента выберите причину инцидента.
Статус, причина, экспертное заключение и замечание будут добавлены к инциденту и будут доступны другим пользователям при просмотре этого инцидента.
При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу. Имя группы присваивается также автоматически – Group #N (N – порядковый номер группы). Вы можете изменить название группы, а также изменить статус группы инцидентов и экспертное заключение, содержащее, например, рекомендации при анализе похожих инцидентов.
Чтобы добавить статус и экспертное заключение к группе инцидентов:
- В основном меню выберите раздел Инциденты и нажмите на Группы.
- При необходимости измените статус группы инцидентов, выбрав в раскрывающемся списке Статус один из следующих статусов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать или Ложное срабатывание.
При изменении статуса группы инцидентов Kaspersky MLAD изменяет статус инцидентов, входящих в эту группу. По умолчанию группе инцидентов присваивается статус Не установлен.
Если требуется, пользователь с правами администратора может создать, изменить или удалить статусы инцидентов.
- В таблице групп инцидентов дважды нажмите на строку группы инцидентов.
Откроется окно Изменение группы.
Вы также можете перейти к изменению группы на вкладке Инциденты. Для этого выберите нужную группу в фильтре Группа и в блоке экспертного заключения для группы, отображающемся над таблицей инцидентов, нажмите на кнопку Изменить.
- Если требуется изменить название группы инцидентов, в поле Имя группы введите новое название группы.
- В поле Экспертное заключение введите текст экспертного заключения (например, рекомендации при анализе похожих инцидентов).
- Нажмите на кнопку Сохранить.
Статус и экспертное заключение будут изменены для группы инцидентов и будут доступны для просмотра другим пользователям в таблице Группы в разделе Инциденты.
В начало
Экспорт инцидентов в файл
Вы можете сохранить в файл формата XLSX инциденты, зарегистрированные за определенный период в Kaspersky MLAD.
Чтобы сохранить в файл зарегистрированные за определенный период инциденты:
- В основном меню выберите раздел Инциденты.
- В верхней части открывшейся страницы выберите даты начала и окончания периода.
- Нажмите на кнопку Экспорт.
- Выберите папку для сохранения на локальном диске и сохраните файл.
Инциденты, зарегистрированные за выбранный период в Kaspersky MLAD, будут сохранены на локальном диске в файл формата XLSX. Файл формата XLSX можно открыть в программе Microsoft Excel.
В начало
Работа с ML-моделями и шаблонами
В разделе Модели представлены данные об ML-моделях, а также шаблонах, созданных на основе добавленных в Kaspersky MLAD ML-моделей.
На вкладке Модели представлена таблица ML-моделей, загруженных в Kaspersky MLAD или добавленных на основе шаблонов пользователями с правами администратора. Рядом с каждой моделью в таблице находится вертикальное меню , позволяющее просмотреть подробные сведения о модели. Вы можете просмотреть информацию о параметрах ML-модели, параметрах элементов ML-модели, а также просмотреть схему потока данных между элементами ML-модели.
На вкладке Шаблоны представлена таблица шаблонов, созданных пользователями с правами администратора на основе добавленных в Kaspersky MLAD ML-моделей.
Просмотр параметров ML-модели
Чтобы просмотреть параметры ML-модели:
- В основном меню выберите раздел Модели.
- Нажмите на вертикальное меню , которое расположено в строке той ML-модели, сведения которой нужно просмотреть.
- Для просмотра параметров ML-модели выберите пункт Детали модели.
Справа откроется панель <Имя ML-модели> на вкладке Параметры модели и отобразится список параметров ML-модели.
ML-модель характеризуется следующими параметрами:
- ID – автоматически назначаемый короткий идентификатор ML-модели.
- Имя модели – наименование ML-модели. Параметр доступен для изменения пользователям с правами администратора.
- UUID – автоматически назначаемый полный идентификатор ML-модели.
- Описание – описание ML-модели. Параметр доступен для изменения пользователям с правами администратора.
- Имя файла – наименование файла ML-модели.
- Версия – версия ML-модели.
- Обновил – имя пользователя, который выполнил последнее обновление ML-модели.
- Дата обновления – дата и время последнего обновления ML-модели.
- Создал – имя пользователя, который создал ML-модель.
- Дата создания – дата и время создания ML-модели.
Просмотр параметров элемента ML-модели
Чтобы просмотреть параметры элемента ML-модели:
- В основном меню выберите раздел Модели.
- Нажмите на вертикальное меню , которое расположено в строке той ML-модели, сведения которой нужно просмотреть, и выберите пункт Детали модели.
Справа откроется панель <Имя ML-модели> с подробными сведениями об ML-модели.
- Для просмотра параметров элемента ML-модели выберите вкладку Элементы модели и нажмите на значок стрелки вниз (
) рядом с нужным элементом ML-модели.В панели <Имя ML-модели> отобразится список параметров элемент ML-модели.
Список параметров элемента ML-модели и их описание представлены в таблице ниже.
Параметры элемента ML-модели
Параметры элемента ML-модели |
Описание параметров элемента ML-модели |
|---|---|
ID |
Автоматически назначаемый короткий идентификатор элемента ML-модели. |
Имя элемента |
Имя элемента ML-модели. Параметр доступен для изменения. |
UUID |
Автоматически назначаемый полный идентификатор элемента ML-модели. |
element_path |
Путь к элементу ML-модели. |
block_type |
Тип элемента ML-модели (например, neural_forecaster – предсказательная нейронная сеть или rule – правило). |
color |
Параметр, определяющий цвет элемента ML-модели и цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История. Параметр доступен для изменения. |
alpha |
Параметр сглаживания суммарной ошибки MSE (для ML-модели, построенной на основе детектора Forecaster) или параметр сглаживания вероятности обнаружения аномалии (для ML-модели, построенной на основе детектора XGBoost). Параметр доступен для изменения. |
delta_t |
Параметр, определяющий шаг временной сетки (в наносекундах). ML-модель работает с данными, которые рассчитываются на равноинтервальной временной сетке. Перевод полученных данных телеметрии на равноинтервальную временную сетку производится автоматически. |
tag_ids |
Список идентификаторов тегов, которые включены в элемент ML-модели. |
in_tags |
Список тегов, которые служат исходными данными для предсказания значений выходных тегов out_tags. |
indicator_tags |
Список выходных индикаторных тегов, которые включены в элемент ML-модели. Параметр присутствует только в списке параметров ML-модели, построенной на основе детектора Rule Detector. |
input_window_size |
Входной интервал наблюдений, измеряемый количеством шагов временной сетки (размер входного окна). |
power |
Показатель степени суммарной ошибки прогноза (MSE). Параметр доступен для изменения и присутствует только в списке параметров ML-модели, построенной на основе детектора Forecaster. |
threshold |
Пороговое значение для регистрации инцидента. Параметр присутствует только в списке параметров ML-модели, построенной на основе детектора Forecaster. |
batch_size |
Число входных окон, обрабатываемых элементом ML-модели за один проход в процессе обучения. Параметр присутствует только в списке параметров ML-модели, построенной на основе детектора Forecaster. |
forecast_shift |
Смещение окна предсказания forecast_window_size относительно начала входного окна input_window_size (в шагах временной сетки). |
forecast_window_size |
Длина выходного окна, для которого элемент ML-модели определяет значения выходных тегов out_tags на основании входных тегов in_tags на входном окне input_window_size. Длина выходного окна указывается в количестве шагов временной сетки. |
out_tags и mse_weights |
Список выходных тегов и их относительных весов. Значения выходных тегов предсказываются ML-моделью и впоследствии сравниваются с фактическими. Параметр доступен для изменения и присутствует только в списке параметров ML-модели, построенной на основе детектора Forecaster. |
mode |
Метод вычисления ошибки MSE службой Anomaly Detector. Параметр присутствует только в списке параметров ML-модели, построенной на основе детектора Forecaster. |
В нейросетевых ML-моделях суммарная ошибка прогноза, обозначаемая параметром MSE в веб-интерфейсе программы, как правило, рассчитывается с экспоненциальным сглаживанием, то есть является суммой моментальных ошибок прогноза в текущей и предыдущих точках, причем вклад точки, отстоящей на k шагов, уменьшается с коэффициентом (1-alpha)^k. Суммарная ошибка вычисляется как корень степени power из взвешенной с весами mse_weights суммы индивидуальных мгновенных ошибок прогноза по каждому выходному тегу в степени power. Значение ошибки MSE рассчитывается без сглаживания при параметре alpha равном 1.
Просмотр схемы потока данных в ML-модели
Вы можете просматривать схему потока данных между элементами ML-модели.
Чтобы просмотреть схему потоков данных в ML-модели:
- В основном меню выберите раздел Модели.
- Нажмите на вертикальное меню , которое расположено в строке той ML-модели, сведения которой нужно просмотреть, и выберите пункт Детали модели.
Справа откроется панель <Имя ML-модели> с подробными сведениями об ML-модели.
- Выберите вкладку Схема потока данных.
В панели <Имя ML-модели> отобразится схема потока данных между элементами ML-модели.
- Если требуется просмотреть параметры элемента ML-модели, наведите на него курсор мыши.
Отобразится окно, в котором перечислены значения параметров выбранного элемента.
Схема потока данных в ML-модели
Управление пресетами
Пресет – это набор тегов, сформированный пользователем в произвольном порядке или созданный автоматически при регистрации инцидента. Набор тегов в составе пользовательского пресета может соответствовать определенному аспекту технологического процесса или участку объекта мониторинга.
В разделе Пресеты в левой части окна расположен список доступных пользовательских пресетов, в правой части окна расположен список тегов, которые входят в состав выбранного в списке пресета.
Для просмотра получаемых данных на графиках в разделах История и Мониторинг вы можете загрузить конфигурацию пресетов в Kaspersky MLAD из JSON-файла. В рамках работ по внедрению Kaspersky MLAD может быть создана общая для всех пользователей конфигурация пресетов.
В разделе Пресеты вы также можете:
- Создавать необходимые пресеты, которые включают в себя теги, соответствующие агрегатам установки объекта мониторинга. Созданные вами пресеты будут отображаться только для вашей учетной записи.
- Изменять пресеты (добавлять, группировать или удалять теги).
- Удалять пресеты.
- Экспортировать пресеты в JSON-файл.
Вы также можете задать выражения с простыми арифметическими действиями (например, сложение, вычитание, умножение и деление) для расчета производных значений тегов.
Раздел Пресеты
Просмотр пресета
Вы можете просматривать пресеты, созданные или загруженные вами ранее в Kaspersky MLAD для вашего объекта мониторинга.
Чтобы просмотреть пресет:
- В основном меню выберите раздел Пресеты.
В левой части рабочей области отобразится список пресетов.
- Нажмите на нужный пресет.
В таблице справа отобразятся список тегов, входящих в выбранный пресет. Для каждого тега в составе пресета представлена следующая информация:
- ID – идентификатор тега.
- Имя тега – название тега.
- Размерность – единица измерения для тега.
- Пределы – предельные значения для тега, при достижении которых регистрируются инциденты, если включен детектор Limit Detector.
- Описание – описание тега.
Если требуется, вы можете изменить пресет или создать новый пресет.
В начало
Создание нового пресета
В Kaspersky MLAD вы можете создавать новые пресеты.
При создании пресета вы можете указать выражение, по которому требуется рассчитывать значения тегов в составе пресета для отображения этих значений на графике в разделе Временной срез. Например, с помощью заданных выражений вы можете просмотреть персональные ошибки тегов, прогнозируемые значения тегов, а также значения тегов, полученные от датчиков объекта мониторинга, в один и тот же момент времени. Вы можете использовать следующие переменные в выражениях:
- $tagValue – полученное значение тега (по результатам наблюдения);
- $tagError – персональная ошибка тега;
- $tagPrediction – прогнозируемое значения тега;
- $tagX – значение координаты расположения датчика объекта мониторинга по оси абсцисс, заданного при создании тега;
- $tagY – значение координаты расположения датчика объекта мониторинга по оси ординат, заданного при создании тега;
- $tagZ – значение координаты расположения датчика объекта мониторинга по оси аппликат, заданного при создании тега.
Чтобы создать новый пресет:
- В основном меню выберите раздел Пресеты и нажмите на кнопку Создать.
Откроется окно Создание пресета.
- В поле Имя пресета укажите имя пресета.
- Если требуется изменить значок пресета, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок.
По умолчанию пресету присваивается значок солнца (
).Вы можете загрузить значок для пресета, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.
Если требуется удалить значок пресета, нажмите на значок пресета и в открывшемся окне нажмите на кнопку Удалить.
- Если требуется добавить выражение, по которому рассчитываются значения тегов для их отображения на графике в разделе Временной срез, выполните следующие действия:
- Включите переключатель Настроить выражения для раздела Временной срез.
- В поле Подпись оси X укажите подпись, которая отображается по оси абсцисс.
- Нажмите на кнопку Добавить выражение и в раскрывшемся блоке укажите следующие значения:
- В поле Имя выражения введите имя выражения.
- В поле Подпись оси Y введите подпись, которая отображается по оси ординат.
- В поле Выражение для расчета введите выражение, по которому рассчитываются значения тегов.
Вы можете задать выражения с простыми арифметическими действиями (например, сложение, вычитание, умножение и деление). Например, если с датчиков поступают значения температуры по Фаренгейту, для отображения на графике значений температуры по Цельсию вы можете указать следующее выражение:
5/9 * ($tagValue - 32)
Если требуется, вы можете добавить несколько выражений для раздела Временной срез.
- В поле Цвет графика выберите цвет графика, который будет отображаться для пресета в разделе Временной срез.
- Если требуется удалить выражение в пресете для раздела Временной срез, нажмите на значок корзины (
) в правом нижнем углу блока выражения.
- Если требуется добавить теги, которые входят в состав другого пресета, выберите этот пресет в раскрывающемся списке Копировать теги из выбранного пресета.
- Добавьте в пресет теги, установив флажки около нужных тегов в списке ниже. Вы можете воспользоваться поиском, указав имя тега в поле Поиск по имени тега.
- Если требуется удалить теги из пресета, в списке тегов снимите флажки около тех тегов, которые требуется удалить.
- Нажмите на кнопку Создать.
Новый пресет отобразится в разделе Пресеты в списке пресетов слева и в раскрывающемся списке пресетов в разделах История и Мониторинг. Пресет, для которого выполнен пункт 4 этой инструкции, также отобразится в раскрывающемся списке пресетов в разделе Временной срез.
Если требуется, вы можете изменить расположение пресетов в списке пресетов. Для этого нужно перетащить пресет вверх или вниз списка, удерживая за точки слева (
) от его значка.
Изменение пресета
Вы можете изменять созданные или загруженные вами ранее пресеты.
Чтобы изменить пресет:
- В основном меню выберите раздел Пресеты.
- На открывшейся странице в списке пресетов слева выберите нужный пресет.
В таблице справа отобразятся все теги, входящие в выбранный пресет.
Если требуется, измените расположение тегов в таблице. Для этого нужно перетащить нужный тег вверх или вниз в дереве тегов, удерживая за точки слева (
) от его значка. - Нажмите на кнопку Изменить пресет () рядом с выбранным пресетом.
Откроется окно Изменение пресета.
- Если требуется, в поле Имя пресета введите новое имя пресета.
Вы также можете изменить имя пресета в списке пресетов. Для этого дважды нажмите на имя пресета, в открывшемся поле введите новое имя пресета и нажмите на клавишу ENTER.
- Если требуется изменить значок пресета, нажмите на кнопку Выбрать значок, и в открывшемся окне выберите значок.
Вы можете загрузить значок для пресета, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.
Если требуется удалить значок пресета, нажмите на значок пресета и в открывшемся окне нажмите на кнопку Удалить.
- Если требуется добавить выражение, по которому рассчитываются значения тегов для их отображения на графике в разделе Временной срез выполните следующие действия:
- Включите переключатель Настроить выражения для раздела Временной срез.
- В поле Подпись оси X укажите подпись, которая отображается по оси абсцисс.
- Нажмите на кнопку Добавить выражение и в раскрывшемся блоке укажите следующие значения:
- В поле Имя выражения введите имя выражения.
- В поле Подпись оси Y введите подпись, которая отображается по оси ординат.
- В поле Выражение для расчета введите выражение, по которому рассчитываются значения тегов.
Вы можете задать выражения с простыми арифметическими действиями (например, сложение, вычитание, умножение и деление). Например, если с датчиков поступают значения температуры по Фаренгейту, для отображения на графике значений температуры по Цельсию вы можете указать следующее выражение:
5/9 * ($tagValue - 32)
Если требуется, вы можете добавить несколько выражений для раздела Временной срез.
- В поле Цвет графика выберите цвет графика, который будет отображаться для пресета в разделе Временной срез.
- Для удаления выражения в пресете для раздела Временной срез нажмите на значок корзины () в правом нижнем углу блока выражения.
- Если требуется, добавьте в пресет теги, установив флажки около нужных тегов в списке тегов ниже. Вы можете воспользоваться поиском, указав имя тега в поле Поиск по имени тега.
- Если требуется, снимите флажки рядом с названиями тех тегов, которые нужно удалить из пресета.
- Нажмите на кнопку Сохранить.
Измененный пресет обновится в списке пресетов в разделе Пресеты и в раскрывающемся списке пресетов в разделах История и Мониторинг. Измененный пресет, для которого выполнен пункт 6 этой инструкции, также отобразится в раскрывающемся списке пресетов в разделе Временной срез.
Если требуется, вы можете изменить расположение пресетов в списке пресетов. Для этого нужно перетащить пресет вверх или вниз списка, удерживая за точки слева () от его значка.
Удаление пресета
Вы можете удалять созданные или загруженные вами ранее пресеты.
Чтобы удалить пресет:
- В основном меню выберите раздел Пресеты.
- На открывшейся странице в списке пресетов слева выберите нужный пресет.
- Нажмите на кнопку Удалить пресет () рядом с выбранным пресетом.
- В открывшемся окне Удаление пресета нажмите на кнопку Да, чтобы подтвердить удаление пресета.
Пресет будет удален из списка пресетов.
В начало
Загрузка конфигурации пресетов из файла
Вы можете загрузить конфигурацию пресетов в Kaspersky MLAD из файла формата JSON. Если файл загружается пользователем с правами администратора, то в программу также будет загружена конфигурация тегов.
Чтобы загрузить конфигурацию пресетов в Kaspersky MLAD:
- В основном меню выберите раздел Пресеты.
- В верхней части открывшейся страницы нажмите на кнопку Импорт.
- Выберите файл формата JSON с конфигурацией пресетов на локальном диске.
Выбранный файл будет загружен в Kaspersky MLAD, новые пресеты отобразятся в списке пресетов.
В начало
Сохранение конфигурации пресетов в файл
Вы можете сохранить в файл формата JSON созданные и загруженные вами ранее в Kaspersky MLAD пресеты.
Чтобы сохранить в файл созданные и загруженные вами ранее в Kaspersky MLAD пресеты:
- В основном меню выберите раздел Пресеты.
- В верхней части открывшейся страницы нажмите на кнопку Экспорт.
Созданные и загруженные вами ранее в Kaspersky MLAD пресеты будут сохранены на локальном диске в файл формата JSON.
В начало
Просмотр статуса службы
В разделе Службы отображается таблица, содержащая информацию о службах и их статусах. В веб-интерфейсе Kaspersky MLAD службы сгруппированы по функционалу, и для каждой службы отображается следующая информация:
- Название – название службы.
- Статус – текущий статус службы (Запущена, Остановлена, Запускается, Недоступна).
- Действия – доступные действия (запустить, остановить, перезапустить). Запускать, останавливать и перезапускать службы Kaspersky MLAD может только пользователь с правами администратора.
Вы можете просмотреть статус службы, чтобы убедиться, что служба успешно запущена или остановлена.
Kaspersky MLAD проверяет статусы служб каждые 30 секунд.
Чтобы просмотреть статус службы,
в основном меню выберите раздел Службы.
Откроется раздел Службы, в котором отображается таблица, содержащая перечисление всех доступных служб, их статусов, а также возможных действий (запуск, остановка и перезапуск).
Раздел Службы
В начало
Устранение неисправностей
Этот раздел содержит описание возможных неисправностей в работе Kaspersky MLAD и способов их устранения.
При подключении к Kaspersky MLAD браузер выводит предупреждение о сертификате
Проблема
При попытке подключения к Kaspersky MLAD браузер выводит предупреждение о том, что сертификат безопасности или устанавливаемое соединение не является доверенным. Содержание предупреждения зависит от используемого браузера.
Решение
После установки Kaspersky MLAD для подключения к веб-интерфейсу по умолчанию используется самоподписанный сертификат. При использовании самоподписанного сертификата браузер отображает предупреждение о том, что сертификат безопасности или устанавливаемое соединение не является доверенным. Для использования доверенного сертификата вам нужно обратиться к квалифицированному администратору – сотруднику Заказчика, имеющего право принимать Лицензионное соглашение к программе. Администратор может обновить сертификаты для подключения к Kaspersky MLAD через веб-интерфейс.
Вы можете временно использовать самоподписанный сертификат для подключения к Kaspersky MLAD (например, при тестовой эксплуатации). Для использования самоподписанного сертификата в окне предупреждения браузера выберите вариант, позволяющий продолжить подключение. После подключения к Kaspersky MLAD в окне браузера будет отображаться предупреждающее сообщение о сертификате. Текст сообщения зависит от используемого браузера.
Если браузер отображает предупреждение после установки доверенного сертификата, то могла произойти подмена сертификата злоумышленником. Требуется обратиться в Службу технической поддержки.
В начало
Закончилось свободное пространство на жестком диске
Проблема
На жестком диске компьютера, на котором установлен Kaspersky MLAD, закончилось свободное пространство.
Решение
Для работы программы компьютер должен удовлетворять аппаратным и программным требованиям.
Чтобы программа работала корректно,
освободите на жестком диске компьютера достаточный объем пространства, соответствующий минимальным требованиям к объему свободного пространства.
В начало
Непредвиденная перезагрузка операционной системы
Проблема
Неожиданная перезагрузка компьютера с установленным Kaspersky MLAD.
Решение
Дождитесь окончания загрузки компьютера. После загрузки возможны следующие варианты состояния Kaspersky MLAD:
- Работоспособность Kaspersky MLAD восстановилась полностью.
- Работоспособность Kaspersky MLAD не восстановилась.
Если неисправность сохраняется, обратитесь в Службу технической поддержки "Лаборатории Касперского".
Не удается подключиться к веб-интерфейсу Kaspersky MLAD
Проблема
При подключении к веб-интерфейсу Kaspersky MLAD после ввода корректного пароля отображается ошибка Error! Invalid server error.
Решение
Часто ошибка Error! Invalid server error возникает из-за того, что на сервере, на котором установлен Kaspersky MLAD, закончилось свободное пространство на жестком диске.
Чтобы восстановить корректную работу программы,
освободите на жестком диске сервера достаточный объем пространства, соответствующий минимальным требованиям к объему свободного пространства.
Если после освобождения пространства на жестком диске, не удается подключиться к веб-интерфейсу Kaspersky MLAD, требуется обратиться в Службу технической поддержки.
В начало
Не отображаются графики в разделах История и Мониторинг
Проблема
В разделах История и Мониторинг не отображаются графики.
Возможны следующие причины:
- Пресеты не импортированы в Kaspersky MLAD.
- Выбранный пресет не содержит теги.
- В разделе выбран История интервал времени, для которого отсутствуют данные.
- Коннектор, используемый для получения данных от объекта мониторинга, не запущен.
- Объект мониторинга отключен.
Решение
Убедитесь, что объект мониторинга включен. Включите коннектор, используемый для получения данных от объекта мониторинга. Импортируйте или создайте пресеты, содержащие теги. Для отображения данных на графике в разделе История выберите дату, интервал времени и пресет, содержащий теги. Для отображения данных в разделе Мониторинг выберите интервал времени и пресет, содержащий теги.
В начало
Не выполняется передача событий между Kaspersky MLAD и внешними системами
Проблема
События не поступают в Kaspersky MLAD и/или оповещения об активации мониторов не отправляются во внешние системы.
Решение
Чтобы восстановить обмен событиями с внешними системами:
- Запустите службу Event Processor и коннектор CEF Connector.
- При настройке службы Event Processor выполните следующие действия:
- В поле Конфигурационный файл процессора событий загрузите конфигурационный файл, описывающий параметры событий.
- В поле Интервал получения событий эпизода (сек.) укажите интервал времени в секундах, необходимый для формирования эпизода, учитывая скорость получения событий от объекта мониторинга.
- Для получения событий в файле .env укажите номер порта, по которому требуется осуществлять подключение к внешнему источнику событий.
- Для отправки событий укажите IP-адрес и номер порта для подключения к внешней системе при настройке коннектора CEF Connector.
Невозможно загрузить данные для просмотра в разделе Процессор событий
Проблема
После перезапуска Kaspersky MLAD невозможно загрузить данные для просмотра истории событий и/или истории паттернов в разделе Процессор событий (недоступна кнопка Выполнить запрос). Такая же проблема может наблюдаться после изменения параметров службы Event Processor.
Решение
Чтобы восстановить загрузку данных для просмотра истории событий и/или истории паттернов в разделе Процессор событий,
рекомендуется подождать несколько минут. После перезапуска Kaspersky MLAD состояние службы Event Processor восстанавливается. Длительность процесса восстановления состояния при значительном объеме обработанных событий и зарегистрированных паттернов может занимать несколько минут. До момента восстановления состояния службы Event Processor в разделе Процессор событий не выполняются запросы и не обновляются данные, а также в это время не обрабатываются данные поступающие от CEF-коннектора. Эти данные временно сохраняются в очереди сообщений системы и обрабатываются после восстановления состояния службы Event Processor.
В начало
Неправильно обрабатываются данные в разделе Процессор событий
Проблема
Создается большое количество коротких паттернов.
Решение
Чтобы снизить количество регистрации коротких паттернов,
в параметрах службы Event Processor требуется увеличить длину эпизода.
Проблема
Приходит большое количество оповещений об активации монитора.
Решение
Чтобы снизить большое количество оповещений об активации монитора,
проверьте созданные ранее мониторы и удалите ненужные. Также рекомендуется уточнить параметры активации мониторов: Скользящее окно и Порог.
В начало
Не отображаются события в разделе Процессор событий
Проблема
При выполнении запроса для просмотра истории событий в разделе Процессор событий не отображаются события, которые отображались ранее.
Решение
Убедитесь, что Kaspersky MLAD сохраняет состояние службы Event Processor в таблицу базы данных.
Если состояние службы Event Processor сохраняется в файл в битовом формате, то Kaspersky MLAD сохраняет состояние службы с частотой, заданной в поле Периодичность создания резервных копий компонента. При перезапуске службы Event Processor результаты обработки потока событий, полученных процессором событий с момента последнего сохранения состояния службы, будут утеряны.
В начало
Не отображаются ранее созданные мониторы и заданные параметры конфигурации внимания в разделе Процессор событий
Проблема
После перезапуска или изменения параметров службы Event Processor в разделе Процессор событий не отображаются ранее созданные мониторы и заданные параметры конфигурации внимания.
Решение
Процессор событий сохраняет созданные мониторы и заданные параметры конфигурации внимания после сохранения состояния службы Event Processor в таблицу базы данных или файл в битовом формате. Если Kaspersky MLAD сохраняет состояние службы в таблицу базы данных, для сохранения созданных мониторов и заданных параметров конфигурации внимания рекомендуется не перезапускать службу Event Processor и не изменять ее параметры до обработки первого эпизода событий от объекта мониторинга. Если программа сохраняет состояние службы Event Processor в файл в битовом формате, для сохранения созданных мониторов и заданных параметров конфигурации внимания рекомендуется не перезапускать службу Event Processor и не изменять ее параметры до первого резервного копирования службы. Частота резервного копирования службы Event Processor зависит от значения параметра Периодичность создания резервных копий компонента, заданного администратором.
Для получения событий требуется настроить параметры службы Event Processor и коннектора CEF Connector и запустить их. Если требуется обрабатывать зарегистрированные инциденты в качестве событий, требуется также настроить службу Anomaly Detector и коннектор, необходимый для получения данных телеметрии от объекта мониторинга, и запустить их. Перейдите в раздел Информационная панель и убедитесь, что события поступают в Kaspersky MLAD в онлайн-режиме.
Если неисправность сохраняется, обратитесь в Службу технической поддержки "Лаборатории Касперского".
В начало
Требуется изменить язык локализации Справки до подключения к программе
Проблема
Требуется изменить язык локализации Справки до подключения к веб-интерфейсу Kaspersky MLAD.
Решение
Чтобы изменить язык локализации Справки программы, не подключаясь к веб-интерфейсу программы:
- Откройте браузер, установленный на вашем компьютере.
- В адресной строке браузера введите веб-адрес Kaspersky MLAD, полученный от специалиста АСУ ТП.
- На открывшейся странице ввода учетных данных нажмите на значок Справка (
). - В веб-адресе укажите необходимый язык локализации:
- ru – если вы хотите открыть Справку на русском языке (например, https://<веб-адрес Kaspersky MLAD>/help/ru/171583.htm);
- en – если вы хотите открыть Справку на английском языке (например, https://<веб-адрес Kaspersky MLAD>/help/en/171583.htm).
После подключения к программе вы можете изменить язык интерфейса и Справки в меню пользователя.
В начало
Обращение в Службу технической поддержки
Этот раздел содержит информацию о способах и условиях получения технической поддержки.
Если вы не нашли решения вашей проблемы в документации или других источниках информации о программе, рекомендуется обратиться в Службу технической поддержки. Сотрудники Службы технической поддержки ответят на ваши вопросы об установке и использовании программы.
Услуги технической поддержки предоставляются при наличии действующего Договора об оказании технической поддержки. Объем предоставляемых услуг технической поддержки определяется действующим Договором об оказании технической поддержки.
Перед обращением в Службу технической поддержки ознакомьтесь с правилами предоставления технической поддержки.
Вы можете связаться со специалистами Службы технической поддержки, написав сотрудникам Службы технической поддержки по электронной почте mlad-support@kaspersky.com.
Специалисты Службы технической поддержки могут запросить у вас сведения из системы логирования Kaspersky MLAD.
В начало
Параметры конфигурационного файла .env
Изменение параметров конфигурационного файла выполняет только сотрудник "Лаборатории Касперского" или сертифицированный интегратор.
Конфигурационный файл .env заполняется для настройки коннектора CEF Connector и содержит параметры, приведенные в таблице ниже.
Параметры конфигурационного файла .env
Параметр |
Описание |
|---|---|
CEF_CONNECTOR_INCOMING_IP |
IP-адрес, по которому будет осуществляться подключение коннектора CEF Connector к внешнему источнику событий. |
CEF_INCOMING_PORT |
Номер порта, по которому будет осуществляться подключение коннектора CEF Connector к внешнему источнику событий. |
Для применения изменений, внесенных в конфигурационный файл, требуется перезапустить Kaspersky MLAD.
В начало
Пример JSON-файла, содержащего конфигурацию тегов
Ниже приведен пример файла в формате JSON, который содержит описания тегов, их конфигурацию, а также пресеты.
Пользователь с правами администратора загружает конфигурацию тегов в разделе Настройка → Теги. В Kaspersky MLAD также будет загружена конфигурация пресетов, описанных в JSON-файле. Пользователь с правами оператора может загрузить только конфигурацию пресетов.
{ "tags": { "1": { "id": 1, "name": "Sep_level_setpoint", "description": "Уставка уровня сепаратора", "tag_type": "", "measurement_units": "%", "plc_id": "TEP", "real_type": "line", "predicted_type": "spline", "max": null, "min": null, "high_limit": null, "low_limit": null, "cls": "level", "type": "SV", "position": [], "icon": null, "expressions": null, "is_virtual": false, "bias": 0, "multiplier": 1, "threshold_lines": null }, ... "121": { "id": 121, "name": "Нет отклика температуры реактора", "description": "Rule", "tag_type": "13", "measurement_units": "", "plc_id": "", "real_type": "line", "predicted_type": "spline", "max": null, "min": null, "high_limit": null, "low_limit": null, "cls": "level", "type": "PV", "position": [], "icon": null, "expressions": null, "is_virtual": false, "bias": 0, "multiplier": 1, "threshold_lines": null } }, "tags_structure": [ { "directory_id": "root", "name": "Root", "description": null, "children": [ "tags", "trash_bin" ], "icon": null }, ... { "directory_id": "tags", "name": "Химический завод", "description": null, "children": [ "Reactor", "Separator", "Stripper", "Product", "Purge", "Cooler", "a5eeb30739a742d3955765608ff73229" ], "icon": null } ], "presets": [ { "name": "Продукт", "tag_list": [ 51, 52, 53, 49, 50 ], "evaluations": { "axis_x_name": "", "evaluations": [] }, "css_class": null, "icon": "logout-signout" }, ... { "name": "Охладитель", "tag_list": [ 64 ], "evaluations": { "axis_x_name": "", "evaluations": [] }, "css_class": null, "icon": "graph" } ], "version": 2 } |
Пример JSON-файла, содержащего конфигурацию параметров для службы Event Processor
Ниже приведен пример файла в формате JSON, который содержит конфигурацию параметров для службы Event Processor. Файл содержит описание параметров событий для процессора событий.
Конфигурационный файл создается сотрудником "Лаборатории Касперского" или сертифицированным интегратором. Пользователь с правами администратора загружает конфигурационный файл процессора событий при настройке параметров службы Event Processor.
{ "timestamp_field": "TimeStamp", "timestamp_scale": "ms", "fields": [ "User_Host", "User_Name", "Destination_Host", "Access_Result" ], "groupBy": [ "User_Host", "User_Name", "Destination_Host", "Access_Result" ], "nodes": [ { "name": "User_Name", "depth": 0, "tooltip": { "templates": [ "User: {{User_Name}}" ] } }, { "name": "User_Host", "depth": 1, "tooltip": { "templates": [ "User host: {{User_Host}}" ] } }, { "name": "Destination_Host", "depth": 2, "tooltip": { "templates": [ "Destination: {{Destination_Host}}" ] } } ], "links": [ { "source": "User_Name", "target": "User_Host", "value": "count", "tooltip": { "templates": [ "{{User_Name}} » {{User_Host}}", "Count: {{count}}" ] }, "isGraphGroup": true }, { "source": "User_Host", "target": "Destination_Host", "value": "count", "tooltip": { "templates": [ "{{User_Host}} » {{Destination_Host}}", "DeviceEventClassID: {{Access_Result}}", "Count: {{count}}" ] } } ] }
|
Просмотр журнала логирования Kaspersky MLAD
В журнале логирования Kaspersky MLAD хранятся записи только за последние 48 часов.
Именование служб Kaspersky MLAD в подсистеме логирования
Для обозначения служб Kaspersky MLAD, состояние которых отслеживается в подсистеме логирования, используются наименования соответствующих им контейнеров или образов в Docker. В качестве имени образа в большинстве случаев используется сокращенное название службы. Имя контейнера формируется по следующему шаблону:
<директория программы>-<название образа>-#,
где: # – номер контейнера Docker.
По умолчанию Kaspersky MLAD использует директорию mlad-release-3.0.0-<номер установочной сборки>.
Ниже приведена таблица соответствия служб Kaspersky MLAD и имен образов и контейнеров Docker.
Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker
Служба Kaspersky MLAD |
Имя образа |
Имя контейнера |
|---|---|---|
Anomaly Detector |
anomaly_detector |
mlad-release-3.0.0-<номер установочной сборки>-anomaly_detector-1 |
Time Series Database |
influxdb |
mlad-release-3.0.0-<номер установочной сборки>-influxdb-1 |
Message Broker |
kafka |
mlad-release-3.0.0-<номер установочной сборки>-kafka-1 |
Keeper |
keeper |
mlad-release-3.0.0-<номер установочной сборки>-keeper-1 |
Logger |
logger |
mlad-release-3.0.0-<номер установочной сборки>-logger-1 |
Database |
postgres |
mlad-release-3.0.0-<номер установочной сборки>-postgres-1 |
Similar Anomaly |
similar_anomaly |
mlad-release-3.0.0-<номер установочной сборки>-similar_anomaly-1 |
Event Processor |
event-processor |
mlad-release-3.0.0-<номер установочной сборки>-event-processor-1 |
Stream Processor |
stream-processor |
mlad-release-3.0.0-<номер установочной сборки>-stream-processor-1 |
Trainer |
trainer |
mlad-release-3.0.0-<номер установочной сборки>-trainer-1 |
Web Server |
nginx-ui |
mlad-release-3.0.0-<номер установочной сборки>-nginx-ui-1 |
API Server |
web-server |
mlad-release-3.0.0-<номер установочной сборки>-web-server-1 |
Mail Notifier |
postman |
mlad-release-3.0.0-<номер установочной сборки>-postman-1 |
OPC UA Connector |
opcua-connector |
mlad-release-3.0.0-<номер установочной сборки>-opcua-connector-1 |
MQTT Connector |
mqtt-connector |
mlad-release-3.0.0-<номер установочной сборки>-mqtt-connector-1 |
AMQP Connector |
amqp-connector |
mlad-release-3.0.0-<номер установочной сборки>-amqp-connector-1 |
HTTP Connector |
gate |
mlad-release-3.0.0-<номер установочной сборки>-gate-1 |
KICS Connector |
kics3-connector |
mlad-release-3.0.0-<номер установочной сборки>-kics3-connector-1 |
CEF Connector |
cef-connector |
mlad-release-3.0.0-<номер установочной сборки>-cef-connector-1 |
WebSocket Connector |
ws-connector |
mlad-release-3.0.0-<номер установочной сборки>-ws-connector-1 |
|
webstatic |
mlad-release-3.0.0-<номер установочной сборки>-webstatic-1 |
|
migrations |
mlad-release-3.0.0-<номер установочной сборки>-migrations-1 |
Сценарий: Оценка основных метрик Kaspersky MLAD
Перед началом работы с подсистемой логирования рекомендуется ознакомиться с руководством пользователя системы Grafana.
При первом подключении к подсистеме логирования требуется изменить пароль, установленный по умолчанию.
В этом подразделе приводится последовательность действий, которые требуется выполнить для оценки работоспособности и общего состояния Kaspersky MLAD.
Сценарий оценки работоспособности и общего состояния Kaspersky MLAD состоит из следующих этапов:
- Переход в подсистему логирования
Перейдите в меню пользователя в раздел Логирование. Откроется интерфейс Grafana, в котором требуется указать логин и пароль пользователя Kaspersky MLAD.
Доступно только для пользователей Kaspersky MLAD с ролью администратора.
- Анализ основных метрик Kaspersky MLAD
В разделе Summary docker metrics проанализируйте графики основных метрик Kaspersky MLAD за выбранный период.
Для каждого контейнера служб Kaspersky MLAD отображаются следующие метрики:
- CPU usage – история загрузки центрального процессора контейнером. Изменяется в процентах.
- RAM usage – история использования контейнером оперативной памяти. Изменяется в байтах.
- Disk usage – история нагрузки контейнера на дисковую подсистему (операции записи и чтения). Изменяется в байтах.
- Network usage – история задействования контейнером сетевых ресурсов. Изменяется в байтах в секунду.
Сценарий: Просмотр метрик и логов контейнера
Перед началом работы с подсистемой логирования рекомендуется ознакомиться с руководством пользователя системы Grafana.
В журнале логирования Kaspersky MLAD хранятся записи только за последние 48 часов.
В этом подразделе приводится последовательность действий, которые требуется выполнить для оценки работоспособности и просмотра логов определенного контейнера из комплекта поставки Kaspersky MLAD.
Сценарий оценки работоспособности и просмотра логов определенного контейнера состоит из следующих этапов:
- Переход в подсистему логирования
Перейдите в меню пользователя в подраздел Логирование. Откроется интерфейс Grafana, в котором требуется указать логин и пароль пользователя Kaspersky MLAD.
Доступно только для пользователей Kaspersky MLAD с ролью администратора.
- Переход в раздел с метриками и логами контейнера
Перейдите в раздел Service detailed monitoring и выберите нужный контейнер из раскрывающегося списка Container.
- Анализ метрик контейнера
Проанализируйте графики метрик Kaspersky MLAD для выбранного контейнера за необходимый период, которые отображаются в разделе Service detailed monitoring.
В разделе Service detailed monitoring представлены следующие метрики:
- Memory – история использования контейнером оперативной памяти. Изменяется в байтах.
- CPU – история загрузки центрального процессора контейнером. Изменяется в процентах.
- File system – история нагрузки контейнера на дисковую подсистему (операции записи и чтения). Изменяется в байтах.
- Network – история задействования контейнером сетевых ресурсов. Изменяется в байтах в секунду.
- Анализ логов контейнера
Проанализируйте записи логов контейнера за выбранный период, которые отображаются под информационной панелью с метриками. Вы можете выполнить поиск по записям логов контейнера. Для этого введите поисковый запрос в поле Log search и нажмите на клавишу ENTER. Для сброса результатов поиска очистите поле Log search и нажмите на клавишу ENTER.
- Экспорт логов контейнера
Для выгрузки в текстовый файл логов контейнера за выбранный период, в разделе Service detailed monitoring в раскрывающемся списке Service log выберите значение Inspect → Data и в открывшейся форме нажмите на кнопку Download CSV.
Специальные символы регулярных выражений
Для поиска событий, паттернов и значений параметров событий в разделе Процессор событий вы можете использовать регулярные выражения. Kaspersky MLAD поддерживает использование следующих специальных символов в регулярных выражений:
^– Соответствует началу значения параметра. Например,^Аозначает, что поиск в параметре события будет осуществляться по значениям, начинающимся с символа А.$– Соответствует концу значения параметра. Например,А$означает, что поиск в параметре события будет осуществляться по значениям, заканчивающимся на символ А..– Соответствует одному любому символу.|– Разделяет допустимые варианты символов или совокупности символов в значении параметра. Например,к(о|и)тсоответствует как значению параметракот, так икит.\– Символ, указывающий на то, что следующий символ является обычным символом в значении параметра, а не специальным. Вы можете использовать символ\для поиска специальных символов в значении параметра. Например,\.описывает точку в значении параметра, а\\описывает обратную косую черту.[]– Соответствует любому символу из набора допустимых символов. Например,[абв]соответствует появлению одного из трех указанных символов.Для поиска по диапазону значений вы можете использовать символ
-. Если требуется найти символы, которые не входят в указанный диапазон, вы можете использовать символ^внутри квадратных скобок. Например,[^0-9]задает возможность появления любого символа, кроме цифр.
Для указания нужного количества повторений выражения в значениях параметров событий вы можете использовать следующие специальные символы:
?– Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или один раз.*– Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или более раз.+– Символ, определяющий, что предшествующее выражение может встречаться в значении параметра один или более раз.{}– Символьный класс, позволяющий указать нужное количество повторений предшествующего выражения. Вы можете указать количество повторений одним из следующих способов:{n}– Выражение, предшествующее фигурным скобкам, встречает в значении параметра ровноnраз.{m,n}– Выражение, предшествующее фигурным скобкам, встречается в значении параметра отmдоnраз включительно.{m,}– Выражение. предшествующее фигурным скобкам, встречается в значении параметра не менееmраз.{,n}– Выражение, предшествующее фигурным скобкам, встречается в значении параметра не болееnраз.
Вы также можете использовать скобки () для объединения элементов выражения в группу. Например, (к[ои]т){2} найдет вхождения коткот, киткит, киткот и коткит.
Глоссарий
ML-модель
Алгоритм, основанный на методах машинного обучения, задачей которого является анализ телеметрии объекта мониторинга и обнаружение аномалий.
Аномалия
Нештатное, не ожидаемое и не предусмотренное производственным процессом отклонение в поведении объекта мониторинга.
АСУ ТП
Аббревиатура от "автоматизированная система управления технологическим процессом". Группа технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях.
Ветка ML-модели
Определяет способ расчета предсказанного значения тега, персональной ошибки тега и ошибки MSE. Для сложной модели в расчете могут участвовать несколько элементов ML-модели, которые имеют различный состав тегов и параметров расчета ошибки.
Внимание
Специальная конфигурация процессора событий, которую требуется настроить для отслеживания событий и паттернов по отдельным подмножествам истории событий (направлениям внимания). Направление внимания определяется значением параметра событий, которое должно присутствовать во всех событиях этого направления. Процессор событий выявляет события и паттерны только по тем направлениям внимания, которые заданы в конфигурации внимания.
Градиентный бустинг
Техника машинного обучения для задач классификации и регрессии, которая строит модель предсказания в форме ансамбля предсказывающих моделей, обычно деревьев решений (XGBoost).
Инцидент
Обнаруженное детектором аномалий отклонение от ожидаемого (нормального) поведения объекта мониторинга.
Коннектор
Служба, которая обеспечивает обмен данными с внешними системами.
Монитор
Источник извещений о выявлении процессором событий паттернов, событий или значений параметров событий в соответствии с заданными критериями мониторинга. Критерии мониторинга определяют скользящий временной интервал, число последовательных обнаружений, фильтры на значения параметров событий, а также условие на обнаружение новых событий, паттернов или значений параметров событий.
Паттерн
Последовательность событий или других паттернов, на которые разбивается поток событий от объекта мониторинга.
Пресет
Набор тегов, сформированный пользователем в произвольном порядке или созданный автоматически при регистрации инцидента. Набор тегов в составе пользовательского пресета может соответствовать определенному аспекту технологического процесса или участку объекта мониторинга.
Равноинтервальная временная сетка (РИВС)
Бесконечная последовательность моментов времени, следующих друг за другом через равные интервалы, к которой приводится поток поступающих данных телеметрии.
Роль учетной записи
Совокупность прав доступа, определяющая набор доступных пользователю действий при подключении к веб-интерфейсу программы. В Kaspersky MLAD предусмотрены роли Администратор и Оператор.
Событие
Набор значений, описывающих изменение состояния объекта мониторинга по заранее заданному перечню параметров, с указанием момента времени, когда произошло изменение.
Тег
Переменная, которая содержит значение какого-либо параметра технологического процесса (например, температуры).
Уведомление
Сообщение с информацией об инциденте (инцидентах), которое программа отправляет через системы доставки сообщений (например, по электронной почте) на указанные адреса.
В начало
Информация о стороннем коде
Информация о стороннем коде содержится в файле legal_notices.txt, расположенном в папке установки программы (в подпапке legal).
В начало
Уведомления о товарных знаках
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Ubuntu является зарегистрированным товарным знаком Canonical Ltd.
Словесный знак Grafana и логотип Grafana являются зарегистрированными товарными знаками/знаками обслуживания или товарными знаками/знаками обслуживания Coding Instinct AB в США и других странах и используются с разрешения Coding Instinct. Мы не являемся аффилированной, поддерживаемой или спонсируемой со стороны Coding Instinct или сообщества Grafana компанией.
Docker и логотип Docker являются товарными знаками или зарегистрированными товарными знаками компании Docker, Inc. в США и/или других странах. Docker, Inc. и другие стороны могут также иметь права на товарные знаки, описанные другими терминами, используемыми в настоящем документе.
Google Chrome – товарный знак Google LLC.
TensorFlow и любые связанные с ним обозначения являются товарными знаками Google LLC.
Intel, Core и Xeon – товарные знаки Intel Corporation, зарегистрированные в Соединенных Штатах Америки и в других странах.
Microsoft и Excel являются товарными знаками группы компаний Microsoft.
Python – товарный знак или зарегистрированный товарный знак Python Software Foundation.
В начало