Администрирование Kaspersky MLAD

Этот раздел содержит информацию об установке, обновлении, настройке параметров и удалении программы. Также раздел содержит инструкции по управлению учетными записями пользователей и по управлению уведомлениями об инцидентах.

Установка программы

Этот раздел содержит варианты установки программы (обычный режим и режим тихой установки), а также пошаговое описание установки Kaspersky MLAD для каждого из вариантов.

Установку Kaspersky MLAD выполняет квалифицированный администратор – сотрудник Заказчика, имеющий право принимать Лицензионное соглашение к программе.

Чтобы установить Kaspersky MLAD из командной строки:

1. Распакуйте архив mlad-3.0.0-<номер сборки>.tar.xz, входящий в состав комплекта поставки:

   tar xf mlad-3.0.0-<номер сборки>.tar.xz

2. Перейдите в директорию mlad-release-3.0.0-<номер сборки>:

   cd mlad-release-3.0.0-<номер сборки>

3. Запустите скрипт установки setup.sh:

   sudo ./setup.sh

4. Следуйте указаниям мастера установки программы.

Чтобы установить Kaspersky MLAD в неинтерактивном режиме:

1. Распакуйте архив mlad-3.0.0-<номер сборки>.tar.xz, входящий в состав комплекта поставки:

   tar xf mlad-3.0.0-<номер сборки>.tar.xz

2. Перейдите в директорию mlad-release-3.0.0-<номер сборки>:

   cd mlad-release-3.0.0-<номер сборки>

3. Запустите скрипт установки setup.sh со следующими ключами:

   sudo ./setup.sh -q -e accept

   где:

   -q означает, что программа будет установлена в неинтерактивном режиме;

   -e accept означает, что вы принимаете условия Лицензионного соглашения. Согласие с условиями Лицензионного соглашения является обязательным условием для установки программы. Если вы не указываете ключ -e accept, установка программы будет прервана.

   Прочитать текст Лицензионного соглашения можно в текстовых файлах license_ru.txt и license_en.txt, которые расположены в директории legal.

В результате программа будет установлена на компьютер.

Обновление программы и откат к предыдущей установленной версии

Этот раздел содержит пошаговое описание обновления Kaspersky MLAD, а также описание отката программы к предыдущей установленной версии.

Обновление и откат Kaspersky MLAD возможны только для версий программы не ниже 3.0.0-001. При обновлении Kaspersky MLAD будут сохранены все данные, загруженные, полученные и обработанные предыдущей версией Kaspersky MLAD: конфигурации тегов, пресеты, ML-модели и параметры Kaspersky MLAD.

Обновление Kaspersky MLAD выполняет квалифицированный администратор – сотрудник Заказчика, имеющий право принимать Лицензионное соглашение к программе.

Чтобы обновить Kaspersky MLAD из командной строки:

1. Распакуйте архив mlad-3.0.0-<номер новой сборки>.tar.xz, входящий в состав комплекта поставки:

   tar xf mlad-3.0.0-<номер новой сборки>.tar.xz

2. Перейдите в директорию, в которой вы распаковали Kaspersky MLAD:

   cd mlad-3.0.0-<номер новой сборки>

3. Запустите скрипт обновления программы upgrade.sh:

   sudo ./upgrade.sh

   Вы можете запустить скрипт upgrade.sh с ключом -h, если требуется вызвать помощника в интерфейсе обновления Kaspersky MLAD:

   sudo ./upgrade.sh -h

4. Следуйте указаниям мастера обновления программы.

В результате Kaspersky MLAD будет обновлен до версии, указанной в номере сборки. Все файлы программы будут расположены в директории, в которой установлен Kaspersky MLAD (по умолчанию – mlad-release-3.0.0-<номер установочной сборки>). Там же будет создана папка с именем upgrade_backup-3.0.0-<номер предыдущей сборки>, которая содержит резервную копию предыдущей версии Kaspersky MLAD. Не рекомендуется перемещать папку upgrade_backup-3.0.0-<номер предыдущей сборки> в другую директорию.

Чтобы откатить Kaspersky MLAD к предыдущей установленной версии:

1. Перейдите в директорию, в которой находится резервная копия Kaspersky MLAD:

   cd upgrade_backup-3.0.0-<номер предыдущей сборки>

2. Запустите скрипт обновления программы upgrade.sh с ключом -r:

   sudo ./upgrade.sh -r

3. Следуйте указаниям мастера обновления программы.

   В результате выполнения отката Kaspersky MLAD к предыдущей установленной версии будут потеряны все данные, полученные и обработанные Kaspersky MLAD с момента обновления программы до момента отката к предыдущей версии. Рекомендуется проверить наличие полной резервной копии всех данных Kaspersky MLAD.

В результате будет выполнен откат Kaspersky MLAD к предыдущей установленной версии.

Подготовка к работе

Перед началом работы с Kaspersky MLAD требуется убедиться, что выполнены следующие действия:

1. Источник данных телеметрии включен и настроен на отправку данных в Kaspersky MLAD.
2. Сеть передачи данных подготовлена для доставки данных телеметрии от источника данных к серверу Kaspersky MLAD, сетевое оборудование надлежащим образом настроено, передача данных разрешена.
3. Подготовлены конфигурационные параметры и/или файлы того коннектора, который будет использован в Kaspersky MLAD для приема данных телеметрии или событий от внешних систем. Коннектор должен быть настроен и активирован после запуска Kaspersky MLAD.
4. Описания тегов принимаемой телеметрии и (опционально) их пресетов подготовлены для импорта в Kaspersky MLAD в виде файла формата JSON. Файл создается специалистами "Лаборатории Касперского" или сертифицированным интегратором.
5. ML-модель или несколько ML-моделей созданы, обучены на исторических данных телеметрии и подготовлены для импорта в Kaspersky MLAD в виде файлов формата TAR. Файлы создаются специалистами "Лаборатории Касперского" или сертифицированным интегратором.
6. Администратору Kaspersky MLAD переданы коды для активации ML-моделей. Коды для активации ML-моделей хранятся в надежном хранилище.

Запуск и остановка Kaspersky MLAD

Kaspersky MLAD запускается автоматически сразу после установки.

Чтобы запустить остановленную программу:

1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – mlad-release-3.0.0-<номер установочной сборки>).
2. В командной строке выполните команду:

   ./mlad-start.sh

Kaspersky MLAD будет запущен.

Чтобы остановить программу:

1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – mlad-release-3.0.0-<номер установочной сборки>).
2. В командной стоке выполните команду:

   ./mlad-stop.sh

Kaspersky MLAD будет остановлен.

Обновление сертификатов Kaspersky MLAD

В Kaspersky MLAD используются следующие сертификаты:

• сертификаты для подключения к Kaspersky MLAD через веб-интерфейс;
• сертификаты для подключения коннекторов и служб.

Рекомендуется обновлять сертификаты в следующих случаях:

• текущие сертификаты скомпрометированы;
• закончился срок действия сертификатов;
• требуется выполнить обновление сертификатов в соответствии с требованиями информационной безопасности на предприятии.

Обновление сертификата для подключения к Kaspersky MLAD через веб-интерфейс

По умолчанию для подключения к веб-интерфейсу Kaspersky MLAD использует самоподписанный сертификат, который автоматически генерируется на этапе установки программы. При использовании самоподписанного сертификата для подключения к веб-интерфейсу Kaspersky MLAD браузер будет отображать предупреждение о том, что сертификат безопасности или устанавливаемое соединение не является доверенным.

Если требуется использовать доверенные сертификаты для подключения к веб-интерфейсу Kaspersky MLAD, вы можете заменить самоподписанный сертификат сертификатом, полученным от аккредитованного центра сертификации, или пользовательским сертификатом, соответствующим стандартам безопасности вашей организации.

По умолчанию Kaspersky MLAD использует директорию mlad-3.0.0-<номер установочной сборки>/ssl/nginx/ для хранения сертификатов, обеспечивающих подключение к веб-интерфейсу.

Обновление сертификата для подключения к Kaspersky MLAD через веб-интерфейс выполняет квалифицированный администратор – сотрудник Заказчика, имеющий право принимать Лицензионное соглашение к программе.

Чтобы обновить сертификаты для подключения к Kaspersky MLAD через веб-интерфейс:

1. Получите доверенный сертификат и ключ к этому сертификату для подключения к веб-интерфейсу Kaspersky MLAD.

   Сертификат требуется получить на IP-адрес и доменное имя сервера, на котором установлен Kaspersky MLAD.

2. Перейдите в директорию, в которой находятся доверенный сертификат и ключ к этому сертификату.
3. В командной строке выполните следующие команды:

   sudo chown root:root <новый сертификат.crt> <ключ к новому сертификату.key>
sudo chmod 640 <новый сертификат.crt> <ключ к новому сертификату.key>
sudo cp <новый сертификат.crt> mlad-3.0.0-<номер установочной сборки>/ssl/nginx/mlad_nginx.crt
sudo cp <ключ к новому сертификату.key> mlad-3.0.0-<номер установочной сборки>/ssl/nginx/mlad_nginx.key

   Новый сертификат и его ключ будут сохранены в директории mlad-3.0.0-<номер установочной сборки>/ssl/nginx/ в виде файлов mlad_nginx.crt и mlad_nginx.key соответственно.

4. Перезапустите Kaspersky MLAD, выполнив в командной строке следующие команды:

   mlad-3.0.0-<номер установочной сборки>/mlad-stop.sh
mlad-3.0.0-<номер установочной сборки>/mlad-start.sh

После перезапуска Kaspersky MLAD будет использовать новый сертификат для подключения к веб-интерфейсу.

Обновление сертификата для подключения коннекторов и служб

В Kaspersky MLAD вы можете использовать защищенное соединение для коннекторов MQTT Connector, AMQP Connector и WebSocket Connector, а также службы Mail Notifier. Вы можете обновлять сертификаты для подключения этих коннекторов и службы Mail Notifier по защищенному соединению в разделе Системные параметры в меню администратора.

Сертификат для подключения KICS-коннектора содержится в файле свертки, который вы можете обновить в Kaspersky Industrial CyberSecurity for Networks. Обновленный файл свертки вы можете загрузить в Kaspersky MLAD при настройке коннектора KICS Connector. Подробную информацию о создании файла свертки вы можете получить в справке Kaspersky Industrial CyberSecurity for Networks.

Kaspersky Machine Learning for Anomaly Detection совместим с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше.

Первый запуск Kaspersky MLAD

В этом разделе приводится последовательность действий, которые требуется выполнить администратору при первом запуске Kaspersky MLAD, чтобы настроить работу с программой.

Kaspersky MLAD запускается автоматически сразу после установки.

Сценарий первого запуска Kaspersky MLAD состоит из следующих этапов:

1. Запуск Kaspersky MLAD

   Запустите Kaspersky MLAD. Будут запущены следующие службы, необходимые для работы Kaspersky MLAD:

   • API Server;
   • Web Server;
   • Message Broker;
   • Keeper;
   • Time Series Database;
   • Database;
   • Logger.
2. Подключение к веб-интерфейсу Kaspersky MLAD

   Откройте веб-интерфейс программы в поддерживаемом браузере и введите логин и пароль, созданные по умолчанию. Измените пароль для своей учетной записи. Для безопасного подключения к веб-интерфейсу Kaspersky MLAD установите доверенный сертификат.

3. Настройка служб

   В разделе Настройка → Системные параметры настройте службы, которые требуется использовать для вашего объекта мониторинга. В разделе Службы проверьте статусы служб и при необходимости запустите их. Например, для корректного обнаружения аномалий должна быть запущена служба Anomaly Detector.

4. Загрузка конфигурации тегов в Kaspersky MLAD и создание пресетов

   Конфигурация тегов создается в процессе выполнения работ по внедрению программы и построению ML-модели специалистом "Лаборатории Касперского" или интегратором. Конфигурация тегов описывается в файле в формате JSON. Пример описания конфигурации приведен в Приложении.

   Для дальнейшей работы загрузите конфигурацию тегов в Kaspersky MLAD. Если конфигурация тегов не содержит пресетов, создайте новые пресеты из тегов.

5. Загрузка и активация ML-модели

   ML-модель не входит в комплект поставки программы и предоставляется в рамках Услуги построения модели и внедрения Kaspersky MLAD.

   Загрузите и активируйте ML-модель. Для активации ML-модели требуется ввести код для активации модели.

6. Настройка коннекторов

   Для работы с данными выполните настройку коннекторов, используемых на вашем объекте мониторинга. Вы можете настроить следующие коннекторы:

   • KICS Connector;
   • OPC UA Connector;
   • CEF Connector;
   • HTTP Connector;
   • MQTT Connector;
   • AMQP Connector;
   • WebSocket Connector.
7. Подключение к источнику данных

   Когда вышеперечисленные коннекторы настроены, запустите коннекторы, используемые для вашего объекта мониторинга. Перейдите в раздел Информационная панель и убедитесь, что данные поступают в Kaspersky MLAD в онлайн-режиме.

8. Настройка конфигурации внимания

   Для работы с событиями и паттернами настройте параметры конфигурации внимания и отображение параметров событий. Служба Event Processor будет выявлять события и паттерны только по тем направлениям внимания, которые задаются в конфигурации внимания.

9. Создание учетных записей для пользователей

   Создайте учетные записи для пользователей программы и назначьте им необходимые роли. Настройте уведомления об инцидентах для пользователей.

После выполнения этих действий, вы получите следующие результаты:

• Kaspersky Machine Learning for Anomaly Detection подготовлен к работе, данные поступают и обрабатываются программой.
• Пользователи могут приступать к работе с Kaspersky MLAD, используя веб-интерфейс.

Настройка параметров Kaspersky MLAD

Этот раздел содержит инструкции по настройке параметров Kaspersky MLAD.

Настройка основных параметров Kaspersky MLAD

Kaspersky MLAD позволяет указать название объекта мониторинга, веб-адрес и IP-адрес для подключения пользователей к веб-интерфейсу программы, а также периодичность получения новых данных от объекта мониторинга. Название объекта мониторинга будет отображаться в каждом разделе веб-интерфейса Kaspersky MLAD.

Работы по настройке основных параметров Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить основные параметры Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры → Основные.

   Справа отобразится список параметров.

2. В поле Имя объекта мониторинга укажите название объекта мониторинга.
3. В поле Веб-адрес программы укажите веб-адрес программы.
4. В поле IP-адрес для подключения к программе укажите IP-адрес программы.
5. В поле Интервал получения данных из службы Message Broker (мс) укажите интервал обновления данных телеметрии в веб-интерфейсе программы.

   Чем больше указанное значение параметра, тем реже происходит обновление данных.

6. В поле Интервал получения статистических данных об инцидентах из базы данных (мс) укажите интервал обновления в веб-интерфейсе программы данных о зарегистрированных программой инцидентах.
7. В поле Количество попыток авторизации укажите количество неудачных попыток авторизации, при достижении которого Kaspersky MLAD заблокирует учетную запись пользователя.
8. В поле Период блокировки пользователя (сек.) укажите период в секундах, в течение которого учетная запись пользователя будет заблокирована после достижения заданного количества неудачных попыток авторизации.
9. Нажмите на кнопку Сохранить.

Настройка службы Anomaly Detector

В Kaspersky MLAD ML-модель может содержать следующие детекторы:

• Limit Detector – обнаруживает аномалии по факту выхода значения тега за минимальное или максимальное значение.
• Forecaster – предсказывает поведение объекта в настоящем на основе данных о его поведении в ближайшем прошлом.
• XGBoost – c определенной вероятностью обнаруживает аномалии в данных объекта мониторинга на основе выученной XGBoost-классификатором выборке данных для рассматриваемого отрезка времени.
• Rule Detector – строит прогнозы значений, принимаемых тегами при штатном функционировании объекта мониторинга и регистрирует инцидент при срабатывании одного или нескольких правил.

Вы можете настроить процесс обнаружения аномалий с учетом особенностей вашего объекта мониторинга, включив или выключив нужные детекторы в параметрах службы Anomaly Detector.

Работы по настройке службы Anomaly Detector выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры службы Anomaly Detector Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры → Anomaly Detector.

   Справа отобразится список параметров.

2. С помощью переключателя Использовать детектор Limit Detector включите или выключите использование детектора Limit Detector.
3. С помощь переключателя Использовать детектор Forecaster включите или выключите использование детектора Forecaster.
4. С помощью переключателя Использовать детектор XGBoost включите или выключите использование детектора XGBoost.
5. С помощью переключателя Использовать детектор Rule Detector включите или выключите использование детектора Rule Detector.
6. С помощью переключателя Пропускать разрывы в данных включите или выключите функцию пропуска разрывов в поступающем потоке данных.
7. В поле Максимальное количество запрашиваемых записей из службы Message Broker введите количество записей, которое требуется запрашивать от службы Message Broker для последующей обработки в Anomaly Detector.
8. В поле Количество сообщений, отправляемых в одном блоке в службу Message Broker введите количество инцидентов, которое требуется отправлять в службу Message Broker за один раз.
9. В поле Количество одновременно запущенных моделей введите максимальное количество ML-моделей, которые могут анализировать данные телеметрии одновременно.

   Для максимальной производительности Kaspersky MLAD количество одновременно работающих ML-моделей не должно превышать 80% от количества ядер сервера, на котором установлен Kaspersky MLAD.

10. Нажмите на кнопку Сохранить.

Настройка службы Keeper

Kaspersky MLAD использует службу Keeper для маршрутизации данных телеметрии, которые подлежат сохранению в базе данных. Вы можете настроить параметры, определяющие скорость получения данных от коннекторов и внешних источников данных, а также объем сохранения этих данных в базе Kaspersky MLAD.

Работы по настройке параметров маршрутизации данных Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры маршрутизации данных Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры → Keeper.

   Справа отобразится список параметров.

2. Выполните одно из следующих действий:
   • Если требуется сохранять в базе данных как известные, так и неизвестные программе теги, поступающие от внешних источников, включите переключатель Сохранять все теги.
   • Если требуется сохранять только известные программе теги, выключите переключатель Сохранять все теги.
3. В поле Время ожидания получения тегов (мс) введите максимальное время ожидания (в миллисекундах) для получения значений тегов.
4. В поле Время ожидания получения инцидентов (мс) введите максимальное время ожидания (в миллисекундах) для получения инцидентов.
5. В поле Время ожидания получения метрик (мс) введите максимальное время ожидания (в миллисекундах) для получения метрик.

6. Нажмите на кнопку Сохранить.

Настройка службы Mail Notifier

Kaspersky MLAD использует службу Mail Notifier для уведомления пользователей о регистрации программой инцидентов.

Работы по настройке службы Mail Notifier выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Настройка службы Mail Notifier не является обязательной и выполняется, если в сети объекта мониторинга настроен SMTP-сервер.

Чтобы настроить службу Mail Notifier:

1. В меню администратора выберите раздел Системные параметры → Mail Notifier.

   Справа отобразится список параметров.

2. Если требуется, с помощью переключателя Использовать SSL-соединение включите использование защищенного SSL-соединения.

   По умолчанию использование защищенного SSL-соединения выключено.

3. В поле Адрес SMTP-сервера укажите IP-адрес и порт SMTP-сервера.
4. В поле Имя пользователя для SMTP-сервера укажите логин для SMTP-сервера.
5. В поле Пароль для SMTP-сервера укажите пароль для SMTP-сервера.
6. Если вы используете защищенное SSL-соединение, выполните следующие действия:
   • В поле Сертификат SMTP-сервера загрузите сертификат удостоверяющего центра.
   • В поле Ключ к сертификату SMTP-сервера загрузите ключ к сертификату удостоверяющего центра.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить () в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле.

7. Нажмите на кнопку Сохранить.

Настройка службы Similar Anomaly

Kaspersky MLAD использует службу Similar Anomaly для выявления схожих инцидентов и объединения их в группы. В группах вы можете просматривать похожие инциденты, которые были зарегистрированы в разное время.

Работы по настройке службы Similar Anomaly выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры службы Similar Anomaly:

1. В меню администратора выберите раздел Системные параметры → Similar Anomaly.

   Справа отобразится список параметров службы.

2. В поле Минимальное количество инцидентов для группы введите минимальное количество похожих инцидентов для формирования группы.
3. В поле Максимальное количество инцидентов для группы введите максимальное количество инцидентов, которое может входить в одну группу.

   Если вы хотите, чтобы все инциденты формировались в одну группу, оставьте это поле пустым.

4. В поле Максимальное расстояние между схожими инцидентами введите максимальное расстояние, на которое могут отстоять друг от друга схожие инцидентами.

   Вы можете указать значение в диапазоне от 0 до 1.

5. Нажмите на кнопку Сохранить.

Настройка службы Stream Processor

Служба Stream Processor собирает данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени (входной поток), и приводит их к РИВС (выходной поток). На основе накопленных данных служба Stream Processor определяет значения тегов в выходном потоке данных. После преобразования данных в выходной поток служба Stream Processor передает данные на обработку в ML-модель.

При преобразовании поступающих данных телеметрии служба Stream Processor учитывает возможные потери данных (например, в случае временного отключения сети объекта мониторинга) и обрабатывает наблюдения, поступившие в Kaspersky MLAD слишком рано или поздно. В таких случаях служба Stream Processor формирует инциденты и/или передает значения тегов по умолчанию в выходной поток данных.

Служба Stream Processor также может вычислять производные теги на основе поступающих данных телеметрии (например, для вычисления скользящего среднего или среднего значения группы тегов).

Работы по настройке службы Stream Processor выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры службы Stream Processor:

1. В меню администратора выберите раздел Системные параметры → Stream Processor.
2. В поле Периодичность равноинтервальной последовательности (сек.) укажите период в секундах, с которым служба Stream Processor будет обрабатывать поступающие данные телеметрии.
3. В поле Конфигурационный файл добавьте файл, который содержит параметры конфигурации для службы Stream Processor.

   Если требуется удалить файл конфигурации для службы Stream Processor, нажмите на значок Очистить (). Если требуется сохранить файл конфигурации на компьютере, нажмите на значок Загрузить ().

4. Нажмите на кнопку Сохранить.

Настройка коннектора HTTP Connector

Kaspersky MLAD использует коннектор HTTP Connector для получения данных из CSV-файлов при регламентной загрузке данных методом POST.

Работы по настройке коннектора HTTP Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить работу коннектора HTTP Connector:

1. В меню администратора выберите раздел Системные параметры → HTTP Connector.

   Справа отобразится список параметров.

2. С помощью переключателя Записывать данные в службу Message Broker включите функцию записи данных в службу Message Broker.
3. Если требуется, с помощью переключателя Сохранять полученный файл включите функцию сохранения полученных CSV-файлов.
4. В поле Размер записываемого блока (количество тегов) укажите количество тегов, которое единовременно записывается в Message Broker.
5. В поле Максимальный размер загружаемого файла (MБ) укажите максимальный размер файла (в мегабайтах), передаваемого в HTTP Connector.

   При попытке загрузить CSV-файл большего размера файл не будет передан в HTTP Connector.

   Если указано значение 0, то максимальный размер файла не ограничен.

6. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные из CSV-файлов с помощью коннектора HTTP Connector.

Пример отправки CSV-файла в HTTP Connector через cURL методом POST на порт 4999 сервера Kaspersky MLAD:

Коннектор HTTP Connector принимает CSV-файлы со следующими полями:

timestamp;tag_name;value

где:

• timestamp – временная метка в формате %Y-%m-%dT%H:%M:%S.
• tag_name – имя тега.
• value – значение тега.

  Если значение тега содержит дробную часть, используйте точку при отделении целой и дробной частей.

Настройка коннектора MQTT Connector

Kaspersky MLAD использует MQTT Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).

Работы по настройке коннектора MQTT Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить работу коннектора MQTT Connector:

1. В меню администратора выберите раздел Системные параметры → MQTT Connector.

   Справа отобразится список параметров.

2. Если требуется, с помощью переключателя Использовать SSL-соединение включите использование защищенного SSL-соединения.

   По умолчанию использование защищенного SSL-соединения выключено.

3. В поле MQTT-брокер (адрес:порт) укажите имя хоста и порт внешнего MQTT-брокера, с которым будет взаимодействовать MQTT Connector.

   По умолчанию этот параметр имеет значение mqtt_broker:1883.

4. В поле Имя пользователя для MQTT-соединения укажите имя пользователя.
5. В поле Пароль для MQTT-соединения укажите пароль пользователя.
6. Если вы включили использование защищенного SSL-соединения, в поле Сертификат CA добавьте корневой сертификат для MQTT-брокера.

   Если требуется удалить файл сертификата, нажмите на значок Очистить (). Если требуется сохранить файл сертификата на компьютере, нажмите на значок Загрузить ().

7. Если требуется использовать клиентские сертификаты для защищенного SSL-соединения, выполните следующие действия:
   • В поле Сертификат клиента добавьте сертификат клиентского приложения MQTT.
   • В поле Ключ к сертификату клиента добавьте ключ к сертификату клиентского приложения MQTT.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить () в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле.

8. В поле Список подписок MQTT для получения тегов введите имя списка подписок MQTT, от которых MQTT Connector будет получать значения тегов.

   По умолчанию этот параметр имеет значение tags.

9. В поле Топик MQTT для публикации сообщений укажите имя топика, в котором MQTT Connector будет публиковать сообщения о регистрации инцидента.

   Если значение этого параметра не установлено, то отправка сообщений не производится.

   По умолчанию для этого параметра значение не установлено.

10. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться оповещения об инцидентах.

    Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

    По умолчанию этот параметр имеет значение JSONBatch.

    Если вам не подходит ни один из форматов данных и оповещений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

11. Если вы выбрали формат данных Topic, то в поле Конфигурационный файл коннектора добавьте конфигурационный файл, содержащий параметры настройки коннектора для этого формата данных.

    Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить ().

12. Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.

    По умолчанию масштабирование полученных данных выключено.

13. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу MQTT.

Настройка коннектора AMQP Connector

Kaspersky MLAD использует AMQP Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).

Работы по настройке коннектора AMQP Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить работу коннектора AMQP Connector:

1. В меню администратора выберите раздел Системные параметры → AMQP Connector.

   Справа отобразится список параметров.

2. Если требуется, с помощью переключателя Использовать SSL-соединение включите использование защищенного SSL-соединения.

   По умолчанию использование защищенного SSL-соединения выключено.

3. В поле AMQP-брокер (адрес:порт) укажите имя хоста и порт внешнего AMQP-брокера, с которым будет взаимодействовать AMQP Connector.

   По умолчанию этот параметр имеет значение rabbitmq:5672.

4. В поле Имя пользователя для AMQP-соединения укажите имя пользователя.
5. В поле Пароль для AMQP-соединения укажите пароль пользователя.
6. Если вы включили использование защищенного SSL-соединения, в поле Сертификат CA добавьте корневой сертификат для AMQP-брокера.

   Если требуется удалить файл сертификата, нажмите на значок Очистить (). Если требуется сохранить файл сертификата на компьютере, нажмите на значок Загрузить ().

7. Если требуется использовать клиентские сертификаты для защищенного SSL-соединения, выполните следующие действия:
   • В поле Сертификат клиента добавьте сертификат клиентского приложения AMQP.
   • В поле Ключ к сертификату клиента добавьте ключ к сертификату клиентского приложения AMQP.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить () в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле.

8. В поле Виртуальный узел AMQP укажите виртуальный узел для установки соединения между коннектором AMQP Connector и внешним AMQP-брокером.

   По умолчанию этот параметр имеет значение /.

9. В поле Имя точки обмена (exchange) AMQP для получения тегов укажите имя точки обмена для получения тегов от внешнего AMQP-брокера.

   Если значение для этого параметра не установлено, то получение тегов через AMQP Connector не происходит.

   По умолчанию для этого параметра значение не установлено.

10. В поле Список подписок AMQP для получения тегов укажите имя списка подписок, от которых AMQP Connector будет получать значения тегов.

    По умолчанию этот параметр имеет значение #.

11. В поле Очередь AMQP для получения тегов укажите имя очереди для AMQP коннектора. Поле не является обязательным для заполнения.
12. В поле Имя точки обмена (exchange) AMQP для публикации сообщений укажите имя точки обмена для отправки сообщений о возникновении событий.

    Если значение для этого параметра не установлено, то отправка сообщений не происходит. Вы можете указать то же имя, которое указали в пункте 8 этой инструкции.

    По умолчанию для этого параметра значение не установлено.

13. В поле Топик AMQP для публикации сообщений укажите имя топика, в котором AMQP Connector будет публиковать сообщения о регистрации инцидента.

    По умолчанию этот параметр имеет значение alert.

14. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться оповещения об инцидентах.

    Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

    По умолчанию этот параметр имеет значение JSONBatch.

    Если вам не подходит ни один из форматов данных и оповещений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

15. Если вы выбрали формат данных Topic, то в поле Конфигурационный файл коннектора добавьте конфигурационный файл, содержащий параметры настройки коннектора для этого формата данных.

    Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить ().

16. Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.

    По умолчанию масштабирование полученных данных выключено.

17. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу AMQP.

Настройка коннектора OPC UA Connector

Kaspersky MLAD использует OPC UA Connector для получения данных по протоколу, который описан спецификацией OPC Unified Architecture (унифицированная архитектура OPC).

Работы по настройке коннектора OPC UA Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить работу коннектора OPC UA Connector:

1. В меню администратора выберите раздел Системные параметры → OPC UA Connector.

   Справа отобразится список параметров.

2. В поле Точка подключения укажите адрес подключения. Например, opc.tcp://10.65.48.40:8001/freeopcua/server/.
3. В поле Конфигурационный файл добавьте файл, содержащий параметры для настройки OPC UA Connector.

   Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить ().

4. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные по протоколу, который описан спецификацией OPC Unified Architecture.

Настройка коннектора KICS Connector

Kaspersky MLAD использует коннектор KICS Connector для получения данных от Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше и отправки обратно сообщений о регистрации инцидентов.

Предварительно в Kaspersky Industrial CyberSecurity for Networks требуется создать и добавить коннектор для интеграции с Kaspersky MLAD. Подробную информацию о создании и добавлении коннектора вы можете получить в разделе Добавление коннектора в справке Kaspersky Industrial CyberSecurity for Networks.

Работы по интеграции с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить коннектор KICS Connector:

1. В меню администратора выберите раздел Системные параметры → KICS Connector.

   Справа отобразится список параметров.

2. В поле Файл свертки для коннектора KICS Connector (zip) добавьте файл, содержащий параметры настройки взаимодействия Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks.

   Подробную информацию о создании файла свертки вы можете получить в справке Kaspersky Industrial CyberSecurity for Networks. Созданный файл свертки требуется сохранить на компьютере, на котором установлен Kaspersky MLAD.

   Если требуется удалить файл свертки, в поле Файл свертки для коннектора KICS Connector (zip) нажмите на значок Очистить (). Если требуется сохранить файл свертки на компьютере, нажмите на значок Загрузить ().

3. В поле Пароль для коннектора KICS Connector введите пароль, который вы указали при добавлении коннектора в Kaspersky Industrial CyberSecurity for Networks.
4. Если требуется отправлять в Kaspersky Industrial CyberSecurity for Networks сообщения о регистрации инцидентов, включите переключатель Отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks.
5. В поле Частота семплирования тегов (Гц) укажите частоту (в герцах), с которой требуется получать значения тегов из Kaspersky Industrial CyberSecurity for Networks.

   Укажите в этом поле значение 0, если не требуется использовать семплирование. Семплирование (англ. data sampling) – метод корректировки обучающей выборки с целью балансировки распределения классов в исходном наборе данных.

6. Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.

   По умолчанию масштабирование полученных данных выключено.

7. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные из Kaspersky Industrial CyberSecurity for Networks и отправлять обратно сообщения о регистрации инцидентов.

Настройка коннектора CEF Connector

Kaspersky MLAD использует коннектор CEF Connector для получения данных от внешних источников событий (промышленного интернета вещей, сетевых устройств и приложений) и отправки обратно сообщений о регистрации инцидентов.

Для получения событий от внешних источников с помощью коннектора CEF Connector требуется настроить службу Event Processor.
Перед настройкой параметров коннектора CEF Connector в веб-интерфейсе Kaspersky MLAD требуется указать в файле .env IP-адрес и номер порта, по которому будет осуществляться подключение к внешнему источнику событий при получении событий.

Работы по настройке коннектора CEF Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить коннектор CEF Connector:

1. В меню администратора выберите раздел Системные параметры → CEF Connector.

   Справа отобразится список параметров.

2. Если требуется, с помощью переключателя Получать события для службы Event Processor включите использование коннектора CEF Connector для получения событий из внешней системы.
3. Если требуется отправлять во внешнюю систему сообщения об инцидентах, зарегистрированных службой Anomaly Detector, включите переключатель Отправлять зарегистрированные инциденты в SIEM-систему.
4. Если требуется отправлять во внешнюю систему сообщения о событиях, зарегистрированных службой Event Processor, включите переключатель Отправлять зарегистрированные события в SIEM-систему.
5. В поле IP-адрес для отправки событий и инцидентов в SIEM-систему укажите IP-адрес для подключения к внешней системе и отправке событий, обработанных службой Event Processor, и инцидентов, зарегистрированных службой Anomaly Detector.
6. В поле Порт для отправки событий и инцидентов в SIEM-систему укажите номер порта для подключения к внешней системе и отправке событий, обработанных службой Event Processor, и инцидентов, зарегистрированных службой Anomaly Detector.
7. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные от внешних источников событий (промышленного интернета вещей, сетевых устройств и приложений) и отправлять обратно сообщения о регистрации событий и инцидентов.

Настройка коннектора WebSocket Connector

Kaspersky MLAD использует WebSocket Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу WebSocket.

Работы по настройке коннектора WebSocket Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор. Описанная в этом разделе инструкция приведена для ознакомительных целей.

Чтобы настроить коннектор WebSocket Connector:

1. В меню администратора выберите раздел Системные параметры → WebSocket Connector.

   Справа отобразится список параметров.

2. В поле Веб-адрес WebSocket-сервера укажите веб-адрес WebSocket-сервера, с которым будет взаимодействовать WebSocket Connector.

   Укажите веб-адрес в формате WebSocket-протокол://адрес:порт/.

3. Если требуется использовать защищенное соединение для подключения к WebSocket-серверу, в поле Сертификат CA добавьте корневой сертификат для WebSocket-сервера.

   Если требуется удалить файл сертификата, нажмите на значок Очистить (). Если требуется сохранить файл сертификата на компьютере, нажмите на значок Загрузить ().

4. Если требуется использовать клиентские сертификаты для защищенного подключения к WebSocket-серверу, выполните следующие действия:
   • В поле Сертификат клиента добавьте сертификат клиентского приложения WebSocket.
   • В поле Ключ к сертификату клиента добавьте ключ к сертификату клиентского приложения WebSocket.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить () в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле.

5. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться оповещения об инцидентах.

   Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

   По умолчанию этот параметр имеет значение JSONBatch.

   Если вам не подходит ни один из форматов данных и оповещений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

6. Если вы выбрали формат данных Topic, то в поле Конфигурационный файл коннектора добавьте конфигурационный файл, содержащий параметры настройки коннектора для этого формата данных.

   Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить ().

7. Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.

   По умолчанию масштабирование полученных данных выключено.

8. Если требуется отправлять оповещения о зарегистрированных в Kaspersky MLAD инцидентах на WebSocket-сервер, включите переключатель Отправлять инциденты.
9. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу WebSocket.

Настройка службы Event Processor

Kaspersky MLAD использует службу Event Processor для выявления паттернов и аномальных последовательностей событий и паттернов. Вы можете настроить параметры службы Event Processor.

В случае перезапуска Kaspersky MLAD повторно задавать параметры службы Event Processor не нужно. Kaspersky MLAD восстанавливает состояние службы Event Processor из базы данных или файла в битовом формате. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления может занимать несколько минут. До момента восстановления состояния службы Event Processor в разделе Процессор событий не будут выполняться запросы и обновляться данные, а также в это время не будут обрабатываться данные, поступающие от CEF-коннектора. Эти данные временно сохраняются в очереди сообщений системы и обрабатываются после восстановления состояния службы Event Processor.

Для работы службы Event Processor может потребоваться большой объем оперативной памяти на сервере, на котором установлен Kaspersky MLAD. Объем используемой оперативной памяти зависит от интенсивности потока событий и объема обрабатываемой истории событий. Также на объем используемой оперативной памяти влияет правильность настройки параметров службы Event Processor.

Работы по настройке службы Event Processor выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры службы Event Processor:

1. В меню администратора выберите раздел Системные параметры → Event Processor.

   Справа отобразится список параметров службы.

2. В блоке Основной режим выполните следующие действия:
   1. В поле Конфигурационный файл процессора событий добавьте файл, который содержит параметры конфигурации для службы Event Processor.

      Файл конфигурации создается сотрудником "Лаборатории Касперского" или сертифицированным интегратором.

      Если требуется удалить файл конфигурации для службы Event Processor, нажмите на значок Очистить (). Если требуется сохранить файл конфигурации на компьютере, нажмите на значок Загрузить ().

      Изменение файла конфигурации службы Event Processor приводит к полной потере данных службы.

   2. Если требуется обрабатывать инциденты, зарегистрированные службой Anomaly Detector, включите переключатель Обрабатывать инциденты как события.
   3. В поле Максимальное количество слоев сети укажите количество слоев нейросемантической сети, которое будет использоваться.

      По умолчанию количество слоев сети для событийных данных, имеющих в основе определенную структуру, составляет десять слоев. В большинстве случаев нейросемантической сети в основе процессора событий достаточно десяти слоев для иерархического представления данных. Для выявления протяженных по времени паттернов периодических процессов может потребоваться увеличение значения параметра Максимальное количество слоев сети.

   4. В поле Коэффициент, определяющий допустимую дисперсию длительности паттерна укажите коэффициент, с помощью которого будет определяться допустимая дисперсия интервалов между элементами в одном паттерне.

      Если фактическая величина дисперсии меньше либо равна указанной, то выявленные последовательности событий будут относиться к одному паттерну.

   5. В поле Интервал получения событий эпизода (сек.) укажите интервал времени в секундах, за который служба Event Processor формирует эпизод из поступающих на обработку событий.

      Если скорость получения событий составляет около 1000 событий в секунду, то рекомендуется указывать такое значение периода получения новых событий, чтобы за указанный период поступало количество событий, близкое к значению, которое указано в поле Размер эпизода в основном режиме (количество событий). Если скорость получения событий гораздо ниже, то период получения новых событий следует выставлять, исходя из баланса операционной актуальности обработки событий.

   6. В поле Размер эпизода в основном режиме (количество событий) укажите максимальное количество событий в эпизоде для последующей обработки службой Event Processor.

      Если скорость получения событий составляет около 1000 событий в секунду, то в этом поле рекомендуется указывать значение равное 4096.

   7. В раскрывающемся списке Способ сохранения состояния службы Event Processor выберите один из следующих способов сохранения состояния службы Event Processor:
      • Таблица базы данных – Kaspersky MLAD сохраняет результат обработки каждого эпизода в таблице базы данных.
      • Файл в битовом формате – Kaspersky MLAD сохраняет состояние службы Event Processor с частотой, заданной в поле Периодичность создания резервных копий компонента. Программа сохраняет состояние службы в файле, указанном в поле Файл, содержащий резервную копию состояния компонента.

        Сохранение состояния службы Event Processor в файл в битовом формате рекомендуется использовать для отладки и настройки параметров программы сотрудниками "Лаборатории Касперского" в процессе выполнения работ по внедрению Kaspersky MLAD.

      По умолчанию служба Event Processor сохраняет результаты обработки потока событий в таблице базы данных.

      Изменение способа сохранения состояния службы Event Processor приводит к полной потере данных службы.

   8. Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, в поле Периодичность создания резервных копий компонента укажите период (в днях, часах и минутах), через который будет выполняться резервное копирование службы Event Processor.
   9. Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, в поле Файл, содержащий резервную копию состояния компонента добавьте файл, который содержит резервную копию службы Event Processor.

      Файл будет использован, если понадобится восстановить состояние службы Event Processor. Восстановление состояния службы Event Processor выполняют специалисты "Лаборатории Касперского" в рамках расширенной технической поддержки.

      Если требуется удалить файл, содержащий резервную копию службы Event Processor, нажмите на значок Очистить (). Если требуется сохранить файл, содержащий резервную копию службы, на компьютере, нажмите на значок Загрузить ().

3. В блоке Режим сна выполните следующие действия:
   1. В поле Размер эпизода в режиме сна (количество событий) укажите количество событий для формирования эпизода в режиме сна.

      Служба Event Processor формирует эпизоды на основе истории событий, поступивших на повторную обработку за интервал времени, заданный в поле Интервал истории событий для обработки в режиме сна.

   2. В поле Отправка оповещений при активации монитора в режиме сна выберите одно из следующих значений:
      • Отправлять оповещения об активации монитора любым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
      • Не отправлять оповещений об активациях монитора – Kaspersky MLAD не отправляет оповещений об активации монитора в режиме сна.
      • Отправлять оповещения об активации монитора новым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна новых паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
      • Отправлять оповещения об активации монитора ранее зарегистрированным паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна стабильных паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
   3. В поле Периодичность режима сна укажите, как часто (в днях) и в какое время (в формате UTC) служба Event Processor будет переходить в режим сна для повторной обработки событий.

      В качестве времени начала режима сна рекомендуется указать время, когда поток событий наименее интенсивен.

      Если заданное время сна не наступило в текущий день, процессор событий перейдет в режим сна в этот же день. Если время сна уже наступило в текущий день, служба Event Processor перейдет в режим сна в указанное время через заданное количество дней.

   4. В поле Продолжительность режима сна (ЧЧ:ММ) укажите интервал времени (в часах и минутах), в течении которого служба Event Processor будет обрабатывать события в режиме сна.
   5. В поле Интервал истории событий для обработки в режиме сна укажите интервал времени (в днях, часах и минутах), за который требуется передать проанализированные события на повторную обработку службой Event Processor в режиме сна.
4. Нажмите на кнопку Сохранить.

Настройка статусов и причин инцидентов

Kaspersky MLAD позволяет указать причины для инцидентов, а также статусы для инцидентов и групп инцидентов.

Статус инцидента и группы инцидентов представляет собой отметку о статусе анализа инцидента, проводимого экспертом. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание.

Причина инцидента представляют собой отметку о причине возникновения инцидента, которую добавляет эксперт по результатам анализа инцидента.

Вы можете добавить причины и статусов инцидентов. Созданные причины и статусы инцидентов станут доступными для выбора в разделе Инциденты. Вы также можете изменять и удалять статусы и причины инцидентов.

Работы по настройке причин и статусов инцидентов выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы добавить статусы инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. В блоке Статусы инцидентов нажмите на кнопку Создать.

   Справа появится панель Создание элемента.

3. В поле Значение, русский язык укажите название статуса инцидента на русском языке.
4. В поле Значение, английский язык укажите название статуса инцидента на английском языке.
5. В поле Сортировка укажите порядковый номер, с которым статус инцидента будет отсортирован в раскрывающемся списке Статус в разделе Инциденты.

   Статусы инцидентов будут отсортированы по их названиям, если порядковые номера статусов инцидентов совпадают.

6. Если требуется отправлять уведомления о регистрации инцидентов с добавляемым статусом и отображать его индикатор в блоке ошибки MSE для разделов Мониторинг и История, установите флажок Уведомлять об инциденте.
7. Нажмите на кнопку Сохранить.

Чтобы добавить причины инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. В блоке Причины инцидентов нажмите на кнопку Создать.

   Справа появится панель Создание элемента.

3. В поле Причина инцидента укажите название причины инцидента.
4. В поле Сортировка укажите порядковый номер, с которым причина инцидента будет отсортирована в раскрывающемся списке Причина инцидента в разделе Инциденты.

   Причины инцидентов будут отсортированы по их названиям, если порядковые номера причин инцидентов совпадают.

5. Нажмите на кнопку Сохранить.

Чтобы изменить статусы или причины инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. Для изменения параметров инцидентов, выполните одно из следующих действий:
   • Если требуется изменить статусы инцидентов и групп инцидентов, в блоке параметров Статусы инцидентов выберите один или несколько статусов инцидентов и нажмите на кнопку Изменить.
   • Если требуется изменить причины инцидентов, в блоке параметров Причины инцидентов выберите одну или несколько причин инцидентов нажмите на кнопку Изменить.
3. Внесите необходимые изменения.
4. Нажмите на кнопку Сохранить.

Чтобы удалить статусы или причины инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. Для удаления параметров инцидентов, выполните одно из следующих действий:
   • Если требуется удалить статусы инцидентов и групп инцидентов, в блоке параметров Статусы инцидентов выберите один или несколько статусов инцидентов и нажмите на кнопку Удалить.
   • Если требуется удалить причины инцидентов, в блоке параметров Причины инцидентов выберите одну или несколько причин инцидентов и нажмите на кнопку Удалить.
3. В открывшемся окне нажмите на кнопку Да, чтобы подтвердить удаление.

Kaspersky MLAD удалит информацию о статусах или причинах инцидентов из соответствующих таблиц, а также из информации об инцидентах и группах инцидентов в разделе Инциденты, для которых были выбраны эти причины или статусы инцидентов.

Настройка логирования служб Kaspersky MLAD

Вы можете настроить уровни логирования служб Kaspersky MLAD для записи определенной информации о состоянии программы и ее отображения в системе логирования (Grafana). Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker, см. в Приложении.

Работы по настройке логирования служб Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить уровни логирования служб Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры → Логирование.

   Справа отобразится список служб Kaspersky MLAD.

2. Если требуется, в раскрывающихся списках рядом с названием необходимой службы измените уровень логирования службы.

   В Kaspersky MLAD доступны следующие уровни логирования:

   • Отладка – логирование всей информации в программе;
   • Инфо – логирование общей информации о работе программы;
   • Общие – логирование важной информации о работе программы;
   • Важные – логирование ошибок, возникших в работе программы, и событий, которые могут привести к ошибкам в работе программы;
   • Ошибка – логирование ошибок, возникших в работе программы;
   • Критические – логирование критических ошибок, возникших в работе программы.

   По умолчанию для большинства служб используется уровень логирования Общие. Для службы API Server по умолчанию используется уровень логирования Инфо.

3. Нажмите на кнопку Сохранить.

Настройка временных интервалов отображения данных

Kaspersky MLAD позволяет указать временной интервал (масштаб) отображения данных на графиках в разделах Мониторинг, История и Временной срез. По умолчанию при установке Kaspersky MLAD доступны следующие временные интервалы:

• 1, 5, 10, 15 и 30 минут;
• 1, 3, 6 и 12 часов;
• 1, 2, 15 и 30 дней;
• 3 и 6 месяцев;
• 1, 2 и 3 года.

Вы можете добавить временные интервалы отображения данных на графиках. Созданные временные интервалы станут доступными для выбора в разделах Мониторинг, История и Временной срез. Вы также можете изменять и удалять временные интервалы.

Работы по настройке временных интервалов отображения данных на графиках выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы добавить временные интервалы отображения данных:

1. В меню администратора выберите раздел Системные параметры → Графики.
2. В блоке параметров Временные интервалы нажмите на кнопку Создать.

   Справа появится панель Создание элемента.

3. В поле Временной интервал (сек.) укажите временной интервал в секундах, за который вы хотите отображать данные на графиках.

   При вводе временного интервала Kaspersky MLAD автоматически разбивает значение временной интервал по единицам измерения времени (годы, месяцы, недели, дни, часы, минуты, секунды) в полях Значение, русский язык и Значение, английский язык.

4. Если требуется, в поле Значение, русский язык измените название временного интервала на русском языке.
5. Если требуется, в поле Значение, английский язык измените название временного интервала на английском языке.

6. В поле Сортировка укажите порядковый номер, с которым временной интервал будет отсортирован в раскрывающихся списках в разделах Мониторинг, История и Временной срез.
7. Нажмите на кнопку Сохранить.

Чтобы изменить временные интервалы отображения данных:

1. В меню администратора выберите раздел Системные параметры → Графики.
2. В блоке параметров Временные интервалы выберите один или несколько временных интервалов и нажмите на кнопку Изменить.
3. Внесите необходимые изменения.
4. Нажмите на кнопку Сохранить.

Чтобы удалить временные интервалы отображения данных:

1. В меню администратора выберите раздел Системные параметры → Графики.
2. В блоке параметров Временные интервалы выберите один или несколько временных интервалов и нажмите на кнопку Удалить.
3. В открывшемся окне нажмите на кнопку Да, чтобы подтвердить удаление.

Информация о временном интервале будет удалена из таблицы.

Настройка отображения основного меню Kaspersky MLAD

Работы по настройке параметров отображения основного меню Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить отображение основного меню и меню администратора Kaspersky MLAD:

1. В меню пользователя выберите раздел Настройка.

   Вы перейдете в режим администрирования.

2. На открывшейся странице в меню слева выберите раздел Системные параметры → Меню.

   Справа отобразится список параметров.

3. В блоке параметров Доступность пунктов основного меню с помощью переключателя включите или выключите отображение раздела в основном меню.
4. В блоке параметров Доступность пунктов меню в режиме администрирования с помощью переключателя включите или выключите отображение раздела в меню администратора.
5. Нажмите на кнопку Сохранить.

Экспорт и импорт файла конфигурации компонентов Kaspersky MLAD

Kaspersky MLAD позволяет выполнять экспорт и импорт конфигурационного файла, который содержит параметры компонентов программы, настраиваемые через веб-интерфейс. Это может сократить время на настройку Kaspersky MLAD при повторном развертывании программы.

Чтобы экспортировать файл конфигурации компонентов из Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры.
2. Нажмите на кнопку Экспорт, которая расположена в верхней части открывшейся страницы.

Файл конфигурации компонентов Kaspersky MLAD в виде архива mlad-settings.tar.gz будет сохранен на локальном компьютере.

Чтобы загрузить файл конфигурации компонентов в Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры.
2. Нажмите на кнопку Импорт, которая расположена в верхней части открывшейся страницы.
3. В открывшемся окне выберите архивный файл, содержащий необходимую конфигурацию компонентов в Kaspersky MLAD.

Файл конфигурации компонентов Kaspersky MLAD будет загружен в программу.

Запуск, остановка и перезапуск служб

Kaspersky MLAD позволяет запускать, останавливать и перезапускать службы.

Управление службами Kaspersky MLAD доступно только пользователям с правами администратора.

Чтобы запустить, остановить или перезапустить службу:

1. В основном меню выберите раздел Службы.
2. На открывшейся странице выберите один из следующих подразделов: Машинное обучение, Основные, Коннекторы или Другие.
3. Для нужной службы выполните одно из следующих действий:
   • Если вы хотите запустить службу, нажмите на кнопку Запустить службу ().
   • Если вы хотите остановить службу, нажмите на кнопку Остановить службу ().
   • Если вы хотите перезапустить службу, нажмите на кнопку Перезапустить службу ().

   Новый статус службы отобразится в столбце Статус.

Управление тегами

Управление тегами доступно только для пользователей с правами администратора.

В разделе Настройка → Теги вы можете просматривать созданные или загруженные в Kaspersky MLAD

теги

Переменная, которая содержит значение какого-либо параметра технологического процесса (например, температуры).

Kaspersky MLAD может получать данные от устройств, зарегистрированных во внешних системах (например, Kaspersky Industrial CyberSecurity for Networks). Kaspersky MLAD сохраняет теги, полученные от внешних устройств, в базе данных Time Series Database. При включенной функции сохранения всех тегов в базе данных Time Series Database также сохраняются идентификаторы и значения неизвестных тегов (отсутствующих в дереве тегов). Вы можете сравнить текущую структуру тегов со структурой тегов в базе данных Time Series Database и при необходимости добавить отсутствующие теги в текущую структуру.

Если Kaspersky MLAD обнаруживает неизвестные теги, полученные от внешних устройств через KICS Connector, эти теги будут автоматически созданы в разделе Настройка → Теги в соответствии с именами тегов и устройств в Kaspersky Industrial CyberSecurity for Networks.

Kaspersky MLAD совместим с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше.

Также вы можете удалять существующие в системе теги, импортировать теги из JSON-файла и экспортировать их в JSON-файл.

Создание тега

В Kaspersky MLAD вы можете создавать новые теги для описания данных, поступающих от объекта мониторинга (исходные теги) или от службы Stream Processor.

Чтобы создать новый тег:

1. В меню администратора выберите раздел Теги.
2. В верхней части страницы нажмите на кнопку Создать.

   Справа откроется панель Создание тега.

3. В раскрывающемся списке Тип тега выберите Тег.
4. Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для тега.

   Вы можете загрузить значок для тега, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

   Если требуется удалить значок тега, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

5. В раскрывающемся списке Группа выберите нужную группу тегов, к которой вы хотите отнести создаваемый тег.

   Группы тегов требуется предварительно загрузить или создать вручную.

6. В поле Название укажите имя тега. Если требуется получать значения тега от внешней системы, укажите имя тега во внешней системе.

   Если включено использование KICS-коннектора, Kaspersky MLAD автоматически заполнит имя тега в соответствии с именем тега, полученным от Kaspersky Industrial CyberSecurity for Networks.

7. В поле Описание укажите описание тега.
8. В поле ID укажите идентификатор тега.
9. В поле Размерность укажите единицы измерения для тега.
10. В полях X, Y, Z укажите координаты расположения датчика объекта мониторинга в пространстве.

    Вы можете использовать произвольную точку в качестве начала координат.

    Вы можете использовать координаты датчиков для расчета значения тегов при создании пресета и их отображения на графике в разделе Временной срез.

11. В поле Класс для отображения укажите класс для отображения тега.
12. В блоке Технические пределы в полях Нижний и Верхний укажите нижний и верхний пределы значений тега.

    Эти параметры требуются для корректной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего технического предела, детектор Limit Detector регистрирует инцидент.

    Если включена функция Всегда показывать технические пределы, вертикальный масштаб графика будет зафиксирован предельными линиями, выводимыми по нижней и верхней границам графика тега, при условии, что значения тега находятся в заданном диапазоне. Если значения тега выйдут за заданные пределы, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.

13. В блоке Границы отображения в полях Нижняя и Верхняя укажите нижнюю и верхнюю границы отображения значений тега на графиках.

    Если значения тега будут выходить за указанные границы, то они не будут отображаться на графике тега. Допустимые границы отображения значений тега имеют приоритет над отображением технических пределов, даже если включена функция Всегда показывать технические пределы.

14. В поле Устройство укажите имя устройства, созданного во внешней системе, для которого требуется получать теги.

    Если включено использование KICS-коннектора, Kaspersky MLAD автоматически заполнит имя устройства в соответствии с именем устройства, для которого получен тег от Kaspersky Industrial CyberSecurity for Networks.

15. Если требуется добавить для этого тега на графиках в разделах Мониторинг и История дополнительные горизонтальные пороговые линии, нажмите на кнопку Добавить линию и в появившемся поле Пороговое значение укажите значение, которое требуется отображать на графике.

    Дополнительные горизонтальные пороговые линии помогают визуально оценить колебания значений тега в определенных пределах. Вы можете добавить несколько дополнительных горизонтальных пороговых линий.

16. Нажмите на кнопку Создать.

Новый тег отобразится в разделе Теги в дереве тегов слева. Если требуется, вы можете изменить расположение тегов в дереве тегов. Для этого нужно перетащить нужный тег вверх или вниз в дереве тегов, удерживая за три горизонтальные линии () слева от его идентификатора.

Создание виртуального тега

В Kaspersky MLAD вы можете создавать виртуальные теги.

Для расчета реальных и предсказанных значений виртуального тега, а также для расчета ошибки виртуального тега вы можете задать выражение с простыми арифметическими действиями (например, сложение вычитание, умножение и деление), с вычислением квадратного корня (функция sqrt) и степени (специальный символ ^). В выражениях вы можете использовать следующие переменные:

• $tag – значения тега, на основе которого вычисляются значения виртуального тега;
• $tagX – значение координаты расположения датчика объекта мониторинга по оси абсцисс;
• $tagY – значение координаты расположения датчика объекта мониторинга по оси ординат;
• $tagZ – значение координаты расположения датчика объекта мониторинга по оси аппликат.

Например, вы можете указать выражение для вычисления температуры по Цельсию на основе тега, по которому поступают значения температуры по Фаренгейту:

Значения виртуального тега будут отображаться на графиках в разделах Мониторинг и История в соответствии с заданным выражением.

Чтобы создать новый тег:

1. В меню администратора выберите раздел Теги.
2. В верхней части страницы нажмите на кнопку Создать.

   Справа откроется панель Создание тега.

3. В раскрывающемся списке Тип тега выберите Виртуальный тег.
4. Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для виртуального тега.

   Вы можете загрузить значок для тега, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

   Если требуется удалить значок тега, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

5. В раскрывающемся списке Группа выберите нужную группу тегов, к которой вы хотите отнести создаваемый виртуальный тег.

   Группы тегов требуется предварительно загрузить или создать вручную.

6. В поле Название укажите имя виртуального тега.
7. В поле Описание укажите описание виртуального тега.
8. В поле ID укажите идентификатор виртуального тега.
9. В поле Размерность укажите единицы измерения для виртуального тега.
10. В полях X, Y, Z укажите координаты расположения датчика объекта мониторинга в пространстве.

    Вы можете использовать произвольную точку в качестве начала координат.

    Вы можете использовать значения координат датчиков для расчета значений виртуального тега и их отображения на графиках в разделах Мониторинг и История.

11. В поле Класс для отображения укажите класс для отображения виртуального тега.
12. В блоке Технические пределы в полях Нижний и Верхний укажите нижний и верхний пределы значений виртуального тега.

    Эти параметры требуются для корректной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего технического предела, детектор Limit Detector регистрирует инцидент.

    Если включена функция Всегда показывать технические пределы, вертикальный масштаб графика будет зафиксирован предельными линиями, выводимыми по нижней и верхней границам графика тега, при условии, что значения тега находятся в заданном диапазоне. Если значения тега выйдут за заданные пределы, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.

13. В блоке Границы отображения в полях Нижняя и Верхняя укажите нижнюю и верхнюю границы отображения значений виртуального тега на графиках.

    Если значения тега будут выходить за указанные границы, то они не будут отображаться на графике тега. Допустимые границы отображения значений тега имеют приоритет над отображением технических пределов, даже если включена функция Всегда показывать технические пределы.

14. В поле Устройство укажите имя устройства, созданного во внешней системе, для которого требуется рассчитать значения виртуального тега.
15. Если требуется добавить для этого тега на графиках в разделах Мониторинг и История дополнительные горизонтальные пороговые линии, нажмите на кнопку Добавить линию и в появившемся поле Пороговое значение укажите значение, которое требуется отображать на графике.

    Дополнительные горизонтальные пороговые линии помогают визуально оценить колебания значений тега в определенных пределах. Вы можете добавить несколько дополнительных горизонтальных пороговых линий.

16. Для отображения значений виртуального тега на графиках в разделах Мониторинг и История выполните следующие действия в блоке параметров Выражение для расчета тега:
    1. В раскрывающемся списке ID тега для расчета выберите идентификатор тега, на основе которого вы хотите вычислить значение виртуального тега.
    2. В раскрывающемся списке Выражения для расчета реальных и предсказанных значений тега выберите одно из следующих значений:
       • Если требуется использовать одинаковые выражения для расчета реальных и предсказанных значений тегов, выберите значение Одинаковые выражения.
       • Если требуется использовать разные выражения для расчета реальных и предсказанных значений тегов, выберите значение Разные выражения.
    3. В поле Выражение для расчета значений тега укажите выражение для расчета значений тега.

       Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием одинаковых выражений.

    4. В поле Выражение для расчета реальных значений тега укажите выражение для расчета реальных значений тега.

       Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием разных выражений.

    5. Если требуется, в поле Выражение для расчета предсказанных значений тега укажите выражение для расчета предсказанных значений тега.

       Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием разных выражений.

    6. Если требуется, в поле Выражение для расчета ошибки укажите выражение для расчета ошибки.
17. Нажмите на кнопку Создать.

Новый тег отобразится в разделе Теги в дереве тегов слева. Если требуется, вы можете изменить расположение тегов в дереве тегов. Для этого нужно перетащить нужный тег вверх или вниз в дереве тегов, удерживая за три горизонтальные линии () слева от его идентификатора.

Создание группы тегов

В Kaspersky MLAD вы можете создавать группы тегов и распределять теги по группам наиболее удобным для вас способом. Например, вы можете создать группы тегов в соответствии с устройствами объекта мониторинга, от которых поступают данные телеметрии.

Группы тегов используются для визуального отображения структуры тегов в виде дерева тегов.

Чтобы создать новую группу тегов:

1. В меню администратора выберите раздел Теги.
2. В верхней части страницы нажмите на кнопку Создать.

   Справа откроется панель Создание тега.

3. В раскрывающемся списке Тип тега выберите значение Группа.
4. Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для тега.

   Вы можете загрузить значок для группы тегов, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

   Если требуется удалить значок группы тегов, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

5. В раскрывающемся списке выберите группу тегов, на основе которой будет создана новая группа тегов.
6. В поле Название укажите имя для группы тегов.
7. В поле Описание укажите описание для группы тегов.
8. Нажмите на кнопку Создать.

Новая группа тегов отобразится в разделе Теги в дереве тегов слева. Если требуется, вы можете изменить расположение группы тегов в дереве тегов. Для этого перетащите нужную группу тегов вверх или вниз в дереве тегов, удерживая за три горизонтальные линии () слева от названия группы тегов.

Изменение тега

Вы можете изменять созданные ранее теги.

Чтобы изменить тег:

1. В меню администратора выберите раздел Теги.
2. В дереве тегов слева выберите тег, который нужно изменить, и нажмите на кнопку Изменить.

   Вы также можете перейти в режим изменения тега двойным щелчком мыши.

   Справа откроется панель Изменение тега.

3. Если требуется изменить значок тега, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для тега.

   Вы можете загрузить значок для тега, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

   Если требуется удалить значок тега, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

4. Если требуется, в поле Название укажите новое имя тега. Если требуется получать значения тега от внешней системы, укажите имя тега во внешней системе.

   Если включено использование KICS-коннектора, Kaspersky MLAD автоматически заполнит имя тега в соответствии с именем тега, полученным от Kaspersky Industrial CyberSecurity for Networks.

5. Если требуется, в поле Описание укажите новое описание тега.
6. Если требуется, в поле Размерность укажите новые единицы измерения для тега.
7. В полях X, Y, Z укажите координаты расположения датчика объекта мониторинга в пространстве.

   Вы можете использовать произвольную точку в качестве начала координат.

   Вы можете использовать значения координат датчиков для расчета значений виртуального тега и их отображения на графиках в разделах Мониторинг и История. Вы также можете использовать координаты датчиков для расчета значения тегов при создании пресета и их отображения на графике в разделе Временной срез.

8. В поле Класс для отображения укажите класс для отображения тега.
9. В блоке Технические пределы в полях Нижний и Верхний укажите нижнюю и верхнюю границы предела значений тега.

   Эти параметры требуются для корректной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего технического предела, детектор Limit Detector регистрирует инцидент.

   Если включена функция Всегда показывать технические пределы, вертикальный масштаб графика будет зафиксирован предельными линиями, выводимыми по нижней и верхней границам графика тега, при условии, что значения тега находятся в заданном диапазоне. Если значения тега выйдут за заданные пределы, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.

10. В блоке Границы отображения в полях Нижняя и Верхняя укажите нижнюю и верхнюю границы отображения значений тега на графиках.

    Если значения тега будут выходить за указанные границы, то они не будут отображаться на графике тега. Допустимые границы отображения значений тега имеют приоритет над отображением технических пределов, даже если включена функция Всегда показывать технические пределы.

11. В поле Устройство укажите имя устройства, созданного во внешней системе, для которого требуется получать теги.

    Если включено использование KICS-коннектора, Kaspersky MLAD автоматически заполнит имя устройства в соответствии с именем устройства, для которого получен тег от Kaspersky Industrial CyberSecurity for Networks.

12. Если требуется добавить для этого тега на графиках в разделах Мониторинг и История дополнительные горизонтальные пороговые линии, нажмите на кнопку Добавить линию и в появившемся поле Пороговое значение укажите значение, которое требуется отображать на графике.

    Дополнительные горизонтальные пороговые линии помогают визуально оценить колебания значений тега в определенных пределах. Вы можете добавить несколько дополнительных горизонтальных пороговых линий.

13. Если требуется изменить выражение, по которому рассчитываются значения виртуального тега, выполните следующие действия в блоке параметров Выражение для расчета тега:
    1. В раскрывающемся списке Выражения для расчета реальных и предсказанных значений тега выберите одно из следующих значений:
       • Если требуется использовать одинаковые выражения для расчета реальных и предсказанных значений тегов, выберите значение Одинаковые выражения.
       • Если требуется использовать разные выражения для расчета реальных и предсказанных значений тегов, выберите значение Разные выражения.
    2. В поле Выражение для расчета значений тега укажите выражение для расчета значений тега.

       Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием одинаковых выражений.

    3. В поле Выражение для расчета реальных значений тега укажите выражение для расчета реальных значений тега.

       Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием разных выражений.

    4. В поле Выражение для расчета предсказанных значений тега укажите выражение для расчета предсказанных значений тега.

       Это поле отображается, если вы выбрали режим расчета реальных и предсказанных значений тегов с использованием разных выражений.

    5. В поле Выражение для расчета ошибки укажите выражение для расчета ошибки.
14. Нажмите на кнопку Сохранить.

Измененный тег отобразится в разделе Теги в дереве тегов слева. Если требуется, вы можете изменить расположение тегов в дереве тегов. Для этого нужно перетащить нужный тег вверх или вниз в дереве тегов, удерживая за три горизонтальные линии () слева от его идентификатора.

Изменение группы тегов

Вы можете изменять созданные ранее группы тегов.

Чтобы изменить группу тегов:

1. В меню администратора выберите раздел Теги.
2. В дереве тегов слева выберите группу тегов, которую нужно изменить, и нажмите на кнопку Изменить.

   Вы также можете перейти в режим изменения группы тега двойным щелчком мыши.

   Справа откроется панель Изменение группы тегов.

3. Если требуется изменить значок группы, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для группы тегов.

   Вы можете загрузить значок для группы тегов, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

   Если требуется удалить значок группы тегов, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

4. Если требуется, в поле Название укажите новое имя для группы тегов.
5. Если требуется, в поле Описание укажите новое описание для группы тегов.
6. Нажмите на кнопку Сохранить.

Измененная группа тегов отобразится в разделе Теги в дереве тегов слева. Если требуется, вы можете изменить расположение группы тегов в дереве тегов. Для этого нужно перетащить нужную группу тегов вверх или вниз в дереве тегов, удерживая за три горизонтальные линии () слева от названия группы тегов.

Удаление тега или группы тегов

Вы можете перемещать созданные ранее теги и группы тегов из дерева тегов в корзину тегов и удалять их из корзины безвозвратно. Чтобы удалить тег или группу тегов:

1. В меню администратора выберите раздел Теги.
2. В дереве тегов или в корзине тегов установите флажки рядом с названием тега и/или группы тегов.

   Если требуется удалить один или несколько тегов из группы, разверните группу тегов, нажав на значок стрелки вправо (), и выберите нужные теги. Вы также можете выбрать все теги и группы одновременно, установив флажок в заголовке таблицы.

3. Нажмите на кнопку Удалить в верхней части страницы.
4. В открывшемся окне Подтверждение удаления нажмите на кнопку Да, чтобы подтвердить удаление.

Если при удалении выбранные теги и/или группы тегов находились в дереве тегов, то эти теги будут перемещены в корзину. Для восстановления тегов выберите теги и/или группы тегов в корзине тегов и, удерживая за три горизонтальные линии () слева от одного из выбранных элементов, перетащите теги и/или группы из корзины в нужное место в дереве тегов.

Если при удалении выбранные теги и/или группы тегов находились в корзине, эти теги будут удалены из Kaspersky MLAD безвозвратно.

Проверка текущей структуры тегов

Kaspersky MLAD сохраняет теги, полученные от внешних устройств, в базе Time Series Database. При поступлении неизвестных тегов через KICS Connector программа также автоматически создает эти теги в разделе Настройка → Теги.

Kaspersky MLAD позволяет сравнить текущую структуру тегов, которая отображается в разделе Настройка → Теги и используется для объекта мониторинга, со структурой тегов, сохраненной для этого объекта мониторинга в базе Time Series Database. Kaspersky MLAD выявляет теги, которые были получены от внешних устройств, но отсутствуют в текущей структуре тегов и не используются для объекта мониторинга. Если требуется, вы можете добавить эти теги в текущую структуру тегов.

Чтобы сравнить текущую структуру тегов со структурой в Time Series Database:

1. В меню администратора выберите раздел Теги.
2. В верхней части страницы нажмите на кнопку Сравнить теги.

   Текущая структура тегов, используемая для объекта мониторинга, сравнивается со структурой тегов, которая хранится в Time Series Database. Сообщение о результате выполненного сравнения отобразится в верхней части страницы.

   В случае выявления отсутствующих тегов Kaspersky MLAD отобразит список этих тегов с названиями в формате Tag <идентификатор тега>.

3. Если требуется добавить отсутствующие теги, выполните следующие действия:
   1. В поле Группа для каждого обнаруженного тега выберите группу тегов, к которой вы хотите отнести тег.
   2. Нажмите на кнопку Да.

Kaspersky MLAD добавит теги в текущую структуру тегов. Для этих тегов будут указаны только их идентификаторы, названия в формате Tag <идентификатор тега> и группы, к которым вы отнесли теги. Если требуется, вы можете изменить добавленные теги.

Загрузка конфигурации тегов в систему

Конфигурация тегов создается в процессе выполнения работ по внедрению Kaspersky MLAD и построению ML-модели. Конфигурация тегов предоставляется в виде файла в формате JSON.

Чтобы загрузить конфигурацию тегов в Kaspersky MLAD:

1. В меню администратора выберите раздел Теги.
2. Нажмите на кнопку Импорт.
3. В открывшемся окне выберите JSON-файл, содержащий необходимую конфигурацию тегов.

Конфигурация тегов будет загружена в Kaspersky MLAD. Теги, сгруппированные по агрегатам установки, отобразятся в левой части раздела Теги в виде дерева.

Сохранение конфигурации тегов в файл

Вы можете сохранить структуру тегов и пресетов в файл в формате JSON для дальнейшего использования.

Чтобы сохранить конфигурацию тегов в файл в формате JSON:

1. В меню администратора выберите раздел Теги.
2. Нажмите на кнопку Экспорт.

Конфигурация тегов будет сохранена в файл mlad.json (см. пример в Приложении).

Управление ML-моделями и шаблонами

В разделе Модели представлены данные об ML-моделях, а также шаблонах, созданных на основе добавленных в Kaspersky MLAD ML-моделей.

Управление ML-моделями и шаблонами доступно только пользователям с правами администратора.

Вкладка Модели

На вкладке Модели представлена таблица ML-моделей. Вы можете загрузить ML-модели в Kaspersky MLAD или добавить ML-модели на основе шаблонов ML-моделей.

Для каждой ML-модели отображается следующая информация:

• ID – цифровой идентификатор ML-модели.
• Имя модели – название добавленной ML-модели.
• Способ создания – параметр, указывающий, была ли ML-модель импортирована, создана по шаблону или создана в результате обучения по ранее добавленной ML-модели. Если шаблон, по которому была создана ML-модель, был удален, в столбце Способ создания отображается значение Шаблон удален. Если ML-модель, по которой была обучена текущая ML-модель, была удалена, в столбце Способ создания отображается значение Клонирована и обучена, исходная модель удалена.
• Состояние – переключатель, позволяющий включить или выключить использование ML-модели для объекта мониторинга. Если ML-модель не активирована, в столбце Состояние отображается неактивный переключатель Недоступна.
• Действие – кнопка, позволяющая активировать ML-модель или запустить процесс обучения ML-модели после ее активации.

Рядом с каждой моделью находится вертикальное меню , позволяющее создать шаблон по существующей ML-модели, просмотреть подробные сведения о модели или удалить ML-модель.

Вкладка Шаблоны

На вкладке Шаблоны представлена таблица шаблонов, созданных на основе добавленных в Kaspersky MLAD ML-моделей. Для каждого шаблона доступна следующая информация:

• ID – цифровой идентификатор шаблона ML-модели.
• Имя шаблона – название шаблона ML-модели.
• Способ создания – название ML-модели, по которой создан шаблон. Если ML-модель, по который был создан шаблон, была удалена, в столбце Способ создания отображается значение Исходная модель удалена.
• Действие – кнопка, позволяющая создать ML-модель по шаблону.

Вы можете использовать созданные шаблоны для добавления новых ML-моделей в Kaspersky MLAD. После добавления ML-модели вы можете включить ее использование для объекта мониторинга. Вы также можете удалить шаблоны ML-моделей.

Изменение параметров ML-модели и ее элементов

Вы можете изменить некоторые параметры ML-модели и ее элементов.

Изменение параметров ML-модели и элемента ML-модели выполняет только сотрудник "Лаборатории Касперского" или сертифицированный интегратор. Не рекомендуется изменять эти параметры самостоятельно.

Чтобы изменить параметры ML-модели:

1. В основном меню выберите раздел Модели.
2. Нажмите на вертикальное меню , которое расположено в строке той ML-модели, параметры которой нужно изменить и выберите Детали модели.

   Справа откроется панель <Имя ML-модели> на вкладке Параметры модели.

3. Нажмите на кнопку Изменить.
4. На вкладке Параметры модели измените нужные параметры ML-модели.
5. На вкладке Элементы модели измените параметры нужного элемента ML-модели. Если требуется изменить относительные веса для выходных тегов элемента ML-модели, выполните следующие действия:
   1. В списке параметров элемента ML-модели нажмите на значение параметра out_tags и mse_weights.

      Справа отобразится панель Выходные теги и их относительные веса.

   2. Нажмите на кнопку Изменить.
   3. Измените значения относительных весов в столбце Значение веса для нужных выходных тегов элемента ML-модели и нажмите на кнопку Сохранить.
   4. Нажмите на кнопку Закрыть.
6. Нажмите на кнопку Сохранить.

Загрузка ML-модели

Kaspersky MLAD позволяет загружать новые ML-модели. Файлы ML-моделей для загрузки поставляется специалистами "Лаборатории Касперского" или сертифицированным интегратором.

При загрузке ML-модели, размер которой превышает 1 ГБ, работа Kaspersky MLAD может замедлиться.

Чтобы загрузить ML-модель:

1. В основном меню выберите раздел Модели.
2. Нажмите на кнопку Импорт.
3. В открывшемся окне выберите файл ML-модели.

   Файл ML-модели поставляется в виде архива формата TAR размером не более 1,5 ГБ.

ML-модель будет загружена в Kaspersky MLAD. Имя и состояние ML-модели отобразятся в таблице. После загрузки требуется активировать ML-модель. При повторной загрузке ML-модели, которая ранее была активирована и затем удалена, повторная активация ML-модели не требуется.

Активация ML-модели

После добавления новой ML-модели в Kaspersky MLAD ее требуется активировать.

При потере кода для активации ML-модели требуется отправить запрос специалисту "Лаборатории Касперского" для получения нового кода.

Чтобы активировать ML-модель:

1. В основном меню выберите раздел Модели.
2. В столбце Действие нажмите на кнопку Активировать.

   Справа появится панель Активация модели.

3. В поле Код для активации модели введите код, полученный от сотрудников "Лаборатории Касперского", и нажмите на кнопку Активировать в нижней части окна.

ML-модель активирована. Для запуска анализа данных телеметрии от объекта мониторинга требуется включить ML-модель.

Изменение состояния ML-модели

Вы можете включить или выключить использование ML-модели для анализа данных телеметрии от объекта мониторинга. По умолчанию после активации ML-модель выключена.

По умолчанию Kaspersky MLAD поддерживает параллельную работу пяти ML-моделей. Если требуется, пользователь с правами администратора может изменить максимально возможное количество одновременно запущенных моделей при настройке службы Anomaly Detector.

Чтобы изменить состояние ML-модели:

1. В основном меню выберите раздел Модели.
2. С помощью переключателя в столбце Состояние включите или выключите использование нужной ML-модели.

   Вы можете включить или выключить использование ML-модели, которая была предварительно активирована. Если ML-модель не активирована, в столбце Состояние отображается неактивный переключатель Недоступна.

Обучение ML-модели

Kaspersky MLAD позволяет выполнить клонирование уже имеющейся ML-модели, построенной на детекторе Forecaster, для ее переобучения или дополнительного обучения на основе новых данных телеметрии, полученных Kaspersky MLAD для конкретного объекта мониторинга.

Обучение ML-модели является ресурсоемким процессом. В зависимости от сложности модели и объема данных возможна замедленная работа основных служб Kaspersky MLAD (прием данных, обнаружение аномалий, работа веб-интерфейса). Для уточнения регламента обучения ML-модели рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.

Чтобы обучить ML-модель:

1. В основном меню выберите раздел Модели.
2. В столбце Действие нажмите на кнопку Обучить, расположенную в строке той ML-модели, которую требуется взять за основу для обучения новой ML-модели.

   Справа откроется панель Клонирование и обучение модели.

3. Если требуется, в поле Имя новой модели укажите имя для новой ML-модели.

   По умолчанию новой ML-модели присваивается имя в формате <имя_исходной_модели>_Cloned&Retrained_<дата_и_время>.

4. В поле Начало периода выгрузки данных нажмите на значок Календарь () и в открывшемся окне выберите дату и время начала периода выгрузки данных для обучения модели.
5. В поле Окончание периода выгрузки данных нажмите на значок Календарь () и в открывшемся окне выберите дату и время окончания периода выгрузки данных для обучения модели.
6. Разверните список Дополнительные параметры, нажав на значок стрелки вправо (), и при необходимости укажите значения для следующих параметров:
   • В поле Количество эпох обучения укажите максимальное количество эпох обучения.

     Kaspersky MLAD может закончить обучение ML-модели до достижения заданного количества эпох, если посчитает, что ML-модель обучена. По умолчанию установлено 10 000 эпох обучения.

   • Для ограничения времени обучения модели включите переключатель Ограничить время обучения модели и заполните следующие поля:
     • В поле Дни укажите количество дней, в течение которых ML-модель должна обучаться.
     • В поле Часы укажите количество часов, в течение которых ML-модель должна обучаться.
   • Выполните одно из следующих действий:
     • Если требуется загрузить относительные веса выходных тегов ранее обученной ML-модели, включите переключатель Загрузить состояние исходной модели до обучения.
     • Если требуется переобучить ML-модель, выключите переключатель Загрузить состояние исходной модели до обучения.

     По умолчанию этот параметр выключен.

   • В поле Окно сглаживания ошибки укажите интервал для сглаживания ошибки MSE (параметр alpha).

     По умолчанию этот интервал равен размеру окна предсказания forecast_window_size. Если сглаживание ошибки MSE не требуется, укажите в поле Окно сглаживания ошибки значение 0.

     Изменять интервал сглаживания ошибки могут только специалисты "Лаборатории Касперского" или сертифицированный интегратор.

7. Нажмите на кнопку Клонировать и обучить.

После обучения новая ML-модель появится в таблице моделей.

Удаление ML-модели

Вы можете удалить одну или несколько ML-моделей из Kaspersky MLAD.

После удаления ML-модели результаты предсказанных с помощью этой модели значений тегов, а также рассчитанные ошибки MSE станут недоступны.

Чтобы удалить ML-модель:

1. В основном меню выберите раздел Модели.
2. В таблице моделей выберите одну или несколько ML-моделей и нажмите на кнопку Удалить.

   Вы также можете удалить конкретную ML-модель, выбрав пункт Удалить в вертикальном меню  для нужной модели.

3. Подтвердите удаление ML-модели.

Выбранная ML-модель будет удалена из Kaspersky MLAD.

Создание шаблона по ML-модели

Вы можете создать шаблон ML-модели на основе ранее добавленной ML-модели. В созданных шаблонах будет сохранена структура алгоритма, набор элементов, состав тегов и состояние обучения исходной ML-модели.

Чтобы создать шаблон по ML-модели:

1. В основном меню выберите раздел Модели.
2. Нажмите на вертикальное меню , которое расположено в строке той ML-модели, по которой нужно создать шаблон.
3. Выберите пункт Создать шаблон.

   Справа откроется панель Создание шаблона.

4. В поле Имя шаблона укажите имя шаблона.

   Вы можете ввести не более 100 символов.

5. Если требуется изменить имена тегов шаблона, в столбце Имя тега шаблона укажите новые имена для нужных тегов.

   Если теги, используемые в ML-модели, по которой вы создаете шаблон, были загружены или созданы в разделе Настройка → Теги, их имена автоматически присваиваются тегам шаблона. Если тег, используемый в ML-модели, не обнаружен в Kaspersky MLAD, этому тегу присваивается имя по умолчанию в формате Test <ID тега модели>.

   Вы можете указать имя тега шаблона, отличное от имен тегов в разделе Настройка → Теги. Сопоставление тегов шаблона и тегов в разделе Настройка → Теги происходит по идентификаторам тегов ML-модели, которые вы можете указать при создании ML-модели по шаблону.

6. Нажмите на кнопку Создать.

Созданный шаблон ML-модели отобразится на вкладке Шаблоны.

Создание ML-модели по шаблону

Вы можете создать новую ML-модель на основе доступных шаблонов. При создании ML-модели вы можете указать идентификаторы тегов, которые требуется использовать в новой ML-модели.

Чтобы создать ML-модель по шаблону:

1. В основном меню выберите раздел Модели и нажмите на Шаблоны.
2. В столбце Действие нажмите на кнопку Создать модель, расположенную в строке того шаблона, по которому требуется создать ML-модель.

   Справа откроется панель Создание модели.

3. В поле Имя модели укажите имя новой ML-модели.

   Вы можете указать имя ML-модели длиной не более 100 символов.

4. В столбце ID тега модели выберите идентификаторы тегов для каждого тега ML-модели, которые будут использоваться создаваемой ML-моделью.

   Сопоставление тегов шаблона и тегов в разделе Настройка → Теги происходит по идентификаторам тегов ML-модели.

5. Нажмите на кнопку Создать.

Созданная ML-модель отобразится на вкладке Модели. Состояние созданной ML-модели будет соответствовать состоянию обучения исходной ML-модели в момент создания ее шаблона.

Удаление шаблона ML-модели

Вы можете удалить шаблон ML-модели из Kaspersky MLAD.

Чтобы удалить шаблон ML-модели:

1. В основном меню выберите раздел Модели и нажмите Шаблоны.
2. В таблице шаблонов выберите один или несколько шаблонов ML-моделей и нажмите на кнопку Удалить.

   Вы также можете удалить конкретный шаблон ML-модели, выбрав пункт Удалить в вертикальном меню  в строке нужного шаблона.

3. Подтвердите удаление шаблона ML-модели.

Выбранный шаблон ML-модели будет удален из Kaspersky MLAD. Удаление шаблона не приводит к удалению ML-моделей, созданных на основе этого шаблона.

Настройка параметров в разделе Процессор событий

Перед обработкой событий службой Event Processor требуется настроить параметры конфигурации внимания и отображение параметров событий.

Управление параметрами конфигурации внимания и отображением параметров событий доступно только пользователям с правами администратора.

Большое количество направлений внимания может привести к замедлению работы основных служб Kaspersky MLAD (прием данных, обнаружение аномалий, работа веб-интерфейса). Для уточнения количества направлений внимания рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.

Чтобы настроить параметры конфигурации внимания и отображение параметров событий:

1. В основном меню выберите раздел Процессор событий.
2. На открывшейся странице нажмите на кнопку Параметры.

   Справа появится панель Параметры процессора событий.

3. В блоке Настройка конфигурации внимания для каждого параметра события, выполните одно из следующих действий:
   • Если требуется регистрировать паттерны по всем значениям параметра события, в раскрывающемся списке выберите Все значения параметра.
   • Если требуется регистрировать паттерны по конкретному значению параметра события, в раскрывающемся списке выберите значение параметра. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.

     Если значение параметра отсутствует в списке, введите нужное значение и выберите Создать значение: <значение параметра события>.

   • Если требуется регистрировать паттерны по шаблону значения параметра событий, включите переключатель Регулярное выражение для нужного параметра события, в раскрывающемся списке введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

     Для поиска паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.

   Каждое направление внимания задается значением параметра, которое должно присутствовать во всех событиях этого направления. При настройке направлений внимания вы можете указать определенные значения или шаблоны значений одного или нескольких параметров или задать направления внимания для всех возможных значений одного либо нескольких параметров.

4. Если требуется настроить отображение фильтров параметров событий в блоке Фильтры на вкладках История событий и История паттернов, в блоке Настройка отображения фильтров параметров событий установите флажки рядом с названиями нужных параметров событий.

   По умолчанию в блоке Настройка отображения фильтров параметров событий отображаются параметры событий от службы Anomaly Detector. Для отображения пользовательских параметров событий требуется загрузить конфигурационный файл службы Event Processor. По умолчанию выбраны все доступные параметры событий.

   Если включена функция Обрабатывать инциденты как события, в процессор событий поступают события со следующими параметрами:

   • incident_detection_system – название детектора, который зарегистрировал инцидент.
   • incident_model_name – название используемой ML-модели.
   • incident_tag_name – имя тега, поведение которого привело к регистрации инцидента.
   • incident_group_name – название группы инцидентов, в которую входит зарегистрированный инцидент.
   • incident_triggered_tag_value – значение тега, поведение которого привело к регистрации инцидента.
   • incident_id – идентификатор зарегистрированного инцидента.
   • incident_tag_id – идентификатор тега, поведение которого привело к регистрации инцидента.

   При необходимости вы можете изменить порядок отображения параметров событий в блоке Фильтры. Для этого нужно перетащить нужный параметр события вверх или вниз в блоке Настройка отображения фильтров параметров событий, удерживая за название параметра события.

5. Нажмите на кнопку Применить для сохранения внесенных изменений.

Управление учетными записями пользователей

Этот раздел содержит информацию об управлении учетными записями пользователей Kaspersky MLAD.

Управление учетными записями пользователей Kaspersky MLAD доступно только пользователям с правами администратора.

Чтобы обеспечить безопасную работу пользователей с Kaspersky MLAD, вам нужно установить доверенный сертификат для подключения к веб-интерфейсу, создать учетную запись для каждого пользователя, настроить и проверить отправку сообщений об инцидентах на электронную почту пользователей.

Все созданные учетные записи пользователей отображаются в разделе Настройка → Пользователи. Раздел Пользователи содержит таблицу, в которой представлена информация о пользователях.

При необходимости вы также можете добавлять и изменять учетные записи пользователей. Kaspersky MLAD не позволяет удалять учетные записи пользователей. Если вы хотите запретить доступ к веб-интерфейсу Kaspersky MLAD для определенной учетной записи, рекомендуется заблокировать ее. Позже вы можете разблокировать эту учетную запись, если потребуется. Вы также можете разблокировать учетную запись, заблокированную при достижении количества неудачных попыток авторизации этого пользователя до истечения периода блокировки. Вы можете указать количество неудачных попыток авторизации и период блокировки учетной записи при настройке основных параметров Kaspersky MLAD.

При необходимости вы также можете отозвать ключи для учетной записи пользователя.

Раздел Пользователи

Создание учетной записи пользователя

Управление учетными записями пользователей Kaspersky MLAD доступно только пользователям с правами администратора.

Чтобы создать учетную запись пользователя:

1. В меню пользователя выберите раздел Настройка.

   Откроется раздел Пользователи.

2. Нажмите на кнопку Добавить пользователя.
3. В открывшемся окне Добавление пользователя заполните следующие поля:
   • Фамилия – фамилия пользователя.
   • Имя – имя пользователя.
   • Отчество – отчество пользователя (опционально).
   • Адрес электронной почты – адрес электронной почты пользователя.
   • Пароль – пароль для учетной записи пользователя.

     Пароль должен состоять из прописных и строчных латинских букв, а также цифр. Минимальная длина пароля – восемь символов.

   • Подтверждение пароля – подтвердите пароль для учетной записи пользователя.
4. Нажмите на кнопку Добавить.

Информация о новом пользователе отобразится в таблице. Если требуется, вы можете изменять, блокировать или разблокировать учетные записи пользователей.

При создании учетной записи присвоить пользователю роль Администратор или Оператор невозможно. Вы можете присвоить пользователю роль Администратор или Оператор только при изменении учетной записи.

Изменение учетной записи пользователя

Управление учетными записями пользователей Kaspersky MLAD доступно только пользователям с правами администратора.

Чтобы изменить учетную запись пользователя:

1. В меню пользователя выберите раздел Настройка.

   Откроется раздел Пользователи.

2. Около учетной записи, которую вы хотите изменить, нажмите на кнопку редактирования .

   Откроется окно Изменение пользователя.

3. Внесите необходимые изменения.
4. При необходимости присвойте роль Администратор или Оператор для учетной записи пользователя, установив соответствующий флажок.
5. Если требуется заблокировать или разблокировать учетную запись пользователя, включите или выключите переключатель Активность.

   Kaspersky MLAD не позволяет удалять учетные записи пользователей. Если вы хотите запретить доступ к Kaspersky MLAD для определенной учетной записи, рекомендуется заблокировать ее.

6. Нажмите на кнопку Сохранить.

Измененная информация о пользователе отобразится в таблице.

Отзыв ключей для учетной записи пользователя

После подключения пользователя к веб-интерфейсу внутри Kaspersky MLAD создается индивидуальный ключ, позволяющий сохранять авторизацию пользователя в программе между сеансами подключения к веб-интерфейсу программы, в том числе связанными с перезапуском браузера. Если пользователь авторизовался на нескольких устройствах, для каждой пользовательской сессии создается свой ключ. При необходимости в любой момент вы можете отозвать ключи для учетной записи пользователя. В результате для пользователя, чьи ключи вы отозвали, будет завершена сессия работы в программе одновременно на всех устройствах, на которых он был авторизован. Отзыв ключей может быть полезен в случае, если требуется принудительно завершить сеансы подключения к программе для определенного пользователя.

Чтобы отозвать ключ или ключи для учетной записи пользователя:

1. В меню пользователя выберите раздел Настройка.

   Откроется раздел Пользователи.

2. Около учетной записи пользователя, ключи для которой вы хотите отозвать, нажмите на кнопку отзыва ключей .
3. В открывшемся окне подтверждения нажмите на кнопку Да.

Ключи для учетной записи пользователя будут отозваны, пользовательская сессия будет завершена.

Управление блокировкой учетной записи пользователя

Вы можете заблокировать или разблокировать учетную запись пользователя. При блокировке учетной записи пользователь не может авторизоваться в Kaspersky MLAD.

Если пользователь был авторизован в момент блокировки его учетной записи, сессия работы в программе будет активна до выполнения одного из следующих условий:

• Пользователь вышел из своей учетной записи.
• Программа автоматически завершила сеанс подключения по истечении срока действия ключей для учетной записи пользователя.
• Администратор отозвал ключи для учетной записи пользователя.

Чтобы заблокировать или разблокировать учетную запись пользователя:

1. В меню пользователя выберите раздел Настройка.

   Откроется раздел Пользователи.

2. Для нужного пользователя выполните одно из следующих действий:
   • Если требуется заблокировать учетную запись пользователя, выключите переключатель Активность в нужной строке таблицы.
   • Если требуется разблокировать учетную запись пользователя, включите переключатель Активность в нужной строке таблицы.

Управление уведомлениями об инцидентах

Этот раздел содержит информацию об управлении уведомлениями при регистрации инцидентов. Уведомления отправляются по электронной почте пользователям, для которых они были настроены.

Управление уведомлениями об инцидентах доступно только для пользователей с правами администратора.

Предварительно требуется настроить и запустить службу Mail Notifier.

Все созданные уведомления об инцидентах отображаются в разделе Настройка → Уведомления. Раздел Уведомления содержит таблицу, в которой представлена информация об уведомлениях.

Если требуется, вы можете изменять количество уведомлений, отображаемых на одной странице.

Вы можете создавать, изменять и удалять уведомления об определенных инцидентах для пользователей Kaspersky MLAD.

Раздел Уведомления

Создание уведомления об инцидентах

Управление уведомлениями об инцидентах доступно только для пользователей с правами администратора.

Чтобы создать уведомление пользователя об инцидентах:

1. В меню пользователя выберите раздел Настройка → Уведомления.

   Вы перейдете в режим администрирования.

2. На открывшейся странице нажмите на кнопку Создать.

   Откроется окно Создание уведомления.

3. В раскрывающемся списке Пользователь выберите пользователя, для которого вы хотите создать уведомление.

   В списке Пользователь отображаются фамилии и имена пользователей, заданные при создании их учетных записей.

4. В поле Адрес электронной почты измените адрес электронной почты пользователя, на который будут приходить уведомления об инцидентах.

   По умолчанию Kaspersky MLAD автоматически заполняет поле Адрес электронной почты адресом, указанным для выбранного пользователя при создании его учетной записи.

5. Укажите типы инцидентов, при регистрации которых требуется получать уведомления:
   • Если вы хотите настроить уведомление о прогнозируемых значениях тега, установите флажок Forecaster.
   • Если вы хотите настроить уведомление о приближении значения тега к допустимым пределам, установите флажок Limit Detector.
   • Если вы хотите настроить уведомление о достижении значения индикаторного тега порога, установленного для диагностического правила, установите флажок Rule Detector.
   • Если вы хотите настроить уведомление о прекращении или прерывании входного потока данных определенного тега, а также об обнаружении наблюдений, поступивших слишком рано или поздно, установите флажок Stream Processor.
6. В поле Язык рассылки выберите язык, на котором будут приходить уведомления об инцидентах.

   По умолчанию для уведомлений об инцидентах используется текущий язык локализации веб-интерфейса Kaspersky MLAD. Доступны английский и русский языки.

7. Для включения отправки уведомлений установите переключатель Состояние в положение Активировано.
8. Нажмите на кнопку Создать.

Информация о новом уведомлении отобразится в таблице. Если требуется, вы можете изменять или удалять уведомления.

Изменение уведомления об инцидентах

Управление уведомлениями об инцидентах доступно только для пользователей с правами администратора.

Чтобы изменить уведомление об инцидентах:

1. В меню пользователя выберите раздел Настройка → Уведомления.

   Вы перейдете в режим администрирования.

2. Установите флажок около уведомления, которое вы хотите изменить, и нажмите на кнопку Изменить.

   Кнопка Изменить доступна, если выбрано только одно уведомление.

3. Внесите необходимые изменения.
4. При необходимости включите или выключите отправку уведомлений об инцидентах с помощью переключателя Состояние.
5. Нажмите на кнопку Изменить для сохранения изменений.

Измененная информация об уведомлении отобразится в таблице. Если требуется, вы можете удалять уведомления.

Включение и выключение отправки уведомлений об инцидентах

Kaspersky MLAD позволяет временно выключить отправку уведомлений вместо удаления их конфигураций. Информация об уведомлении сохраняется в разделе Уведомления. Вы можете включить отправку уведомление в любое время.

Чтобы включить или выключить отправку уведомлений об инцидентах:

1. В меню пользователя выберите раздел Настройка → Уведомления.

   Вы перейдете в режим администрирования.

2. С помощью переключателя в столбце Состояние включите или выключите отправку нужного уведомления об инцидентах.

Удаление уведомления об инцидентах

Управление уведомлениями об инцидентах доступно только для пользователей с правами администратора.

Чтобы удалить уведомление об инцидентах:

1. В меню пользователя выберите раздел Настройка → Уведомления.

   Вы перейдете в режим администрирования.

2. Установите флажок около уведомления, которое вы хотите удалить, и нажмите на кнопку Удалить.

   Кнопка Удалить доступна, если выбрано хотя бы одно уведомление. Вы можете выбрать несколько уведомлений одновременно.

3. В открывшемся окне нажмите на кнопку Да, чтобы подтвердить удаление.

Информация об уведомлении будет удалена из таблицы.

Kaspersky MLAD позволяет временно выключить отправку уведомлений вместо удаления.

Удаление программы

Удаление Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

В результате удаления Kaspersky MLAD будут потеряны все данные Kaspersky MLAD, полученные, загруженные и обработанные с момента установки программы. Рекомендуется проверить наличие полной резервной копии всех данных Kaspersky MLAD. При обновлении программы Kaspersky MLAD автоматически создает резервную копию предыдущей версии программы.

Чтобы удалить Kaspersky MLAD:

1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – mlad-release-3.0.0-<номер установочной сборки>):

   cd mlad-release-3.0.0-<номер сборки>

2. Запустите скрипт установки setup.sh с ключом -u:

   sudo ./setup.sh -u

3. Подтвердите удаление компонентов Kaspersky MLAD.

Программа Kaspersky MLAD будет удалена.