Настройка параметров Kaspersky MLAD

Этот раздел содержит инструкции по настройке параметров Kaspersky MLAD.

Настройка основных параметров Kaspersky MLAD

Kaspersky MLAD позволяет указать название объекта мониторинга, веб-адрес и IP-адрес для подключения пользователей к веб-интерфейсу программы, а также периодичность получения новых данных от объекта мониторинга. Название объекта мониторинга будет отображаться в каждом разделе веб-интерфейса Kaspersky MLAD.

Работы по настройке основных параметров Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить основные параметры Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры → Основные.

   Справа отобразится список параметров.

2. В поле Имя объекта мониторинга укажите название объекта мониторинга.
3. В поле Веб-адрес программы укажите веб-адрес программы.
4. В поле IP-адрес для подключения к программе укажите IP-адрес программы.
5. В поле Интервал получения данных из службы Message Broker (мс) укажите интервал обновления данных телеметрии в веб-интерфейсе программы.

   Чем больше указанное значение параметра, тем реже происходит обновление данных.

6. В поле Интервал получения статистических данных об инцидентах из базы данных (мс) укажите интервал обновления в веб-интерфейсе программы данных о зарегистрированных программой инцидентах.
7. В поле Количество попыток авторизации укажите количество неудачных попыток авторизации, при достижении которого Kaspersky MLAD заблокирует учетную запись пользователя.
8. В поле Период блокировки пользователя (сек.) укажите период в секундах, в течение которого учетная запись пользователя будет заблокирована после достижения заданного количества неудачных попыток авторизации.
9. Нажмите на кнопку Сохранить.

Настройка службы Anomaly Detector

В Kaspersky MLAD ML-модель может содержать следующие детекторы:

• Limit Detector – обнаруживает аномалии по факту выхода значения тега за минимальное или максимальное значение.
• Forecaster – предсказывает поведение объекта в настоящем на основе данных о его поведении в ближайшем прошлом.
• XGBoost – c определенной вероятностью обнаруживает аномалии в данных объекта мониторинга на основе выученной XGBoost-классификатором выборке данных для рассматриваемого отрезка времени.
• Rule Detector – строит прогнозы значений, принимаемых тегами при штатном функционировании объекта мониторинга и регистрирует инцидент при срабатывании одного или нескольких правил.

Вы можете настроить процесс обнаружения аномалий с учетом особенностей вашего объекта мониторинга, включив или выключив нужные детекторы в параметрах службы Anomaly Detector.

Работы по настройке службы Anomaly Detector выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры службы Anomaly Detector Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры → Anomaly Detector.

   Справа отобразится список параметров.

2. С помощью переключателя Использовать детектор Limit Detector включите или выключите использование детектора Limit Detector.
3. С помощь переключателя Использовать детектор Forecaster включите или выключите использование детектора Forecaster.
4. С помощью переключателя Использовать детектор XGBoost включите или выключите использование детектора XGBoost.
5. С помощью переключателя Использовать детектор Rule Detector включите или выключите использование детектора Rule Detector.
6. С помощью переключателя Пропускать разрывы в данных включите или выключите функцию пропуска разрывов в поступающем потоке данных.
7. В поле Максимальное количество запрашиваемых записей из службы Message Broker введите количество записей, которое требуется запрашивать от службы Message Broker для последующей обработки в Anomaly Detector.
8. В поле Количество сообщений, отправляемых в одном блоке в службу Message Broker введите количество инцидентов, которое требуется отправлять в службу Message Broker за один раз.
9. В поле Количество одновременно запущенных моделей введите максимальное количество ML-моделей, которые могут анализировать данные телеметрии одновременно.

   Для максимальной производительности Kaspersky MLAD количество одновременно работающих ML-моделей не должно превышать 80% от количества ядер сервера, на котором установлен Kaspersky MLAD.

10. Нажмите на кнопку Сохранить.

Настройка службы Keeper

Kaspersky MLAD использует службу Keeper для маршрутизации данных телеметрии, которые подлежат сохранению в базе данных. Вы можете настроить параметры, определяющие скорость получения данных от коннекторов и внешних источников данных, а также объем сохранения этих данных в базе Kaspersky MLAD.

Работы по настройке параметров маршрутизации данных Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры маршрутизации данных Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры → Keeper.

   Справа отобразится список параметров.

2. Выполните одно из следующих действий:
   • Если требуется сохранять в базе данных как известные, так и неизвестные программе теги, поступающие от внешних источников, включите переключатель Сохранять все теги.
   • Если требуется сохранять только известные программе теги, выключите переключатель Сохранять все теги.
3. В поле Время ожидания получения тегов (мс) введите максимальное время ожидания (в миллисекундах) для получения значений тегов.
4. В поле Время ожидания получения инцидентов (мс) введите максимальное время ожидания (в миллисекундах) для получения инцидентов.
5. В поле Время ожидания получения метрик (мс) введите максимальное время ожидания (в миллисекундах) для получения метрик.

6. Нажмите на кнопку Сохранить.

Настройка службы Mail Notifier

Kaspersky MLAD использует службу Mail Notifier для уведомления пользователей о регистрации программой инцидентов.

Работы по настройке службы Mail Notifier выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Настройка службы Mail Notifier не является обязательной и выполняется, если в сети объекта мониторинга настроен SMTP-сервер.

Чтобы настроить службу Mail Notifier:

1. В меню администратора выберите раздел Системные параметры → Mail Notifier.

   Справа отобразится список параметров.

2. Если требуется, с помощью переключателя Использовать SSL-соединение включите использование защищенного SSL-соединения.

   По умолчанию использование защищенного SSL-соединения выключено.

3. В поле Адрес SMTP-сервера укажите IP-адрес и порт SMTP-сервера.
4. В поле Имя пользователя для SMTP-сервера укажите логин для SMTP-сервера.
5. В поле Пароль для SMTP-сервера укажите пароль для SMTP-сервера.
6. Если вы используете защищенное SSL-соединение, выполните следующие действия:
   • В поле Сертификат SMTP-сервера загрузите сертификат удостоверяющего центра.
   • В поле Ключ к сертификату SMTP-сервера загрузите ключ к сертификату удостоверяющего центра.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить () в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле.

7. Нажмите на кнопку Сохранить.

Настройка службы Similar Anomaly

Kaspersky MLAD использует службу Similar Anomaly для выявления схожих инцидентов и объединения их в группы. В группах вы можете просматривать похожие инциденты, которые были зарегистрированы в разное время.

Работы по настройке службы Similar Anomaly выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры службы Similar Anomaly:

1. В меню администратора выберите раздел Системные параметры → Similar Anomaly.

   Справа отобразится список параметров службы.

2. В поле Минимальное количество инцидентов для группы введите минимальное количество похожих инцидентов для формирования группы.
3. В поле Максимальное количество инцидентов для группы введите максимальное количество инцидентов, которое может входить в одну группу.

   Если вы хотите, чтобы все инциденты формировались в одну группу, оставьте это поле пустым.

4. В поле Максимальное расстояние между схожими инцидентами введите максимальное расстояние, на которое могут отстоять друг от друга схожие инцидентами.

   Вы можете указать значение в диапазоне от 0 до 1.

5. Нажмите на кнопку Сохранить.

Настройка службы Stream Processor

Служба Stream Processor собирает данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени (входной поток), и приводит их к РИВС (выходной поток). На основе накопленных данных служба Stream Processor определяет значения тегов в выходном потоке данных. После преобразования данных в выходной поток служба Stream Processor передает данные на обработку в ML-модель.

При преобразовании поступающих данных телеметрии служба Stream Processor учитывает возможные потери данных (например, в случае временного отключения сети объекта мониторинга) и обрабатывает наблюдения, поступившие в Kaspersky MLAD слишком рано или поздно. В таких случаях служба Stream Processor формирует инциденты и/или передает значения тегов по умолчанию в выходной поток данных.

Служба Stream Processor также может вычислять производные теги на основе поступающих данных телеметрии (например, для вычисления скользящего среднего или среднего значения группы тегов).

Работы по настройке службы Stream Processor выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры службы Stream Processor:

1. В меню администратора выберите раздел Системные параметры → Stream Processor.
2. В поле Периодичность равноинтервальной последовательности (сек.) укажите период в секундах, с которым служба Stream Processor будет обрабатывать поступающие данные телеметрии.
3. В поле Конфигурационный файл добавьте файл, который содержит параметры конфигурации для службы Stream Processor.

   Если требуется удалить файл конфигурации для службы Stream Processor, нажмите на значок Очистить (). Если требуется сохранить файл конфигурации на компьютере, нажмите на значок Загрузить ().

4. Нажмите на кнопку Сохранить.

Настройка коннектора HTTP Connector

Kaspersky MLAD использует коннектор HTTP Connector для получения данных из CSV-файлов при регламентной загрузке данных методом POST.

Работы по настройке коннектора HTTP Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить работу коннектора HTTP Connector:

1. В меню администратора выберите раздел Системные параметры → HTTP Connector.

   Справа отобразится список параметров.

2. С помощью переключателя Записывать данные в службу Message Broker включите функцию записи данных в службу Message Broker.
3. Если требуется, с помощью переключателя Сохранять полученный файл включите функцию сохранения полученных CSV-файлов.
4. В поле Размер записываемого блока (количество тегов) укажите количество тегов, которое единовременно записывается в Message Broker.
5. В поле Максимальный размер загружаемого файла (MБ) укажите максимальный размер файла (в мегабайтах), передаваемого в HTTP Connector.

   При попытке загрузить CSV-файл большего размера файл не будет передан в HTTP Connector.

   Если указано значение 0, то максимальный размер файла не ограничен.

6. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные из CSV-файлов с помощью коннектора HTTP Connector.

Пример отправки CSV-файла в HTTP Connector через cURL методом POST на порт 4999 сервера Kaspersky MLAD:

Коннектор HTTP Connector принимает CSV-файлы со следующими полями:

timestamp;tag_name;value

где:

• timestamp – временная метка в формате %Y-%m-%dT%H:%M:%S.
• tag_name – имя тега.
• value – значение тега.

  Если значение тега содержит дробную часть, используйте точку при отделении целой и дробной частей.

Настройка коннектора MQTT Connector

Kaspersky MLAD использует MQTT Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).

Работы по настройке коннектора MQTT Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить работу коннектора MQTT Connector:

1. В меню администратора выберите раздел Системные параметры → MQTT Connector.

   Справа отобразится список параметров.

2. Если требуется, с помощью переключателя Использовать SSL-соединение включите использование защищенного SSL-соединения.

   По умолчанию использование защищенного SSL-соединения выключено.

3. В поле MQTT-брокер (адрес:порт) укажите имя хоста и порт внешнего MQTT-брокера, с которым будет взаимодействовать MQTT Connector.

   По умолчанию этот параметр имеет значение mqtt_broker:1883.

4. В поле Имя пользователя для MQTT-соединения укажите имя пользователя.
5. В поле Пароль для MQTT-соединения укажите пароль пользователя.
6. Если вы включили использование защищенного SSL-соединения, в поле Сертификат CA добавьте корневой сертификат для MQTT-брокера.

   Если требуется удалить файл сертификата, нажмите на значок Очистить (). Если требуется сохранить файл сертификата на компьютере, нажмите на значок Загрузить ().

7. Если требуется использовать клиентские сертификаты для защищенного SSL-соединения, выполните следующие действия:
   • В поле Сертификат клиента добавьте сертификат клиентского приложения MQTT.
   • В поле Ключ к сертификату клиента добавьте ключ к сертификату клиентского приложения MQTT.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить () в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле.

8. В поле Список подписок MQTT для получения тегов введите имя списка подписок MQTT, от которых MQTT Connector будет получать значения тегов.

   По умолчанию этот параметр имеет значение tags.

9. В поле Топик MQTT для публикации сообщений укажите имя топика, в котором MQTT Connector будет публиковать сообщения о регистрации инцидента.

   Если значение этого параметра не установлено, то отправка сообщений не производится.

   По умолчанию для этого параметра значение не установлено.

10. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться оповещения об инцидентах.

    Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

    По умолчанию этот параметр имеет значение JSONBatch.

    Если вам не подходит ни один из форматов данных и оповещений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

11. Если вы выбрали формат данных Topic, то в поле Конфигурационный файл коннектора добавьте конфигурационный файл, содержащий параметры настройки коннектора для этого формата данных.

    Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить ().

12. Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.

    По умолчанию масштабирование полученных данных выключено.

13. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу MQTT.

Настройка коннектора AMQP Connector

Kaspersky MLAD использует AMQP Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).

Работы по настройке коннектора AMQP Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить работу коннектора AMQP Connector:

1. В меню администратора выберите раздел Системные параметры → AMQP Connector.

   Справа отобразится список параметров.

2. Если требуется, с помощью переключателя Использовать SSL-соединение включите использование защищенного SSL-соединения.

   По умолчанию использование защищенного SSL-соединения выключено.

3. В поле AMQP-брокер (адрес:порт) укажите имя хоста и порт внешнего AMQP-брокера, с которым будет взаимодействовать AMQP Connector.

   По умолчанию этот параметр имеет значение rabbitmq:5672.

4. В поле Имя пользователя для AMQP-соединения укажите имя пользователя.
5. В поле Пароль для AMQP-соединения укажите пароль пользователя.
6. Если вы включили использование защищенного SSL-соединения, в поле Сертификат CA добавьте корневой сертификат для AMQP-брокера.

   Если требуется удалить файл сертификата, нажмите на значок Очистить (). Если требуется сохранить файл сертификата на компьютере, нажмите на значок Загрузить ().

7. Если требуется использовать клиентские сертификаты для защищенного SSL-соединения, выполните следующие действия:
   • В поле Сертификат клиента добавьте сертификат клиентского приложения AMQP.
   • В поле Ключ к сертификату клиента добавьте ключ к сертификату клиентского приложения AMQP.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить () в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле.

8. В поле Виртуальный узел AMQP укажите виртуальный узел для установки соединения между коннектором AMQP Connector и внешним AMQP-брокером.

   По умолчанию этот параметр имеет значение /.

9. В поле Имя точки обмена (exchange) AMQP для получения тегов укажите имя точки обмена для получения тегов от внешнего AMQP-брокера.

   Если значение для этого параметра не установлено, то получение тегов через AMQP Connector не происходит.

   По умолчанию для этого параметра значение не установлено.

10. В поле Список подписок AMQP для получения тегов укажите имя списка подписок, от которых AMQP Connector будет получать значения тегов.

    По умолчанию этот параметр имеет значение #.

11. В поле Очередь AMQP для получения тегов укажите имя очереди для AMQP коннектора. Поле не является обязательным для заполнения.
12. В поле Имя точки обмена (exchange) AMQP для публикации сообщений укажите имя точки обмена для отправки сообщений о возникновении событий.

    Если значение для этого параметра не установлено, то отправка сообщений не происходит. Вы можете указать то же имя, которое указали в пункте 8 этой инструкции.

    По умолчанию для этого параметра значение не установлено.

13. В поле Топик AMQP для публикации сообщений укажите имя топика, в котором AMQP Connector будет публиковать сообщения о регистрации инцидента.

    По умолчанию этот параметр имеет значение alert.

14. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться оповещения об инцидентах.

    Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

    По умолчанию этот параметр имеет значение JSONBatch.

    Если вам не подходит ни один из форматов данных и оповещений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

15. Если вы выбрали формат данных Topic, то в поле Конфигурационный файл коннектора добавьте конфигурационный файл, содержащий параметры настройки коннектора для этого формата данных.

    Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить ().

16. Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.

    По умолчанию масштабирование полученных данных выключено.

17. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу AMQP.

Настройка коннектора OPC UA Connector

Kaspersky MLAD использует OPC UA Connector для получения данных по протоколу, который описан спецификацией OPC Unified Architecture (унифицированная архитектура OPC).

Работы по настройке коннектора OPC UA Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить работу коннектора OPC UA Connector:

1. В меню администратора выберите раздел Системные параметры → OPC UA Connector.

   Справа отобразится список параметров.

2. В поле Точка подключения укажите адрес подключения. Например, opc.tcp://10.65.48.40:8001/freeopcua/server/.
3. В поле Конфигурационный файл добавьте файл, содержащий параметры для настройки OPC UA Connector.

   Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить ().

4. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные по протоколу, который описан спецификацией OPC Unified Architecture.

Настройка коннектора KICS Connector

Kaspersky MLAD использует коннектор KICS Connector для получения данных от Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше и отправки обратно сообщений о регистрации инцидентов.

Предварительно в Kaspersky Industrial CyberSecurity for Networks требуется создать и добавить коннектор для интеграции с Kaspersky MLAD. Подробную информацию о создании и добавлении коннектора вы можете получить в разделе Добавление коннектора в справке Kaspersky Industrial CyberSecurity for Networks.

Работы по интеграции с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить коннектор KICS Connector:

1. В меню администратора выберите раздел Системные параметры → KICS Connector.

   Справа отобразится список параметров.

2. В поле Файл свертки для коннектора KICS Connector (zip) добавьте файл, содержащий параметры настройки взаимодействия Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks.

   Подробную информацию о создании файла свертки вы можете получить в справке Kaspersky Industrial CyberSecurity for Networks. Созданный файл свертки требуется сохранить на компьютере, на котором установлен Kaspersky MLAD.

   Если требуется удалить файл свертки, в поле Файл свертки для коннектора KICS Connector (zip) нажмите на значок Очистить (). Если требуется сохранить файл свертки на компьютере, нажмите на значок Загрузить ().

3. В поле Пароль для коннектора KICS Connector введите пароль, который вы указали при добавлении коннектора в Kaspersky Industrial CyberSecurity for Networks.
4. Если требуется отправлять в Kaspersky Industrial CyberSecurity for Networks сообщения о регистрации инцидентов, включите переключатель Отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks.
5. В поле Частота семплирования тегов (Гц) укажите частоту (в герцах), с которой требуется получать значения тегов из Kaspersky Industrial CyberSecurity for Networks.

   Укажите в этом поле значение 0, если не требуется использовать семплирование. Семплирование (англ. data sampling) – метод корректировки обучающей выборки с целью балансировки распределения классов в исходном наборе данных.

6. Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.

   По умолчанию масштабирование полученных данных выключено.

7. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные из Kaspersky Industrial CyberSecurity for Networks и отправлять обратно сообщения о регистрации инцидентов.

Настройка коннектора CEF Connector

Kaspersky MLAD использует коннектор CEF Connector для получения данных от внешних источников событий (промышленного интернета вещей, сетевых устройств и приложений) и отправки обратно сообщений о регистрации инцидентов.

Для получения событий от внешних источников с помощью коннектора CEF Connector требуется настроить службу Event Processor.
Перед настройкой параметров коннектора CEF Connector в веб-интерфейсе Kaspersky MLAD требуется указать в файле .env IP-адрес и номер порта, по которому будет осуществляться подключение к внешнему источнику событий при получении событий.

Работы по настройке коннектора CEF Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы настроить коннектор CEF Connector:

1. В меню администратора выберите раздел Системные параметры → CEF Connector.

   Справа отобразится список параметров.

2. Если требуется, с помощью переключателя Получать события для службы Event Processor включите использование коннектора CEF Connector для получения событий из внешней системы.
3. Если требуется отправлять во внешнюю систему сообщения об инцидентах, зарегистрированных службой Anomaly Detector, включите переключатель Отправлять зарегистрированные инциденты в SIEM-систему.
4. Если требуется отправлять во внешнюю систему сообщения о событиях, зарегистрированных службой Event Processor, включите переключатель Отправлять зарегистрированные события в SIEM-систему.
5. В поле IP-адрес для отправки событий и инцидентов в SIEM-систему укажите IP-адрес для подключения к внешней системе и отправке событий, обработанных службой Event Processor, и инцидентов, зарегистрированных службой Anomaly Detector.
6. В поле Порт для отправки событий и инцидентов в SIEM-систему укажите номер порта для подключения к внешней системе и отправке событий, обработанных службой Event Processor, и инцидентов, зарегистрированных службой Anomaly Detector.
7. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные от внешних источников событий (промышленного интернета вещей, сетевых устройств и приложений) и отправлять обратно сообщения о регистрации событий и инцидентов.

Настройка коннектора WebSocket Connector

Kaspersky MLAD использует WebSocket Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу WebSocket.

Работы по настройке коннектора WebSocket Connector выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор. Описанная в этом разделе инструкция приведена для ознакомительных целей.

Чтобы настроить коннектор WebSocket Connector:

1. В меню администратора выберите раздел Системные параметры → WebSocket Connector.

   Справа отобразится список параметров.

2. В поле Веб-адрес WebSocket-сервера укажите веб-адрес WebSocket-сервера, с которым будет взаимодействовать WebSocket Connector.

   Укажите веб-адрес в формате WebSocket-протокол://адрес:порт/.

3. Если требуется использовать защищенное соединение для подключения к WebSocket-серверу, в поле Сертификат CA добавьте корневой сертификат для WebSocket-сервера.

   Если требуется удалить файл сертификата, нажмите на значок Очистить (). Если требуется сохранить файл сертификата на компьютере, нажмите на значок Загрузить ().

4. Если требуется использовать клиентские сертификаты для защищенного подключения к WebSocket-серверу, выполните следующие действия:
   • В поле Сертификат клиента добавьте сертификат клиентского приложения WebSocket.
   • В поле Ключ к сертификату клиента добавьте ключ к сертификату клиентского приложения WebSocket.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на значок Очистить () в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на значок Загрузить () в соответствующем поле.

5. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться оповещения об инцидентах.

   Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

   По умолчанию этот параметр имеет значение JSONBatch.

   Если вам не подходит ни один из форматов данных и оповещений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

6. Если вы выбрали формат данных Topic, то в поле Конфигурационный файл коннектора добавьте конфигурационный файл, содержащий параметры настройки коннектора для этого формата данных.

   Если требуется удалить конфигурационный файл коннектора, нажмите на значок Очистить (). Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на значок Загрузить ().

7. Если требуется пересчитывать значения тегов с учетом параметров, значения которых указаны в файле пресета, включите переключатель Масштабировать полученные значения тегов.

   По умолчанию масштабирование полученных данных выключено.

8. Если требуется отправлять оповещения о зарегистрированных в Kaspersky MLAD инцидентах на WebSocket-сервер, включите переключатель Отправлять инциденты.
9. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу WebSocket.

Настройка службы Event Processor

Kaspersky MLAD использует службу Event Processor для выявления паттернов и аномальных последовательностей событий и паттернов. Вы можете настроить параметры службы Event Processor.

В случае перезапуска Kaspersky MLAD повторно задавать параметры службы Event Processor не нужно. Kaspersky MLAD восстанавливает состояние службы Event Processor из базы данных или файла в битовом формате. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления может занимать несколько минут. До момента восстановления состояния службы Event Processor в разделе Процессор событий не будут выполняться запросы и обновляться данные, а также в это время не будут обрабатываться данные, поступающие от CEF-коннектора. Эти данные временно сохраняются в очереди сообщений системы и обрабатываются после восстановления состояния службы Event Processor.

Для работы службы Event Processor может потребоваться большой объем оперативной памяти на сервере, на котором установлен Kaspersky MLAD. Объем используемой оперативной памяти зависит от интенсивности потока событий и объема обрабатываемой истории событий. Также на объем используемой оперативной памяти влияет правильность настройки параметров службы Event Processor.

Работы по настройке службы Event Processor выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры службы Event Processor:

1. В меню администратора выберите раздел Системные параметры → Event Processor.

   Справа отобразится список параметров службы.

2. В блоке Основной режим выполните следующие действия:
   1. В поле Конфигурационный файл процессора событий добавьте файл, который содержит параметры конфигурации для службы Event Processor.

      Файл конфигурации создается сотрудником "Лаборатории Касперского" или сертифицированным интегратором.

      Если требуется удалить файл конфигурации для службы Event Processor, нажмите на значок Очистить (). Если требуется сохранить файл конфигурации на компьютере, нажмите на значок Загрузить ().

      Изменение файла конфигурации службы Event Processor приводит к полной потере данных службы.

   2. Если требуется обрабатывать инциденты, зарегистрированные службой Anomaly Detector, включите переключатель Обрабатывать инциденты как события.
   3. В поле Максимальное количество слоев сети укажите количество слоев нейросемантической сети, которое будет использоваться.

      По умолчанию количество слоев сети для событийных данных, имеющих в основе определенную структуру, составляет десять слоев. В большинстве случаев нейросемантической сети в основе процессора событий достаточно десяти слоев для иерархического представления данных. Для выявления протяженных по времени паттернов периодических процессов может потребоваться увеличение значения параметра Максимальное количество слоев сети.

   4. В поле Коэффициент, определяющий допустимую дисперсию длительности паттерна укажите коэффициент, с помощью которого будет определяться допустимая дисперсия интервалов между элементами в одном паттерне.

      Если фактическая величина дисперсии меньше либо равна указанной, то выявленные последовательности событий будут относиться к одному паттерну.

   5. В поле Интервал получения событий эпизода (сек.) укажите интервал времени в секундах, за который служба Event Processor формирует эпизод из поступающих на обработку событий.

      Если скорость получения событий составляет около 1000 событий в секунду, то рекомендуется указывать такое значение периода получения новых событий, чтобы за указанный период поступало количество событий, близкое к значению, которое указано в поле Размер эпизода в основном режиме (количество событий). Если скорость получения событий гораздо ниже, то период получения новых событий следует выставлять, исходя из баланса операционной актуальности обработки событий.

   6. В поле Размер эпизода в основном режиме (количество событий) укажите максимальное количество событий в эпизоде для последующей обработки службой Event Processor.

      Если скорость получения событий составляет около 1000 событий в секунду, то в этом поле рекомендуется указывать значение равное 4096.

   7. В раскрывающемся списке Способ сохранения состояния службы Event Processor выберите один из следующих способов сохранения состояния службы Event Processor:
      • Таблица базы данных – Kaspersky MLAD сохраняет результат обработки каждого эпизода в таблице базы данных.
      • Файл в битовом формате – Kaspersky MLAD сохраняет состояние службы Event Processor с частотой, заданной в поле Периодичность создания резервных копий компонента. Программа сохраняет состояние службы в файле, указанном в поле Файл, содержащий резервную копию состояния компонента.

        Сохранение состояния службы Event Processor в файл в битовом формате рекомендуется использовать для отладки и настройки параметров программы сотрудниками "Лаборатории Касперского" в процессе выполнения работ по внедрению Kaspersky MLAD.

      По умолчанию служба Event Processor сохраняет результаты обработки потока событий в таблице базы данных.

      Изменение способа сохранения состояния службы Event Processor приводит к полной потере данных службы.

   8. Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, в поле Периодичность создания резервных копий компонента укажите период (в днях, часах и минутах), через который будет выполняться резервное копирование службы Event Processor.
   9. Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, в поле Файл, содержащий резервную копию состояния компонента добавьте файл, который содержит резервную копию службы Event Processor.

      Файл будет использован, если понадобится восстановить состояние службы Event Processor. Восстановление состояния службы Event Processor выполняют специалисты "Лаборатории Касперского" в рамках расширенной технической поддержки.

      Если требуется удалить файл, содержащий резервную копию службы Event Processor, нажмите на значок Очистить (). Если требуется сохранить файл, содержащий резервную копию службы, на компьютере, нажмите на значок Загрузить ().

3. В блоке Режим сна выполните следующие действия:
   1. В поле Размер эпизода в режиме сна (количество событий) укажите количество событий для формирования эпизода в режиме сна.

      Служба Event Processor формирует эпизоды на основе истории событий, поступивших на повторную обработку за интервал времени, заданный в поле Интервал истории событий для обработки в режиме сна.

   2. В поле Отправка оповещений при активации монитора в режиме сна выберите одно из следующих значений:
      • Отправлять оповещения об активации монитора любым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
      • Не отправлять оповещений об активациях монитора – Kaspersky MLAD не отправляет оповещений об активации монитора в режиме сна.
      • Отправлять оповещения об активации монитора новым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна новых паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
      • Отправлять оповещения об активации монитора ранее зарегистрированным паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна стабильных паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
   3. В поле Периодичность режима сна укажите, как часто (в днях) и в какое время (в формате UTC) служба Event Processor будет переходить в режим сна для повторной обработки событий.

      В качестве времени начала режима сна рекомендуется указать время, когда поток событий наименее интенсивен.

      Если заданное время сна не наступило в текущий день, процессор событий перейдет в режим сна в этот же день. Если время сна уже наступило в текущий день, служба Event Processor перейдет в режим сна в указанное время через заданное количество дней.

   4. В поле Продолжительность режима сна (ЧЧ:ММ) укажите интервал времени (в часах и минутах), в течении которого служба Event Processor будет обрабатывать события в режиме сна.
   5. В поле Интервал истории событий для обработки в режиме сна укажите интервал времени (в днях, часах и минутах), за который требуется передать проанализированные события на повторную обработку службой Event Processor в режиме сна.
4. Нажмите на кнопку Сохранить.

Настройка статусов и причин инцидентов

Kaspersky MLAD позволяет указать причины для инцидентов, а также статусы для инцидентов и групп инцидентов.

Статус инцидента и группы инцидентов представляет собой отметку о статусе анализа инцидента, проводимого экспертом. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание.

Причина инцидента представляют собой отметку о причине возникновения инцидента, которую добавляет эксперт по результатам анализа инцидента.

Вы можете добавить причины и статусов инцидентов. Созданные причины и статусы инцидентов станут доступными для выбора в разделе Инциденты. Вы также можете изменять и удалять статусы и причины инцидентов.

Работы по настройке причин и статусов инцидентов выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы добавить статусы инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. В блоке Статусы инцидентов нажмите на кнопку Создать.

   Справа появится панель Создание элемента.

3. В поле Значение, русский язык укажите название статуса инцидента на русском языке.
4. В поле Значение, английский язык укажите название статуса инцидента на английском языке.
5. В поле Сортировка укажите порядковый номер, с которым статус инцидента будет отсортирован в раскрывающемся списке Статус в разделе Инциденты.

   Статусы инцидентов будут отсортированы по их названиям, если порядковые номера статусов инцидентов совпадают.

6. Если требуется отправлять уведомления о регистрации инцидентов с добавляемым статусом и отображать его индикатор в блоке ошибки MSE для разделов Мониторинг и История, установите флажок Уведомлять об инциденте.
7. Нажмите на кнопку Сохранить.

Чтобы добавить причины инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. В блоке Причины инцидентов нажмите на кнопку Создать.

   Справа появится панель Создание элемента.

3. В поле Причина инцидента укажите название причины инцидента.
4. В поле Сортировка укажите порядковый номер, с которым причина инцидента будет отсортирована в раскрывающемся списке Причина инцидента в разделе Инциденты.

   Причины инцидентов будут отсортированы по их названиям, если порядковые номера причин инцидентов совпадают.

5. Нажмите на кнопку Сохранить.

Чтобы изменить статусы или причины инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. Для изменения параметров инцидентов, выполните одно из следующих действий:
   • Если требуется изменить статусы инцидентов и групп инцидентов, в блоке параметров Статусы инцидентов выберите один или несколько статусов инцидентов и нажмите на кнопку Изменить.
   • Если требуется изменить причины инцидентов, в блоке параметров Причины инцидентов выберите одну или несколько причин инцидентов нажмите на кнопку Изменить.
3. Внесите необходимые изменения.
4. Нажмите на кнопку Сохранить.

Чтобы удалить статусы или причины инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. Для удаления параметров инцидентов, выполните одно из следующих действий:
   • Если требуется удалить статусы инцидентов и групп инцидентов, в блоке параметров Статусы инцидентов выберите один или несколько статусов инцидентов и нажмите на кнопку Удалить.
   • Если требуется удалить причины инцидентов, в блоке параметров Причины инцидентов выберите одну или несколько причин инцидентов и нажмите на кнопку Удалить.
3. В открывшемся окне нажмите на кнопку Да, чтобы подтвердить удаление.

Kaspersky MLAD удалит информацию о статусах или причинах инцидентов из соответствующих таблиц, а также из информации об инцидентах и группах инцидентов в разделе Инциденты, для которых были выбраны эти причины или статусы инцидентов.

Настройка логирования служб Kaspersky MLAD

Вы можете настроить уровни логирования служб Kaspersky MLAD для записи определенной информации о состоянии программы и ее отображения в системе логирования (Grafana). Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker, см. в Приложении.

Работы по настройке логирования служб Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить уровни логирования служб Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры → Логирование.

   Справа отобразится список служб Kaspersky MLAD.

2. Если требуется, в раскрывающихся списках рядом с названием необходимой службы измените уровень логирования службы.

   В Kaspersky MLAD доступны следующие уровни логирования:

   • Отладка – логирование всей информации в программе;
   • Инфо – логирование общей информации о работе программы;
   • Общие – логирование важной информации о работе программы;
   • Важные – логирование ошибок, возникших в работе программы, и событий, которые могут привести к ошибкам в работе программы;
   • Ошибка – логирование ошибок, возникших в работе программы;
   • Критические – логирование критических ошибок, возникших в работе программы.

   По умолчанию для большинства служб используется уровень логирования Общие. Для службы API Server по умолчанию используется уровень логирования Инфо.

3. Нажмите на кнопку Сохранить.

Настройка временных интервалов отображения данных

Kaspersky MLAD позволяет указать временной интервал (масштаб) отображения данных на графиках в разделах Мониторинг, История и Временной срез. По умолчанию при установке Kaspersky MLAD доступны следующие временные интервалы:

• 1, 5, 10, 15 и 30 минут;
• 1, 3, 6 и 12 часов;
• 1, 2, 15 и 30 дней;
• 3 и 6 месяцев;
• 1, 2 и 3 года.

Вы можете добавить временные интервалы отображения данных на графиках. Созданные временные интервалы станут доступными для выбора в разделах Мониторинг, История и Временной срез. Вы также можете изменять и удалять временные интервалы.

Работы по настройке временных интервалов отображения данных на графиках выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы добавить временные интервалы отображения данных:

1. В меню администратора выберите раздел Системные параметры → Графики.
2. В блоке параметров Временные интервалы нажмите на кнопку Создать.

   Справа появится панель Создание элемента.

3. В поле Временной интервал (сек.) укажите временной интервал в секундах, за который вы хотите отображать данные на графиках.

   При вводе временного интервала Kaspersky MLAD автоматически разбивает значение временной интервал по единицам измерения времени (годы, месяцы, недели, дни, часы, минуты, секунды) в полях Значение, русский язык и Значение, английский язык.

4. Если требуется, в поле Значение, русский язык измените название временного интервала на русском языке.
5. Если требуется, в поле Значение, английский язык измените название временного интервала на английском языке.

6. В поле Сортировка укажите порядковый номер, с которым временной интервал будет отсортирован в раскрывающихся списках в разделах Мониторинг, История и Временной срез.
7. Нажмите на кнопку Сохранить.

Чтобы изменить временные интервалы отображения данных:

1. В меню администратора выберите раздел Системные параметры → Графики.
2. В блоке параметров Временные интервалы выберите один или несколько временных интервалов и нажмите на кнопку Изменить.
3. Внесите необходимые изменения.
4. Нажмите на кнопку Сохранить.

Чтобы удалить временные интервалы отображения данных:

1. В меню администратора выберите раздел Системные параметры → Графики.
2. В блоке параметров Временные интервалы выберите один или несколько временных интервалов и нажмите на кнопку Удалить.
3. В открывшемся окне нажмите на кнопку Да, чтобы подтвердить удаление.

Информация о временном интервале будет удалена из таблицы.

Настройка отображения основного меню Kaspersky MLAD

Работы по настройке параметров отображения основного меню Kaspersky MLAD выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить отображение основного меню и меню администратора Kaspersky MLAD:

1. В меню пользователя выберите раздел Настройка.

   Вы перейдете в режим администрирования.

2. На открывшейся странице в меню слева выберите раздел Системные параметры → Меню.

   Справа отобразится список параметров.

3. В блоке параметров Доступность пунктов основного меню с помощью переключателя включите или выключите отображение раздела в основном меню.
4. В блоке параметров Доступность пунктов меню в режиме администрирования с помощью переключателя включите или выключите отображение раздела в меню администратора.
5. Нажмите на кнопку Сохранить.

Экспорт и импорт файла конфигурации компонентов Kaspersky MLAD

Kaspersky MLAD позволяет выполнять экспорт и импорт конфигурационного файла, который содержит параметры компонентов программы, настраиваемые через веб-интерфейс. Это может сократить время на настройку Kaspersky MLAD при повторном развертывании программы.

Чтобы экспортировать файл конфигурации компонентов из Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры.
2. Нажмите на кнопку Экспорт, которая расположена в верхней части открывшейся страницы.

Файл конфигурации компонентов Kaspersky MLAD в виде архива mlad-settings.tar.gz будет сохранен на локальном компьютере.

Чтобы загрузить файл конфигурации компонентов в Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры.
2. Нажмите на кнопку Импорт, которая расположена в верхней части открывшейся страницы.
3. В открывшемся окне выберите архивный файл, содержащий необходимую конфигурацию компонентов в Kaspersky MLAD.

Файл конфигурации компонентов Kaspersky MLAD будет загружен в программу.