Kaspersky Machine Learning for Anomaly Detection
3.0
Русский

Содержание

Работа с событиями и паттернами

В разделе Процессор событий представлены данные о

событиях
, а также структуре
паттернов
, выявленных с помощью службы Event Processor в потоке событий, которые поступают от внешних источников и от службы Anomaly Detector.

В разделе Процессор событий вы можете просматривать историю полученных событий и историю регистрации новых и/или устойчиво повторяющихся паттернов. Вы также можете настраивать отображение параметров событий и параметры регистрации паттернов. На вкладке Мониторинг вы можете осуществлять мониторинг определенных событий, паттернов или значений параметров событий, поступающих в процессор событий в потоке данных от объектов мониторинга.

В случае перезапуска Kaspersky MLAD восстанавливает состояние службы Event Processor и приостанавливает обработку данных, поступающих от CEF-коннектора. Эти данные временно сохраняются во внутренней очереди брокера сообщений программы. До восстановления службы Event Processor в разделе Процессор событий будет отображаться уведомление о том, что служба Event Processor остановлена. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления службы может занимать несколько минут.

Вкладка История событий содержит информацию о событиях, поступивших от внешних источников событий.

Раздел Процессор событий

В этом разделе справки

Работа с мониторами

Просмотр истории событий

Просмотр истории паттернов
В начало
[Topic 225608]

Работа с мониторами

Развернуть все | Свернуть все

В разделе Процессор событий на вкладке Мониторинг вы можете создавать мониторы для отслеживания определенных событий, паттернов или значений параметров событий.

На вкладке Мониторинг отображаются все созданные в программе мониторы со следующей краткой информацией:

  • Название монитора.
  • Порог монитора.

    Количество активаций монитора на скользящем окне, при достижении которого программа отправляет оповещение об активации монитора во внешнюю систему.

  • Скользящее окно, за время которого ведется учет количества активаций монитора.
  • Количество активаций монитора на скользящем окне.

При необходимости вы можете просмотреть подробную информацию о каждом мониторе, нажав в таблице на кнопку Информация, которая расположена рядом с названием необходимого монитора.

  • ID монитора – идентификатор просматриваемого монитора.
  • Количество активаций на скользящем окне – количество зарегистрированных активаций монитора на скользящем окне.
  • Дата и время последней активации – дата и время, когда монитор в последний раз был активирован.
  • Активирован – тип элемента, который вызвал активацию монитора. Активация монитора может быть вызвана новым или существующим значением параметра события, событием, паттерном, а также другим монитором.
  • Подписка – параметр, определяющий что отслеживает просматриваемый монитор: значения параметров событий, события или паттерны.
  • Скользящее окно – параметр, определяющий интервал времени от текущего момента времени назад по временной последовательности, в течение которого ведется учет количества активаций. Окно сдвигается синхронно течению времени по временным меткам в событиях.
  • Порог – количество активаций, которое должен зарегистрировать монитор на скользящем окне, прежде чем отправить во внешнюю систему оповещение об активации монитора с помощью CEF-коннектора.
  • Фильтры – таблица, содержащая информацию о фильтрах для параметров событий, по которым текущий монитор отслеживает значения параметров событий, события и паттерны. Для каждого элемента отображаются следующие данные:
    • Имя параметра – названия параметров события, за значениями которых наблюдает просматриваемый монитор.

      Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Названия параметров событий определяются в конфигурационном файле для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор) на этапе настройки службы Event Processor.

    • Тип – параметр, определяющий какие типы значений отслеживает просматриваемый монитор: определенные, новые или все значения.
    • Назначение – параметр, определяющий на каких параметрах событий сфокусировано внимание модели.
    • Значения – значения параметров события, за которыми наблюдает просматриваемый монитор.
  • Размер стека – параметр, величина которого определяет количество последних активаций монитора, отображаемых в таблице Стек активаций.
  • Стек активаций – таблица, содержащая информацию о последних активациях монитора:
    • ID значения параметра – идентификатор значения параметра события, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора значением параметра события.
    • ID события – идентификатор события, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора событием.
    • ID паттерна – идентификатор паттерна, обнаружение которого привело к активации монитора. Этот параметр отображается только при активации монитора паттерном.
    • Системные параметры – блок системных параметров, который содержит следующую информацию:
      • Время события – дата и время обнаружения события в потоке событий.
      • Интервал от предыдущего элемента – временной интервал между текущим событием и предыдущим событием в потоке событий на скользящем окне. Kaspersky MLAD отображает временные интервалы между событиями при первом обнаружении паттерна, в состав которого входят события. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между этими событиями.
      • Общее количество активаций – количество повторений события в потоке событий на скользящем окне.
      • Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
      • Последняя активация – дата и время последнего обнаружения события в потоке событий на скользящем окне.

    Этот блок параметров отображается только при активации монитора событием или значением параметра события.

    • Дата и время активации – дата и время активации монитора. Этот параметр отображается только при активации монитора паттерном.
    • Параметр события – значение параметра события, поступившего от объекта мониторинга. Этот параметр отображается только при активации монитора значением параметра события.
    • Параметры события – значения параметров события, поступившего от объекта мониторинга. Этот параметр отображается только при активации монитора событием.
    • События – количество событий, входящих в состав паттерна, который вызвал активацию монитора. Этот параметр отображается только при активации монитора паттерном.

    Вы можете просмотреть информацию о событиях, входящих в состав паттерна, нажав на количество событий в нужной строке таблицы. При нажатии на количество событий отображается информация об идентификаторах, системных параметрах и параметрах событий, входящих в состав выбранного паттерна.

На вкладке Гистограмма вы также можете посмотреть краткую статистику количества зарегистрированных активаций по каждому созданному монитору.

В этом разделе справки

Создание монитора

Удаление монитора
В начало
[Topic 225610]

Создание монитора

Чтобы создать монитор:

  1. В основном меню выберите раздел Процессор событий.
  2. На открывшейся странице выберите вкладку Мониторинг.
  3. Нажмите на кнопку Создать монитор.

    Справа появится панель Создание монитора.

  4. В поле Название укажите имя монитора.
  5. В поле Скользящее окно (сек.) укажите интервал в секундах от текущего момента времени назад по временной последовательности, за который монитор будет обрабатывать поступившие значения параметров, события или паттерны.
  6. В поле Порог укажите количество активаций монитора на скользящем окне, после достижения которого монитор отправит оповещение во внешнюю систему.
  7. В поле Размер стека укажите количество активаций монитора, которое требуется отображать при просмотре информации о мониторе.
  8. В раскрывающемся списке Тип подписки выберите одно из следующих значений:
    • Если требуется обрабатывать данные по значениям параметров событий, выберите Значения параметров.
    • Если требуется обрабатывать данные по событиям, выберите События.
    • Если требуется обрабатывать данные по обнаруженным паттернам, выберите Паттерны.
  9. Если требуется отслеживать новые события, паттерны или значения параметров событий, в блоке Фильтры включите переключатель Только новые.
  10. Для фокусировки внимания модели на определенные направления развития событий, выполните одно из следующий действий:
    • Если вы выбрали События в раскрывающемся списке Тип подписки, выберите Внимание для нужного параметра события. Если требуется отслеживать события без указания направления внимания, снимите флажок Внимание.
    • Если вы выбрали Паттерны в раскрывающемся списке Тип подписки, установите флажок Внимание для нужного параметра события.

    Вы можете выбрать только одно направление внимания.

  11. Для каждого параметра события, выполните одно из следующих действий:
    • Если требуется обрабатывать данные по всем значениям параметра события, в раскрывающемся списке выберите Все значения параметра.

      Этот пункт отображается, если вы указали направление внимания для текущего параметра события.

    • Если требуется обрабатывать данные только по новым значениям параметра события, в раскрывающемся списке выберите Новые значения параметра.

      Этот пункт отображается только при включенной функции Только новые для обработки данных по событиям.

    • Если требуется обрабатывать данные по конкретному значению параметра события, в раскрывающемся списке выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.

      Если значение параметра отсутствует в списке, введите нужное значение и выберите Создать значение: <значение параметра события>.

    • Если требуется обрабатывать данные по шаблону значения параметра событий, включите переключатель Регулярное выражение для нужного параметра события, в раскрывающемся списке введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

      Для поиска паттернов с помощью регулярных выражений используйте специальные символы регулярных выражений.

  12. Нажмите на кнопку Создать.

Новый монитор будет создан и отобразится на вкладке Мониторинг.

В начало
[Topic 226159]

Удаление монитора

Чтобы удалить монитор:

  1. В основном меню выберите раздел Процессор событий.
  2. На открывшейся странице выберите вкладку Мониторинг.
  3. Нажмите на кнопку Удалить в ячейке того монитора, информацию о котором вы хотите удалить, и подтвердите свои действия.

Монитор будет удален.

В начало
[Topic 226164]

Просмотр истории событий

Kaspersky MLAD позволяет просматривать события, которые поступили от внешних источников событий. Для просмотра событий требуется загрузить их в разделе Процессор событийИстория событий.

Kaspersky MLAD отображает поступившие события в виде графа отношений параметров событий. Вершины графа соответствуют значениям параметров событий, а дуги между вершинами графа соответствуют связям между значениями параметров поступивших событий. Вы можете навести курсор мыши на граф события и просмотреть информацию о параметрах событий и их значениях. Вы также можете навести курсор мыши на дугу графа события и просмотреть информацию о количестве связей между значениями параметров событий.

Вы также можете просмотреть информацию о выявленных событиях в виде таблицы.

  • ID события – идентификатор выявленного события.
  • Системные параметры – параметр, содержащий следующую информацию о событии:
    • Последнее обнаружение на интервале – дата и время последнего обнаружения события в потоке событий за заданный период.
    • Количество обнаружений на интервале – количество обнаружений события в потоке событий за заданный период.
    • Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
    • Последняя активация – дата и время последнего обнаружения события в потоке событий.
  • Параметры события – значения параметров события, поступивших от объекта мониторинга.

Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Список параметров событий определяется в конфигурационном файле для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор) на этапе настройки службы Event Processor.

Чтобы загрузить данные для просмотра поступивших событий:

  1. В основном меню выберите раздел Процессор событий.
  2. На открывшейся странице выберите вкладку История событий.
  3. В блоке Фильтры выберите даты и время начала и окончания периода, за который вы хотите загрузить и просмотреть события, нажав на значок календаря (). Для настройки параметров событий выполните одно из следующих действий:
    • Если вы хотите загрузить события по конкретным значениям параметров событий, в раскрывающихся списках выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списках.
    • Если вы хотите загрузить события по шаблону значений, включите переключатель Регулярное выражение для нужных параметров события, в раскрывающихся списках введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

      Для поиска с помощью регулярных выражений используйте специальные символы регулярных выражений.

    Для каждого объекта мониторинга количество и наименование параметров событий индивидуально.

  4. Нажмите на кнопку Выполнить запрос.

    В центральной части страницы в виде графа отобразятся данные о найденных программой событиях.

  5. Если требуется просмотреть полученные события в виде таблицы, выберите вкладку Таблица.

    В центральной части страницы отобразится таблица, которая содержит информацию о выявленных событиях.

В начало
[Topic 225609]

Просмотр истории паттернов

Развернуть все | Свернуть все

На странице История паттернов вы можете найти и просмотреть структуру устойчиво повторяющихся и/или новых паттернов. Процессор событий формирует паттерны только по определенным направлениям, которые задаются в конфигурации внимания пользователем с правами администратора.

Вы также можете просмотреть структуру выявленных паттернов до уровня событий. Процессор событий представляет паттерны, события и значения параметров событий как послойную иерархию вложенных элементов. Например, паттерн четвертого слоя состоит из вложенных паттернов третьего слоя, в свою очередь паттерн третьего слоя состоит из паттернов второго слоя, а паттерн второго слоя состоит из событий – элементов первого слоя. Значения параметров события являются элементами нулевого терминального слоя.

Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Список параметров событий определяется в файле конфигурации для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет сотрудник "Лаборатории Касперского" или сертифицированный интегратор на этапе настройки службы Event Processor.

Чтобы просмотреть зарегистрированные паттерны:

  1. В основном меню выберите раздел Процессор событий.
  2. На открывшейся странице выберите вкладку История паттернов.
  3. В блоке Фильтры настройте следующие параметры отображения паттернов на странице:
    1. В поле Начало периода нажмите на значок календаря () и в открывшемся окне выберите дату и время начала периода, за который вы хотите просматривать паттерны.
    2. В поле Конец периода нажмите на значок календаря () и в открывшемся окне выберите дату и время окончания периода, за который вы хотите просматривать паттерны.
    3. В раскрывающемся списке Тип паттернов выберите одно из следующих значений:
      • Стабильные – паттерны, которые были зарегистрированы службой Event Processor два и более раза.
      • Новые – новые паттерны, зарегистрированные службой Event Processor впервые.
      • Все – все паттерны, зарегистрированные службой Event Processor.
    4. Для просмотра паттернов по определенному направлению внимания, выберите Внимание для нужного параметра события.

      Требуется выбрать одно из направлений внимания, заданных при настройке конфигурации внимания.

    5. Для настройки параметров событий выполните одно из следующих действий:
      • Если вы хотите просматривать паттерны по конкретным значениям параметров событий, в раскрывающихся списках выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списках.
      • Если вы хотите просматривать паттерны по шаблону значений, включите переключатель Регулярное выражение для нужных параметров события, в раскрывающихся списках введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

        Для поиска с помощью регулярных выражений используйте специальные символы регулярных выражений.

      Для корректного выполнения запроса требуется ввести значения для параметра события, на котором сфокусировано внимание модели. Если в параметре события, на котором сфокусировано внимание, задано несколько значений параметра события, процессор событий сформирует паттерны для каждого значения параметра.

  4. Нажмите на кнопку Выполнить запрос.

    В центральной части страницы отобразится таблица, которая содержит данные о зарегистрированных паттернах.

    • ID паттерна – идентификатор паттерна. Первая цифра идентификатора паттерна соответствует номеру слоя, на котором этот паттерн был обнаружен.
    • Последнее обнаружение на интервале – дата и время последнего обнаружения паттерна в потоке событий объекта мониторинга за заданный период.
    • Количество обнаружений на интервале – количество обнаружений паттерна в потоке событий объекта мониторинга за заданный период.
    • Количество событий – количество событий, составляющих паттерн.
    • Последняя активация – дата и время последнего обнаружения паттерна в потоке событий объекта мониторинга или в режиме сна.
  5. Если требуется перейти к просмотру структуры паттерна, нажмите на нужную строку паттерна.

    Откроется страница с подробной информацией о паттерне.

    • ID паттерна – идентификатор выбранного паттерна. Первая цифра идентификатора паттерна соответствует номеру слоя, на котором этот паттерн был обнаружен.
    • Количество событий – количество событий, составляющих паттерн.
    • Интервал от предыдущего элемента – временной интервал между выбранным паттерном и паттерном, выявленным в последовательности паттернов на текущем слое до выбранного паттерна. Kaspersky MLAD отображает временные интервалы между элементами выбранного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между элементами этого паттерна.
    • Общее количество активаций – количество обнаружений выбранного паттерна в потоке событий за заданный период.
    • Время окончания паттерна – дата и время окончания выбранного паттерна в последовательности паттернов на текущем слое.
    • Последняя активация – дата и время последнего обнаружения паттерна в потоке событий или в режиме сна.
    • Паттерны – вкладка, содержащая таблицу с информацией о паттернах, входящих в состав выбранного паттерна. На вкладке Паттерны отображаются следующие данные:
      • <номер слоя> слой – вкладки, позволяющие просматривать информацию о паттернах, входящих в состав выбранного паттерна на разных слоях его структуры. Вкладки отображаются, если вы выбрали паттерн, обнаруженного на четвертом слое и выше. Вы можете просматривать паттерны до второго уровня вложенности.
      • ID паттерна – идентификатор вложенного паттерна. Первая цифра идентификатора паттерна соответствует номеру слоя, на котором этот паттерн был обнаружен.
      • Время окончания паттерна – дата и время окончания вложенного паттерна в последовательности паттернов на выбранном слое.
      • Общее количество активаций – количество обнаружений вложенного паттерна в структуре выбранного паттерна.
      • Количество событий – количество событий, составляющих вложенный паттерн.
      • Интервал от предыдущего элемента – временной интервал между вложенным паттерном и предыдущим паттерном в таблице. Kaspersky MLAD отображает временные интервалы между элементами вложенного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между элементами этого паттерна.
      • Последняя активация – дата и время последнего обнаружения вложенного паттерна в последовательности паттернов на выбранном слое или в режиме сна.
    • События – вкладка, содержащая таблицу событий, входящих в состав выбранного паттерна. Для каждого события отображаются следующие данные:
      • ID события – идентификатор события.
      • Системные параметры – параметр, содержащий следующую информацию о событии:
        • Время события – дата и время обнаружения события в структуре паттерна.
        • Интервал от предыдущего элемента – временной интервал между текущим событием и предыдущим событием в таблице. Kaspersky MLAD отображает временные интервалы между событиями выбранного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между событиями этого паттерна.
        • Общее количество активаций – количество повторений события в структуре выбранного паттерна за заданный период.
        • Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
        • Последняя активация – дата и время последнего обнаружения события в потоке событий.
      • Параметры события – значения параметров события, поступившего от объекта мониторинга.
  6. Для просмотра структуры паттерна выполните одно из следующих действий:
    • Если требуется посмотреть структуру определенного вложенного паттерна, на вкладке Паттерны блока Вложенные элементы нажмите на нужную строку паттерна.

      Вы можете вернуться к просмотру структуры паттерна верхнего уровня вложенности, нажав на идентификатор нужного паттерна над блоком Информация о паттерне.

    • Если требуется просмотреть таблицу вложенных паттернов на определенном уровне вложенности, на вкладке Паттерны блока Вложенные элементы выберите нужный слой.
    • Если требуется просмотреть события, составляющие паттерн на текущем уровне вложенности, нажмите на вкладку События.

    Kaspersky MLAD отображает структуру паттерна с верхнего уровня вложенности.

В начало
[Topic 225611]