Kaspersky Machine Learning for Anomaly Detection
3.0
Русский

Содержание

Работа с мониторами

Развернуть все | Свернуть все

В разделе Процессор событий на вкладке Мониторинг вы можете создавать мониторы для отслеживания определенных событий, паттернов или значений параметров событий.

На вкладке Мониторинг отображаются все созданные в программе мониторы со следующей краткой информацией:

  • Название монитора.
  • Порог монитора.

    Количество активаций монитора на скользящем окне, при достижении которого программа отправляет оповещение об активации монитора во внешнюю систему.

  • Скользящее окно, за время которого ведется учет количества активаций монитора.
  • Количество активаций монитора на скользящем окне.

При необходимости вы можете просмотреть подробную информацию о каждом мониторе, нажав в таблице на кнопку Информация, которая расположена рядом с названием необходимого монитора.

  • ID монитора – идентификатор просматриваемого монитора.
  • Количество активаций на скользящем окне – количество зарегистрированных активаций монитора на скользящем окне.
  • Дата и время последней активации – дата и время, когда монитор в последний раз был активирован.
  • Активирован – тип элемента, который вызвал активацию монитора. Активация монитора может быть вызвана новым или существующим значением параметра события, событием, паттерном, а также другим монитором.
  • Подписка – параметр, определяющий что отслеживает просматриваемый монитор: значения параметров событий, события или паттерны.
  • Скользящее окно – параметр, определяющий интервал времени от текущего момента времени назад по временной последовательности, в течение которого ведется учет количества активаций. Окно сдвигается синхронно течению времени по временным меткам в событиях.
  • Порог – количество активаций, которое должен зарегистрировать монитор на скользящем окне, прежде чем отправить во внешнюю систему оповещение об активации монитора с помощью CEF-коннектора.
  • Фильтры – таблица, содержащая информацию о фильтрах для параметров событий, по которым текущий монитор отслеживает значения параметров событий, события и паттерны. Для каждого элемента отображаются следующие данные:
    • Имя параметра – названия параметров события, за значениями которых наблюдает просматриваемый монитор.

      Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Названия параметров событий определяются в конфигурационном файле для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор) на этапе настройки службы Event Processor.

    • Тип – параметр, определяющий какие типы значений отслеживает просматриваемый монитор: определенные, новые или все значения.
    • Назначение – параметр, определяющий на каких параметрах событий сфокусировано внимание модели.
    • Значения – значения параметров события, за которыми наблюдает просматриваемый монитор.
  • Размер стека – параметр, величина которого определяет количество последних активаций монитора, отображаемых в таблице Стек активаций.
  • Стек активаций – таблица, содержащая информацию о последних активациях монитора:
    • ID значения параметра – идентификатор значения параметра события, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора значением параметра события.
    • ID события – идентификатор события, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора событием.
    • ID паттерна – идентификатор паттерна, обнаружение которого привело к активации монитора. Этот параметр отображается только при активации монитора паттерном.
    • Системные параметры – блок системных параметров, который содержит следующую информацию:
      • Время события – дата и время обнаружения события в потоке событий.
      • Интервал от предыдущего элемента – временной интервал между текущим событием и предыдущим событием в потоке событий на скользящем окне. Kaspersky MLAD отображает временные интервалы между событиями при первом обнаружении паттерна, в состав которого входят события. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между этими событиями.
      • Общее количество активаций – количество повторений события в потоке событий на скользящем окне.
      • Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
      • Последняя активация – дата и время последнего обнаружения события в потоке событий на скользящем окне.

    Этот блок параметров отображается только при активации монитора событием или значением параметра события.

    • Дата и время активации – дата и время активации монитора. Этот параметр отображается только при активации монитора паттерном.
    • Параметр события – значение параметра события, поступившего от объекта мониторинга. Этот параметр отображается только при активации монитора значением параметра события.
    • Параметры события – значения параметров события, поступившего от объекта мониторинга. Этот параметр отображается только при активации монитора событием.
    • События – количество событий, входящих в состав паттерна, который вызвал активацию монитора. Этот параметр отображается только при активации монитора паттерном.

    Вы можете просмотреть информацию о событиях, входящих в состав паттерна, нажав на количество событий в нужной строке таблицы. При нажатии на количество событий отображается информация об идентификаторах, системных параметрах и параметрах событий, входящих в состав выбранного паттерна.

На вкладке Гистограмма вы также можете посмотреть краткую статистику количества зарегистрированных активаций по каждому созданному монитору.

В этом разделе справки

Создание монитора

Удаление монитора
В начало
[Topic 225610]

Создание монитора

Чтобы создать монитор:

  1. В основном меню выберите раздел Процессор событий.
  2. На открывшейся странице выберите вкладку Мониторинг.
  3. Нажмите на кнопку Создать монитор.

    Справа появится панель Создание монитора.

  4. В поле Название укажите имя монитора.
  5. В поле Скользящее окно (сек.) укажите интервал в секундах от текущего момента времени назад по временной последовательности, за который монитор будет обрабатывать поступившие значения параметров, события или паттерны.
  6. В поле Порог укажите количество активаций монитора на скользящем окне, после достижения которого монитор отправит оповещение во внешнюю систему.
  7. В поле Размер стека укажите количество активаций монитора, которое требуется отображать при просмотре информации о мониторе.
  8. В раскрывающемся списке Тип подписки выберите одно из следующих значений:
    • Если требуется обрабатывать данные по значениям параметров событий, выберите Значения параметров.
    • Если требуется обрабатывать данные по событиям, выберите События.
    • Если требуется обрабатывать данные по обнаруженным паттернам, выберите Паттерны.
  9. Если требуется отслеживать новые события, паттерны или значения параметров событий, в блоке Фильтры включите переключатель Только новые.
  10. Для фокусировки внимания модели на определенные направления развития событий, выполните одно из следующий действий:
    • Если вы выбрали События в раскрывающемся списке Тип подписки, выберите Внимание для нужного параметра события. Если требуется отслеживать события без указания направления внимания, снимите флажок Внимание.
    • Если вы выбрали Паттерны в раскрывающемся списке Тип подписки, установите флажок Внимание для нужного параметра события.

    Вы можете выбрать только одно направление внимания.

  11. Для каждого параметра события, выполните одно из следующих действий:
    • Если требуется обрабатывать данные по всем значениям параметра события, в раскрывающемся списке выберите Все значения параметра.

      Этот пункт отображается, если вы указали направление внимания для текущего параметра события.

    • Если требуется обрабатывать данные только по новым значениям параметра события, в раскрывающемся списке выберите Новые значения параметра.

      Этот пункт отображается только при включенной функции Только новые для обработки данных по событиям.

    • Если требуется обрабатывать данные по конкретному значению параметра события, в раскрывающемся списке выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.

      Если значение параметра отсутствует в списке, введите нужное значение и выберите Создать значение: <значение параметра события>.

    • Если требуется обрабатывать данные по шаблону значения параметра событий, включите переключатель Регулярное выражение для нужного параметра события, в раскрывающемся списке введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

      Для поиска паттернов с помощью регулярных выражений используйте специальные символы регулярных выражений.

  12. Нажмите на кнопку Создать.

Новый монитор будет создан и отобразится на вкладке Мониторинг.

В начало
[Topic 226159]

Удаление монитора

Чтобы удалить монитор:

  1. В основном меню выберите раздел Процессор событий.
  2. На открывшейся странице выберите вкладку Мониторинг.
  3. Нажмите на кнопку Удалить в ячейке того монитора, информацию о котором вы хотите удалить, и подтвердите свои действия.

Монитор будет удален.

В начало
[Topic 226164]