Процессор событий

Процессор событий в составе Kaspersky MLAD предназначен для выявления в потоке событий, поступающих от объектов мониторинга и от службы Anomaly Detector, закономерностей в виде повторяющихся

событий

Набор значений, описывающих изменение состояния объекта мониторинга по заранее заданному перечню параметров, с указанием момента времени, когда произошло изменение.

паттернов

Последовательность событий или других паттернов, на которые разбивается поток событий от объекта мониторинга.

События

Служба Event Processor обрабатывает данные, поступающие от объектов мониторинга и от службы Anomaly Detector, в виде событий. Событие – это набор значений, описывающих изменение состояния объекта мониторинга по заранее заданному перечню параметров, с указанием момента времени, когда произошло изменение. Набор параметров событий зависит от объекта мониторинга и задается администратором в конфигурационном файле для службы Event Processor.

Процессор событий предназначен для работы только с категориальными значениями параметров событий. Значения параметров событий преобразуются к строковому типу. Для работы с численными значениями данных телеметрии при обработке потока событий Kaspersky MLAD использует службу Anomaly Detector. Администратор может включить обработку данных от службы Anomaly Detector при настройке параметров службы Event Processor.

Событие представляет собой явление, обособленное от других событий, и при этом могут существовать интервалы времени, в течение которых никаких событий не происходило. На регистрацию события могут повлиять такие факторы, как действия персонала, изменение режима работы устройства на предприятии или выполнение специалистом команд на АСУ ТП.

Примеры ситуаций, которые могут привести к регистрации событий в Kaspersky MLAD

Событие регистрируется службой Event Processor один раз. При поступлении потока событий процессор событий распознает ранее выявленные события. В случае обнаружения событий, которые не соответствуют ранее выявленным, процессор событий регистрирует новые события.

Вы можете просмотреть полученные события в виде графа или таблицы. Для просмотра событий требуется загрузить их в разделе Процессор событий → История событий. Параметры событий, указанные в конфигурационном файле для службы Event Processor, могут встречаться не во всех событиях, поступающих от объекта мониторинга. Таким образом, при просмотре полученных событий часть параметров может отсутствовать.

Паттерны

В потоке событий, поступающих от объекта мониторинга, процессор событий выявляет закономерности в виде иерархии стабильных (устойчиво повторяющихся) паттернов. Такие закономерности могут быть представлены простыми паттернами (последовательностью событий) или составными паттернами (последовательностью паттернов). В свою очередь паттерны, образующие составной паттерн, называются вложенными.

Последовательность событий или паттернов считается повторяющейся, если составляющие ее элементы следуют в одном и том же порядке, при этом интервалы времени между аналогичными элементами в разных последовательностях отличаются друг от друга не более чем на некоторый максимально допустимый диапазон. Допустимый диапазон интервалов между элементами паттерна рассчитывается с учетом значения параметра Коэффициент, определяющий допустимую дисперсию длительности паттерна. Паттерны обусловлены сложившимися на предприятии практиками, регламентами или техническими особенностями производственного процесса.

Процессор событий представляет выявленные закономерности как послойную иерархию вложенных элементов (структуру паттерна) до уровня событий. События являются элементами первого слоя, простые паттерны – элементами второго слоя, составные паттерны – элементами третьего слоя и выше. Значения параметров события являются элементами нулевого слоя.

Паттерн регистрируется службой Event Processor один раз. При поступлении потока событий процессор событий распознает ранее выявленные паттерны. В случае обнаружения паттернов, которые не соответствуют ранее выявленным закономерностям, процессор событий регистрирует новые паттерны.

К новым паттернам будут относиться последовательности событий или паттернов как с нарушением порядка или состава вложенных паттернов (например, включение агрегата до того, как оператор появился на рабочем месте), так и со значительным изменением интервалов между событиями или вложенными паттернами при сохранении их последовательности (например, включение агрегата через слишком короткий или, наоборот, слишком длинный интервал времени после появления оператора на рабочем месте). Таким образом, процессор событий регистрирует паттерны с новой структурой.

Новые паттерны могут указывать на аномалию в работе объекта мониторинга. Вы можете просмотреть структуру нового паттерна для изучения ее отклонений от структуры ранее выявленных закономерностей.

Если вновь выявленная последовательность событий или паттернов начинает устойчиво повторяться, такая последовательность превращается в стабильный паттерн.

Направления внимания

Поток событий, поступающих от объекта мониторинга, как правило, содержит множество несвязанных между собой событий. Служба Event Processor поддерживает механизм направлений внимания, который позволяет выявлять паттерны на определенном подмножестве событий из всего потока.

Внимание – это специальная конфигурация процессора событий, которую требуется настроить для отслеживания событий и паттернов по отдельным подмножествам истории событий (направлениям внимания). Направление внимания определяется значением параметра событий, которое должно присутствовать во всех событиях этого направления. Процессор событий будет выявлять события и паттерны только по тем направлениям внимания, которые задаются в конфигурации внимания.

Вы можете настроить направления внимания в разделе Процессор событий.

Режимы работы процессора событий

В Kaspersky MLAD предусмотрены следующие режимы работы службы Event Processor:

• Основной режим. В основном режиме работы процессор событий обрабатывает входящий поток событий в виде эпизодов. Эпизод – это последовательность событий из всего потока, ограниченная по времени и/или количеству событий. Эпизод считается сформированным при выполнении одного из следующих условий:
  • Время накопления эпизода достигло предела, заданного в параметре Интервал получения событий эпизода (сек.) службы Event Processor.
  • Количество накопленных событий достигло предела, заданного в параметре Размер эпизода в основном режиме (количество событий) службы Event Processor.

  По полученному в потоке событий эпизоду служба Event Processor выявляет новые и/или повторяющиеся (стабильные) события и паттерны по каждому из заданных направлений внимания. Вы можете настроить направления внимания в разделе Процессор событий.

  При поступлении события, временная метка которого относится к ранее обработанному эпизоду, служба Event Processor не пересматривает структуру паттернов, выявленных при обработке этого эпизода. Служба Event Processor учитывает события, поступившие в Kaspersky MLAD с временной задержкой, при выявлении паттернов во время повторной обработки истории событий в режиме сна.

• Режим сна. Для улучшения качества выявленных паттернов и их структуры процессор событий может переходить в режим сна в соответствии с заданным расписанием. Обработка потока событий в онлайн-режиме приостанавливается, при этом Kaspersky MLAD накапливает поступающие события во внутреннем ограниченном буфере сервера для последующей обработки после перехода из режима сна в основной режим работы.

  В режиме сна процессор событий повторно анализирует последовательности событий, обработанные ранее в основном режиме работы. Для выявления более сложных структур паттернов в режиме сна процессор событий обрабатывает последовательности событий за более длительные интервалы времени, чем время накопления эпизода в основном режиме.

  В параметрах службы Event Processor вы можете настроить расписание режима сна (например, на время, когда поток событий наименее интенсивен), а также интервал времени, за который требуется передать события, проанализированные в основном режиме работы, на повторную обработку.

Мониторы

Монитор – источник извещений о выявлении процессором событий паттернов, событий или значений параметров событий в соответствии с заданными критериями мониторинга. Критерии мониторинга определяют скользящий временной интервал, число последовательных обнаружений, фильтры для значения параметров событий, а также условие для обнаружения новых событий, паттернов или значений параметров событий.

Вы можете создать мониторы для оповещения о выявлении следующих вхождений в потоке событий:

• Значения параметров событий. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся значений определенного параметра события. Например, если вы хотите отслеживать новых пользователей на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Значения параметров и настроить его на выявление новых значений по параметру Пользователь.
• События. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся событий. Вы также можете сфокусировать внимание процессора событий на определенном параметре событий. Например, если вы хотите отслеживать новые действия конкретного пользователя на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки События и указать в параметре события Пользователь имя пользователя, действия которого вы хотите отслеживать.
• Паттерны. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся паттернов по определенному направлению внимания. Например, если вы хотите отслеживать закономерности в действиях конкретного пользователя на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Паттерны, сфокусировать внимание процессора событий на параметре Пользователь и указать в этом параметре имя пользователя, закономерности в действиях которого вы хотите отслеживать.

Фильтры в составе критериев мониторинга могут задаваться нечетко. Например, вы можете создать монитор для отслеживания ситуаций, при которых какой-либо пользователь (отслеживание по всем значениям параметра Пользователь) ходил к серверу бухгалтерии (значение параметра Сервер) более десяти раз (значение поля Порог) за последние пять минут (значение скользящего временного интервала).

При обнаружении в потоке поступающих данных событий, паттернов или значений параметров событий, соответствующих критериям мониторинга, процессор событий активирует монитор. Kaspersky MLAD отображает информацию о количестве активаций монитора при его просмотре, а также отправляет во внешнюю систему оповещения об активации мониторов при достижении заданного порога на скользящем окне с помощью коннектора CEF Connector.

Созданные пользователем мониторы отображаются в разделе Процессор событий на вкладке Мониторинг.