Kaspersky MLAD имеет ряд ограничений, не критичных для работы программы:
Оповещения об активации мониторов службы Event Processor отправляются во внешние системы только через коннектор CEF Connector. Отправка оповещений по электронной почте не предусмотрена.
Оповещения об активации мониторов службы Event Processor не сохраняются в базе данных Kaspersky MLAD.
Рекомендуется сохранять состояние службы Event Processor в таблице базы данных. В случае сохранения состояния службы в файл в битовом формате, Kaspersky MLAD сохраняет состояние службы Event Processor согласно заданной периодичности создания резервной копии службы. Для сохранения и восстановления состояния службы Event Processor требуется некоторое время (до нескольких минут, если большой объем обрабатываемых данных). Перезапуск службы приведет к потере данных с момента последнего сохранения в файл в битовом формате.
Служба Event Processor обрабатывает только категориальные данные. Все значения параметров события представляются или преобразуются в тип данных – строка. Разнообразие значений строк для каждого параметра события может быть большим (до десятков тысяч значений), но конечным.
Производительность обработки данных для текущей версии процессора событий составляет около пяти тысяч событий в секунду и может уменьшаться при большом количестве направлений внимания.
При большом потоке событий (около пяти тысяч событий в секунду) и большом разнообразии значений параметров событий работа службы Event Processor требует значительных вычислительных ресурсов.
Служба Event Processor чувствительна к настройке ее параметров. Неправильно заданные параметры событий, размер и время формирования эпизодов, конфигурации внимания могут существенно снизить эффективность и производительность службы.
Kaspersky MLAD рассчитан на работу с потоком тегов, скорость которого не превышает 10 000 тегов в секунду (допустимы кратковременные всплески не более 20%). При скорости потока тегов, превышающей указанное значение, возможна задержка обработки тегов, формирования прогнозов и выявления аномалий.
Компьютеры, на которых установлены Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks, должны находиться в одной сети.
Kaspersky MLAD хранит всю историю полученных значений тегов, а также предсказанных значений тегов. Поэтому требуется предварительно рассчитать размер хранилища, исходя из показателей скорости обновления данных (тегов в секунду) и временного интервала хранения истории мониторинга данных телеметрии.
Служба Trainer поддерживает обучение только нейросетевых ML-моделей.
Обновление программы с сохранением данных поддерживается только для версии Kaspersky MLAD 4.0.1-001 или выше. Для перехода от Kaspersky MLAD 3.0.0 к версии Kaspersky MLAD 4.0.1 и выше необходимо произвести новую установку Kaspersky MLAD и вручную импортировать данные из ранее установленной версии Kaspersky MLAD 3.0.0. Для получения подробной информации о переходе от Kaspersky MLAD 3.0.0 к Kaspersky MLAD версии 4.0.1 или выше рекомендуется обратиться в Службу технической поддержки "Лаборатории Касперского".
Откат программы к предыдущей установленной версии поддерживается только для версии Kaspersky MLAD 4.0.1-001 или выше.
Не группируются аномалии по однотипным тегам, относящимся к разным элементам ML-модели, если используется ML-модель, состоящая из нескольких однотипных элементов.
При большом количестве одновременно запущенных ML-моделей (более 80) количество соединений с базой данных может быть исчерпано. При возникновении такой ситуации рекомендуется перезапустить Kaspersky MLAD.
Отсутствует возможность использования элементов модели на основе детектора XGBoost.
В дереве активов в разделе Активы не отображается значок, выбранный при создании или изменении тегов или активов.
В разделе Инциденты в окне выбора периода для выбора доступны только те годы, за которые в Kaspersky MLAD есть данные.
В разделах История и Мониторинг некорректно отображаются графики тегов, для которых указаны границы отображения по оси ординат, заданные при создании или изменении тега.
В разделе Модели невозможно скопировать ML-модель, если в ее составе нет элементов или есть хотя бы один необученный нейросетевой элемент.
В разделе Модели не всегда отображаются результаты обучения нейросетевого элемента после его успешного обучения. Для отображения результатов необходимо обновить страницу.
Значение параметра Часовой пояс объекта мониторинга, заданного системным администратором в основных параметрах Kaspersky MLAD, применяется только к датам и времени при выборе интервалов времени разметок. В остальных разделах веб-интерфейса, в которых для отображения данных можно выбрать дату и время, этот параметр не применяется.