Инцидент – это обнаруженное отклонение от ожидаемого (нормального) поведения объекта мониторинга.
В Kaspersky MLAD поддерживает регистрацию инцидентов для следующих источников:
В зависимости от заданных параметров элемента ML-модели инцидент может быть зарегистрирован не сразу после достижения заданного порога. При достижении порога регистрации инцидента элемент ML-модели наблюдает за аномальным поведением объекта мониторинга в течение интервала времени, заданного в параметрах соответствующего элемента. Если аномальное поведение объекта мониторинга сохранялось в течение некоторой заданной доли времени от этого интервала, тогда элемент ML-модели регистрирует инцидент.
Kaspersky MLAD может подавлять регистрацию следующих друг за другом инцидентов от одного и того же элемента ML-модели, если они произошли вскоре после первого инцидента в серии. Для этого используется параметр Период подавления повторных срабатываний (сек.), который вы можете задать в параметрах соответствующего элемента.
Элемент ML-модели также может повторно регистрировать один и тот же инцидент вплоть до исчезновения аномального поведения. Вы можете регулировать частоту регистрации повторных инцидентов с помощью параметров Период напоминания (сек.) путем изменения соответствующего элемента.
При обнаружении отклонения соответствующий источник фиксирует дату, время, релевантные параметры отклонения и сохраняет их в виде записи в разделе Инциденты. Если в Kaspersky MLAD для пользователей или внешних систем созданы уведомления об инцидентах, то информация об инциденте отправляется адресатам через соответствующие службы Kaspersky MLAD.