Kaspersky Machine Learning for Anomaly Detection
5.0
Русский
Работа с основным меню  >  Работа с инцидентами и группами инцидентов  >  Об инцидентах

Об инцидентах

Инцидент – это обнаруженное отклонение от ожидаемого (нормального) поведения объекта мониторинга.

В Kaspersky MLAD поддерживает регистрацию инцидентов для следующих источников:

  • Элементы ML-моделей. Инцидент регистрируется при достижении значения артефакта элемента ML-модели порога регистрации инцидентов, заданного для этого элемента. Инциденты могут быть зарегистрированы предиктивными элементами ML-модели, элементами на основе диагностических правил и элементами на основе эллиптического конверта.

    В зависимости от заданных параметров элемента ML-модели инцидент может быть зарегистрирован не сразу после достижения заданного порога. При достижении порога регистрации инцидента элемент ML-модели наблюдает за аномальным поведением объекта мониторинга в течение интервала времени, заданного в параметрах соответствующего элемента. Если аномальное поведение объекта мониторинга сохранялось в течение некоторой заданной доли времени от этого интервала, тогда элемент ML-модели регистрирует инцидент.

    Kaspersky MLAD может подавлять регистрацию следующих друг за другом инцидентов от одного и того же элемента ML-модели, если они произошли вскоре после первого инцидента в серии. Для этого используется параметр Период подавления повторных срабатываний (сек.), который вы можете задать в параметрах соответствующего элемента.

    Элемент ML-модели также может повторно регистрировать один и тот же инцидент вплоть до исчезновения аномального поведения. Вы можете регулировать частоту регистрации повторных инцидентов с помощью параметров Период напоминания (сек.) путем изменения соответствующего элемента.

  • Детектор Limit Detector. Инцидент регистрируется при достижении значения тега верхнего или нижнего порога блокировки.
  • Служба Stream Processor. Инцидент регистрируется при обнаружении потерь данных телеметрии или поступлении наблюдений в Kaspersky MLAD слишком рано или поздно.

При обнаружении отклонения соответствующий источник фиксирует дату, время, релевантные параметры отклонения и сохраняет их в виде записи в разделе Инциденты. Если в Kaspersky MLAD для пользователей или внешних систем созданы уведомления об инцидентах, то информация об инциденте отправляется адресатам через соответствующие службы Kaspersky MLAD.

В этом разделе

Об инцидентах, обнаруженных предиктивным элементом ML-модели

Об инцидентах, обнаруженных элементом ML-модели на основе диагностического правила

Об инцидентах, обнаруженных элементом ML-модели на основе эллиптического конверта

Об инцидентах, обнаруженных детектором Limit Detector

Об инцидентах, обнаруженных службой Stream Processor

См. также

Работа с инцидентами и группами инцидентов
Идентификатор статьи: 247968, Последнее изменение: 21 нояб. 2024 г.
В начало