Монитор – источник извещений о выявлении процессором событий паттернов, событий или значений параметров событий в соответствии с заданными критериями мониторинга. Критерии мониторинга определяют голову внимания, дополнительные фильтры на значения параметров событий, а также скользящий временной интервал и количество последовательных активаций монитора на скользящем временном интервале.
Вы можете создать мониторы для оповещения о выявлении следующих вхождений в потоке событий:
Значения параметров событий. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся значений определенного параметра события. Например, если вы хотите отслеживать новых пользователей на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Значения параметров и настроить его на выявление новых значений по параметру Пользователь.
События. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся событий. Вы также можете сфокусировать внимание процессора событий на определенном параметре событий. Например, если вы хотите отслеживать новые действия конкретного пользователя на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки События и в параметре события Пользователь указать имя пользователя, действия которого вы хотите отслеживать.
Паттерны. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся паттернов. Например, если вы хотите отслеживать закономерности в действиях конкретного пользователя на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Паттерны, сфокусировать внимание процессора событий на параметре Пользователь и указать в этом параметре имя пользователя, закономерности в действиях которого вы хотите отслеживать.
Похожие обобщенные события или паттерны. Вы можете создать монитор для оповещения о выявлении похожих обобщенных событий или паттернов. Если вы хотите отслеживать общие закономерности в действиях различных пользователей на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Похожие обобщенные, выбрать голову с обобщенным вниманием на параметре Пользователь, а также выбрать вариант Подписка на паттерны для параметра Подписка на события или паттерны.
Уникальные обобщенные события или паттерны. Вы можете создать монитор для оповещения о выявлении уникальных обобщенных событий или паттернов. Например, если вы хотите отслеживать новые общие закономерности в действиях любого пользователя, то при создании монитора вам нужно выбрать тип подписки Уникальные обобщенные, выбрать голову с обобщенным вниманием на параметре Пользователь и условиями на дополнительные параметры, соответствующим ожиданиям в поведении разных пользователей, и выбрать вариант Подписка на паттерны для параметра Подписка на события или паттерны. Вам также нужно указать в параметре Скользящее окно (сек.) интервал времени, в течение которого процессор событий будет ожидать похожий обобщенный паттерн по другим пользователям. Если процессор событий не обнаружит такой паттерн, монитор отправит оповещение об активации.
Фильтры в составе критериев мониторинга могут задаваться нечетко. Например, вы можете создать монитор для отслеживания ситуаций, при которых какой-либо пользователь (отслеживание по всем значениям параметра Пользователь) ходил к серверу бухгалтерии (значение параметра Сервер) более десяти раз (значение поля Порог активации) за последние пять минут (значение скользящего временного интервала).
При обнаружении в потоке поступающих данных событий, паттернов и значений параметров событий, соответствующих критериям мониторинга, процессор событий активирует монитор. Kaspersky MLAD отображает информацию о количестве активаций монитора при его просмотре, а также отправляет во внешнюю систему оповещения об активации мониторов при достижении заданного порога на скользящем окне с помощью коннектора CEF Connector.
Созданные пользователем мониторы отображаются в разделе Процессор событий на вкладке Мониторинг.