О предоставлении данных

Программа не передает пользовательские данные в "Лабораторию Касперского". Пользовательские данные обрабатываются на компьютерах, на которых установлена программа.

Данные, передаваемые во внешние системы

Данные передаются во внешние системы по защищенному каналу связи.

Если настроена отправка уведомлений о регистрации инцидентов по почте, программа передает следующие данные на SMTP-сервер:

• идентификатор инцидента;
  

  Обнаруженное отклонение от ожидаемого (нормального) поведения объекта мониторинга.

• дату и время регистрации инцидента;
• название ML-модели, элемент которой зарегистрировал инцидент;
  

  Алгоритм, основанный на методах машинного обучения, задачей которого является анализ телеметрии объекта мониторинга и обнаружение аномалий.

• название элемента ML-модели, который зарегистрировал инцидент;
• статус зарегистрированного инцидента;
• причину зарегистрированного инцидента;
• экспертное заключение к зарегистрированному инциденту;
• имя топ-тега;
  

  Параметр технологического процесса, который оказал наибольшее влияние на регистрацию инцидента.

• описание топ-тега;
• значение топ-тега в момент регистрации инцидента и его единицу измерения;
• название детектора, зарегистрировавшего инцидент;
  

  Компонент в составе ML-модели, который определяет аномалию и регистрирует инциденты.

• значение артефакта элемента ML-модели в момент регистрации инцидента;
  

  Последовательность числовых значений (временной ряд), сформированная в результате инференса ML-модели. ML-модель может сформировать артефакты, связанные с полученными от объекта мониторинга значениями тегов, а также артефакты элементов ML-моделей.

• значение порога блокировки, превышенное в момент регистрации инцидента;
• ссылку для перехода в раздел История в момент начала инцидента.

Если настроена отправка уведомлений о регистрации инцидентов через коннекторы MQTT Connector, AMQP Connector, WebSocket Connector и/или KICS Connector, программа передает следующие данные на MQTT-брокер, AMQP-брокер, WebSocket-сервер и/или в Kaspersky Industrial CyberSecurity for Networks:

• идентификатор инцидента;
• дату и время регистрации инцидента;
• дату и время завершения инцидента;
• название и уникальный идентификатор (UUID) ML-модели, зарегистрировавшей инцидент;
• уникальный идентификатор (UUID) элемента ML-модели;
• идентификатор и описание топ-тега;
• название детектора, зарегистрировавшего инцидент;
• ссылку для перехода в раздел История в момент начала инцидента;
• значение артефакта элемента ML-модели в момент регистрации инцидента (при наличии);
• значение порога блокировки, превышенное в момент регистрации инцидента (при наличии);
• значение топ-тега в момент регистрации инцидента;
• статус инцидента;
• комментарий к инциденту (при наличии);
• идентификатор группы инцидентов (при наличии);
• название группы инцидента (при наличии);
• экспертное заключение (при наличии);
• идентификаторы релевантных тегов;
• причину инцидента (при наличии).

Если настроена отправка уведомлений о регистрации инцидентов через коннектор CEF Connector, программа передает следующие данные в SIEM-систему:

• имя поставщика программы;
• название программы;
• версию Kaspersky MLAD;
• идентификатор подписи программы;
• дату и время регистрации инцидента;
• дату и время завершения инцидента;
• название детектора, зарегистрировавшего инцидент;
• название ML-модели, зарегистрировавшей инцидент;
• ссылку для перехода в раздел История в момент начала инцидента;
• описание топ-тега;
• комментарий к инциденту (при наличии);
• название группы инцидента (при наличии);
• значение топ-тега в момент регистрации инцидента;
• идентификатор группы инцидентов (при наличии);
• идентификатор инцидента;
• идентификатор топ-тега.

Если настроена отправка зарегистрированных событий через коннектор CEF Connector, программа передает следующие данные в SIEM-систему:

• имя поставщика программы;
• название программы;
• версию Kaspersky MLAD;
• идентификатор подписи программы;
• дату и время регистрации события;
• название монитора, который зарегистрировал событие;
  

  Источник извещений о выявлении процессором событий паттернов, событий или значений параметров событий в соответствии с заданными критериями мониторинга. Критерии мониторинга определяют голову внимания, дополнительные фильтры на значения параметров событий, а также скользящий временной интервал и количество последовательных активаций монитора на скользящем временном интервале.

• идентификатор монитора;
• тип элемента, который вызвал активацию монитора;
• название головы внимания (при наличии);
• название дочерней головы внимания (при наличии);
• скользящее окно монитора, за время которого ведется учет количества активаций;
• порог активаций, при достижении которого монитор отправляет оповещение во внешнюю систему;
• количество активаций на скользящем окне;
• информацию, является ли обнаруженный элемент новым для программы;
• содержимое элемента, вызвавшего последнюю активацию монитора;
• идентификатор элемента, который вызвал активацию монитора.

Если настроена отправка журналов событий информационной безопасности, программа передает следующие данные на syslog-сервер:

• имя поставщика программы;
• название программы;
• версию Kaspersky MLAD;
• идентификатор подписи программы;
• идентификатор события ИБ;
• дату и время события ИБ;
• тип события ИБ;
• уточнение типа события ИБ;
• уровень важности события ИБ;
• имя пользователя, действия которого привели к записи события ИБ;
• IP-адрес компьютера, с которого пользователем были произведены действия, записанные в журналы событий ИБ;
• результат события ИБ;
• краткое содержание события ИБ;
• подробное описание события ИБ.

Данные, обрабатываемые локально на сервере Kaspersky MLAD

Для выполнения своих основных функций программа может принимать, хранить и обрабатывать следующую информацию:

• Информацию о полных резервных копиях программы, если выполнялось резервное копирование или обновление программы. Информация о полных резервных копиях программы хранится на сервере Kaspersky MLAD до их удаления пользователем.
• Информацию о резервных копиях томов (volumes) Docker, которые создаются во время удаления программы. Информация о резервных копиях томов Docker хранится на сервере Kaspersky MLAD до их удаления пользователем.
• Файлы с текстом Лицензионного соглашения текущей установленной версии программы.
• Файл legal_notices.txt с информацией о стороннем коде.
• Сертификаты для подключения к программе через веб-интерфейс.
• Сертификаты и ключи к сертификатам для шифрования соединения коннекторов и служб Kaspersky MLAD с внешними системами.
• Публичные ключи для проверки цифровой подписи дистрибутива. Публичные ключи хранятся на сервере Kaspersky MLAD до их удаления пользователем.
• Данные об учетных записях пользователей: идентификатор учетной записи, фамилию, имя, отчество, адрес электронной почты, состояние учетной записи (активна или заблокирована), пароль.

  В качестве фамилии, имени и отчества пользователя могут быть указаны значения, не идентифицирующие пользователя как физическое лицо (например, цех и должность). Информация, указанная в полях Фамилия, Имя и Отчество пользователей при создании учетных записей, хранится в открытом виде и программой не обрабатывается.

  Адреса электронной почты, указанные при создании учетных записей, используются в качестве имен пользователей при подключении пользователей к веб-интерфейсу программы. Имена пользователей указываются в журналах событий информационной безопасности. Адреса электронной почты используются для отправки уведомлений о зарегистрированных инцидентах.

  Адреса электронной почты пользователей хранятся в открытом виде.

  Kaspersky MLAD не хранит пароли пользователей в открытом виде. Для хранения паролей используется алгоритм расчета хеш-суммы scrypt. Kaspersky MLAD добавляет соль к паролю для предотвращения его декодирования. Пароли пользователей не записываются в журналы программы.

  Данные об учетных записях пользователей вводит системный администратор в меню администратора.

• Данные о ролях и назначенных для этих ролей прав: идентификатор роли, название роли, состояние роли (активна или неактивна), список назначенных прав, дату и время создания роли, дата и время изменения роли.

  Данные о ролях вводит системный администратор в меню администратора.

• Данные об уведомлениях об инцидентах: идентификатор уведомления, название уведомления, информацию, включена ли отправка уведомлений об инцидентах только для опубликованных ML-моделей, состояние уведомления (активно или неактивно), язык уведомления, адреса электронной почты для отправки уведомлений, типы инцидентов, по которым отправляются уведомления.
  

  Сообщение с информацией об инциденте (инцидентах), которое программа отправляет через системы доставки сообщений (например, по электронной почте) на указанные адреса.

  Данные об уведомлениях вводит системный администратор в меню администратора.

• Информацию о загруженных в Kaspersky MLAD лицензионных ключах.
• Данные о параметрах Kaspersky MLAD:
  • Основные параметры программы: имя объекта мониторинга, URL- и IP-адреса для формирования ссылки на инциденты в уведомлениях об инцидентах, интервал получения данных из службы Message Broker, интервал получения статистических данных об инцидентах из базы данных, часовой пояс объекта мониторинга.
  • Параметры безопасности программы: количество попыток авторизации, период блокировки пользователя, период неактивности пользователя, информацию, является ли смена пароля при первом подключении обязательной, количество паролей пользователя, хранящихся в истории, срок действия пароля, минимальную длину пароля, информацию, требуется ли использование в пароле прописных, строчных букв латинского алфавита, цифр и/или специальных символов (_!@#$%^&*), объем и время хранения журналов событий информационной безопасности.
  • Параметры службы Anomaly Detector: информацию, требуется ли использовать детекторы Limit Detector, Forecaster, XGBoost и/или Rule Detector, информацию, требуется ли пропускать разрывы в данных, максимальное количество запрашиваемых записей из службы Message Broker, количество сообщений, отправляемых в одном блоке в службу Message Broker.
  • Параметры службы Keeper: информацию, требуется ли сохранять значения всех тегов, время ожидания получения значений тегов, инцидентов и метрик.
    

    Переменная, которая содержит значение какого-либо параметра технологического процесса (например, температуры).

  • Параметры службы Mail Notifier: адрес электронной почты отправителя уведомлений, адрес и порт SMTP-сервера, имя пользователя и пароль для подключения к SMTP-серверу, информацию, требуется ли использовать TLS-соединение, сертификат и ключ к сертификату SMTP-сервера.
  • Параметры службы Similar Anomaly: минимальное и максимальное количество инцидентов для группы, максимальное расстояние между схожими инцидентами.
  • Параметры службы Stream Processor: период равноинтервальной сетки, конфигурационный файл с параметрами службы Stream Processor.

    В конфигурационном файле службы Stream Processor хранятся идентификаторы тегов, которые обрабатываются службой, и значения параметров обработки тегов.

    Значения параметров обработки тегов задаются специалистами "Лаборатории Касперского" индивидуально для каждого объекта мониторинга.

  • Параметры коннектора HTTP Connector: размер записываемого блока, максимальный размер загружаемого файла, информацию, требуется ли использовать TLS-соединение и рекомендуемые параметры TLS-соединения, сертификат и ключ к сертификату HTTPS-сервера, корневой сертификат для проверки подписи сертификата клиента, информацию, требуется ли масштабировать полученные значения тегов.
  • Параметры коннектора MQTT Connector: информацию, требуется ли использовать TLS-соединение и рекомендуемые параметры TLS-соединения, адрес и порт MQTT-брокера, имя пользователя и пароль для подключения к MQTT-брокеру, корневой сертификат, сертификат клиента и ключ к сертификату клиента, список подписок MQTT для получения тегов, топик MQTT для публикации сообщений, формат обработки поступающих данных, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов.
    

    Иерархический путь к источнику данных, на базе которого отправляются сообщения по протоколу MQTT.

    В конфигурационном файле коннектора MQTT Connector хранятся идентификаторы, имена, описания, типы и единицы измерения тегов.

  • Параметры коннектора AMQP Connector: информацию, требуется ли использовать TLS-соединение и рекомендуемые параметры TLS-соединения, адрес и порт AMQP-брокера, имя пользователя и пароль для подключения к AMQP-брокеру, корневой сертификат, сертификат клиента и ключ к сертификату клиента, виртуальный узел AMQP, имена точек обмена AMQP для получения значений тегов и для публикации сообщений, список подписок и очередь для получения значений тегов, топик AMQP для публикации сообщений, формат обработки поступающих данных, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов.
    

    Иерархический путь к источнику данных, на базе которого отправляются сообщения по протоколу AMQP.

    В конфигурационном файле коннектора AMQP Connector хранятся идентификаторы, имена, описания, типы и единицы измерения тегов.

  • Параметры коннектора OPC UA Connector: адрес подключения, время ожидания подключения к серверу OPC UA, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов, политику безопасности соединения, режим безопасности сообщений, имя пользователя и пароль для подключения к серверу, сертификат клиентского приложения, закрытый ключ к сертификату клиентского приложения, пароль для закрытого ключа к сертификату клиентского приложения, корневой сертификат, интервал исторических данных, начало и окончание периода исторических данных, размер блока исторических данных, отправляемых сервером OPC UA, размер блока исторических данных, отправляемых в службу Message Broker.
  • Параметры коннектора KICS Connector: файл свертки для коннектора KICS Connector, пароль для коннектора KICS Connector, информацию, требуется ли отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks, частоту семплирования тегов, информацию, требуется ли масштабировать полученные значения тегов.
    

    Метод корректировки обучающей выборки с привязкой к шагам временной шкалы в исходном наборе данных.

  • Параметры коннектора CEF Connector: информацию, требуется ли получать события для службы Event Processor, информацию, требуется ли отправлять зарегистрированные инциденты и/или события в SIEM-систему, IP-адрес и порт для отправки событий и инцидентов в SIEM-системы, информацию, требуется ли отправлять журналы событий ИБ на syslog-сервер, транспортный протокол для отправки событий ИБ на syslog-сервер, адрес и порт syslog-сервер для отправки событий ИБ, информацию, требуется ли использовать защищенное TLS-соединение и рекомендуемые параметры TLS-соединения, сертификат и ключ к сертификату сервера, корневой сертификат для проверки подписи сертификата клиента, сертификат и ключ к сертификату клиента, корневой сертификат для проверки подписи сертификата сервера.
  • Параметры коннектора WebSocket Connector: URL-адрес WebSocket-сервера, корневой сертификат, сертификат клиентского приложения и ключ к сертификату клиентского приложения, формат обработки поступающих данных, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов, информацию, требуется ли отправлять инциденты, информацию, требуется ли использовать рекомендуемые параметры TLS-соединения.
  • Параметры службы Event Processor: конфигурационный файл службы, информацию, требуется ли обрабатывать инциденты как события, максимальное количество слоев сети, коэффициент, определяющий допустимую дисперсию длительности паттерна, интервал получения событий эпизода, размера эпизода в основном режиме, способ сохранения состояния службы Event Processor, периодичность создания резервных копий компонента, резервную копию состояния службы Event Processor, размер эпизода в режиме сна, режим отправки оповещений при активации монитора в режиме сна, периодичность и продолжительность режима сна, интервал истории событий для обработки в режиме сна.
  • Параметры статуса инцидентов: идентификатор статуса инцидента, названия статуса инцидента на русском и английском языке, порядковый номер сортировки, информацию, требуется ли отображать зарегистрированные инциденты с этим статусом.
  • Параметры причины инцидентов: идентификатор причины инцидента, название причины инцидента, порядковый номер сортировки.
  • Параметры службы ведения журналов: уровни ведения журналов служб и коннекторов программы.
  • Параметры временных интервалов для графиков в разделах Мониторинг, История и Временной срез: идентификатор временного интервала, названия временного интервала на русском и английском языке, порядковый номер сортировки, идентификатор пользователя, который создал временной интервал, идентификатор пользователя, который последним изменил временной интервал, значение временного интервала.
  • Параметры отображения пунктов основного меню и меню администратора: информацию, требуется ли отображать пункты основного меню и меню администратора в веб-интерфейсе программы.

  Параметры Kaspersky MLAD задает системный администратор в меню администратора.

• Данные об активах и тегах: имя актива, идентификатор актива, значок актива, идентификатор родительского актива, описание и тип актива, идентификатор и название типа актива, названия и значения специальных параметров типа актива, описание типа актива, идентификатор и имя тега, альтернативное имя тега, значок тега, описание тега, тип тега, единицу измерения тега, верхние и нижние пороги блокировки, сигнализации и достоверности измерений, комментарий к тегу, координаты расположения датчика объекта мониторинга в пространстве по осям абсцисс, ординат и аппликат, имя устройства, от которого поступают теги из внешней системы, параметры смещения и множителя, с помощью которых выполняется перерасчет полученных от коннекторов значений тегов.
  

  Раздел иерархической структуры, представляющий, например, завод, цех или отдельный агрегат объекта мониторинга.

  Данные об активах и тегах вводит системный администратор в меню администратора.

• Данные о пресетах: название пресета, идентификатор пресета, значок пресета, имена и идентификаторы тегов, входящих в пресет, название и описание графической области, режим масштабирования оси, верхнюю и нижнюю границы отображения значений тегов, дополнительные пороговые линии, информацию о тегах, входящих в состав графической области, информацию, требуется ли настроить выражение для раздела Временной срез, подписи осей абсцисс и ординат, название выражения для расчета значений тегов, выражения для расчета значений тегов, цвет графика для пресета в разделе Временной срез.
  

  Совокупность тегов, данные которых совместно отображаются путем наложения на одном графике в разделах История и Мониторинг. В графической области могут отображаться данные для одного и более тегов пресета.

  

  Набор тегов, сформированный пользователем в произвольном порядке или созданный автоматически при регистрации инцидента. Набор тегов в составе пользовательского пресета может соответствовать определенному аспекту технологического процесса или участку объекта мониторинга.

  Данные может ввести любой пользователь в разделе Пресеты.

• Информацию о количестве поступивших в секунду наблюдений по тегам и событий. Данные рассчитывает программа на основании данных, полученных от внешних систем.
• Информацию о значениях тегов и событий, поступивших в систему. Данные поступают от внешних систем, для которых пользователь настроил получение данных.
• Информацию о сформированных артефактах. Данные рассчитывает программа на основании данных, полученных от внешних систем.
• Информацию о статусах служб программы: название и текущий статус службы. Программа отображает статус службы, полученный из соответствующих компонентов.
• Данные о зарегистрированных инцидентах и группах инцидентов: идентификатор инцидента, дату и время регистрации инцидента, имя и идентификатор топ-тега, причину инцидента, название детектора, зарегистрировавшего инцидент, название группы инцидентов, статус инцидента, название ML-модели, элемент ML-модели, значение артефакта элемента ML-модели, пороговое значение, значение топ-тега, пороги блокировки, описание и единицы измерения тега, тип инцидента, дату и время формирования наблюдения, время, на которое формирование наблюдения отстает от поступления этого наблюдения в программе или опережает его, экспертное заключение к инциденту и к группе, комментарий к инциденту, название и идентификатор группы инцидентов, количество инцидентов в группе, дату и время создания группы инцидентов, статус зарегистрированных инцидентов в группе, идентификаторы релевантных тегов, порог блокировки, который был достигнут при регистрации инцидента.

  Программа формирует эти данные в результате анализа полученных данных и на основании параметров, заданных пользователем.

• Параметры отображения графиков в разделах Мониторинг и История: высоту графиков, пресет для перехода в раздел История (только при настройке параметров отображения графика в разделе Мониторинг), информацию, требуется ли отображать график наблюдений в выбранном цвете, цвет графиков наблюдений, информацию, требуется ли отображать график прогнозов в выбранном цвете, цвет графиков прогнозов, информацию, требуется ли отображать на графиках имена и описания тегов, прогнозируемое значение тега и/или индивидуальную ошибку тега, информацию, требуется ли отображать индикаторы для всех инцидентов на графиках, информацию, требуется ли отображать на графиках пороги блокировки и/или дополнительные пороговые линии, элемент ML-модели, используемый для формирования прогнозируемых значений, пресеты, временные интервалы, дату и время для отображения графиков.

  Данные может ввести любой пользователь в разделах Мониторинг и История.

• Параметры отображения графиков в разделе Временной срез: высоту графиков, элемент ML-модели, используемый для формирования прогнозируемых значений, пресеты, временные интервалы, дату и время для отображения графиков.

  Данные может ввести любой пользователь в разделе Временной срез.

• Параметры обработки и отображения данных для процессора событий: идентификатор, название и состояние головы внимания, параметры предмета внимания (индивидуальны для каждого объекта мониторинга), информацию, требуется ли обобщать параметры условий, параметры условий головы внимания (индивидуальны для каждого объекта мониторинга).

  Если в параметрах службы Event Processor включен переключатель Обрабатывать инциденты как события, то программа хранит и обрабатывает следующие данные:

  • название детектора;
  • название используемой ML-модели;
  • имя и идентификатор топ-тега;
  • название группы инцидентов, в которую входит зарегистрированный инцидент;
  • значение топ-тега;
  • идентификатор инцидента.

  Данные для процессора событий может ввести любой пользователь в разделе Процессор событий.

• Данные о мониторинге событий и паттернов в процессоре событий: название и идентификатор монитора, состояние монитора, количество зарегистрированных активаций на скользящем окне, дату и время последней активации, размер списка активаций, параметр, определяющий что отслеживает монитор, скользящее окно, порог активации, голову внимания, параметр предмета внимания, информацию, отслеживает ли монитор события или паттерны при обобщенном предмете внимания, тип активации, имена параметров события, за значениями которых наблюдает монитор, типы фильтров, типы значений, которые отслеживает монитор, значения параметров событий, которые отслеживает монитор, идентификатор значения параметра события, события или паттерна, обнаружение которого привело к активации монитора, дату и время обнаружения события в потоке событий, временной интервал между текущим событием и предыдущим событием в потоке событий на скользящем окне, количество повторений события в потоке событий на скользящем окне, количество параметров события, для которых поступили значения от объекта мониторинга, дату и время последнего обнаружения события в потоке событий на скользящем окне, параметр предмета внимания и его значение, вызвавшее активацию монитора, дату и время активации монитора, параметры события, поступившего от объекта мониторинга, количество событий, входящих в состав паттерна, который вызвал активацию монитора, общее количество повторений паттерна в потоке событий, идентификатор обобщенного события, идентификатор обобщенного паттерна, количество активаций монитора обобщенным событием или паттерном, количество событий в составе обобщенного паттерна, количество значений параметра предмета внимания, обнаружение которых вызвало активацию монитора, временной интервал между первым и последним событием в обнаруженном обобщенном паттерне, обнаруженное обобщенное событие, обнаруженный обобщенный паттерн, значения параметров предмета внимания, обнаружение которых вызвало активацию монитора.

  Программа формирует данные в результате анализа полученных данных и параметров, заданных пользователем в разделе Процессор событий.

• Данные о регистрации паттернов в процессоре событий: идентификатор паттерна, дату и время последнего обнаружения паттерна на интервале, количество обнаружений паттерна в потоке событий объекта мониторинга за заданный период, количество событий в составе паттерна, дату и время последнего обнаружения паттерна в потоке событий или в режиме сна, дату и время начала и окончания периода загрузки паттернов, тип паттерна, голову внимания, значения параметров события, по которым регистрируются паттерны, параметры шаблона, по которым регистрируются паттерны (индивидуальны для каждого объекта мониторинга), идентификатор вложенного паттерна, дату и время окончания вложенного паттерна в последовательности паттернов, количество обнаружений вложенного паттерна, количество событий в составе вложенного паттерна, временной интервал между вложенным паттерном и паттерном, выявленным в последовательности паттернов на текущем слое до вложенного паттерна, дату и время последнего обнаружения вложенного паттерна в последовательности паттернов на текущем слое, идентификаторы событий, входящих в состав паттерна, дату и время обнаружения события в структуре паттерна, временной интервал между выбранным событием и предыдущим событием, количество повторений события в структуре выбранного паттерна, количество параметров события, для которых поступили значения от объекта мониторинга, дату и время последнего обнаружения события в потоке событий.

  Программа формирует данные в результате анализа данных и параметров, заданных пользователем в разделе Процессор событий.

• Информация о ML-моделях и их параметрах: идентификатор (ID) и уникальный идентификатор (UUID) ML-модели, название, описание, статус и состояние ML-модели, имя пользователя, который последним изменил ML-модель, дату и время последнего изменения ML-модели, имя пользователя, который создал ML-модель, дату и время создания или загрузки ML-модели, названия и идентификаторы входящих в нее элементов, интервал времени и разметки для проведения инференса.
  

  Работа ML-модели с данными телеметрии для выявления аномального поведения.

  

  Инструмент для отбора интервалов времени. Разметки используются для формирования индикаторов обучения и инференса ML-модели. В составе разметки могут быть использованы два вида критериев: условия на поведение конкретных тегов (отбираются интервалы времени, в которых эти условия соблюдаются) и фильтр по времени (интервалы времени отбираются независимо от поведения тегов).

  Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.

• Информацию об элементах ML-моделей и их параметрах:
  • Общие параметры для всех типов элементов ML-моделей: идентификатор, название и описание элемента ML-модели, статус и состояние элемента ML-модели, интервал времени, при достижении которого регистрируется повторный инцидент, интервал времени, в течение которого не регистрируются повторные инциденты, интервал наблюдения за аномалией, доля длительности аномалии в интервале, причину и статус инцидента, цвет точек-индикаторов для инцидентов, экспертное заключение.
  • Основные параметры предиктивных элементов ML-моделей: архитектуру элемента, шаг сетки в секундах, имена и идентификаторы входных тегов, имена и идентификаторы выходных тегов, порог регистрации инцидентов, степенной показатель суммарной ошибки прогноза, коэффициент сглаживания суммарной ошибки прогноза, количество шагов входного окна для входных значений, количество шагов, на которое смещается начало выходного окна относительно начала входного окна, количество шагов выходного окна.
  • Параметры нейросетевого элемента с Dense-архитектурой: множители для вычисления количества нейронов на слоях, активации на слоях, коэффициент регуляризации для предотвращения переобучения элемента ML-модели.
  • Параметры нейросетевого элемента с RNN-архитектурой: количество GRU-нейронов на слоях, количество распределенных по времени нейронов на слоях декодирующего блока, информацию, требуется ли восстанавливать данные, принимаемые на вход сети, коэффициент регуляризации для предотвращения переобучения элемента ML-модели.
    

    Ячейка слоя с рекуррентной архитектурой.

  • Параметры нейросетевого элемента с CNN-архитектурой: размер фильтров на слоях, количество фильтров на слоях, коэффициент регуляризации для предотвращения переобучения элемента ML-модели, размер окна выборки максимума, количество нейронов на слоях декодирующего блока, информацию, требуется ли восстанавливать данные, принимаемые на вход сети.
  • Параметры нейросетевого элемента с TCN-архитектурой: коэффициент регуляризации для предотвращения переобучения элемента ML-модели, размер фильтров, количество слоев в остаточном блоке, количество фильтров на слоях, расширения на слоях, тип слоя перед выходным, размер пакета, функцию активации.
  • Параметры нейросетевого элемента с Transformer-архитектурой: коэффициент регуляризации в кодирующем блоке, количество голов внимания, количество кодирующих блоков, множители для вычисления количества нейронов на слоях декодирующего блока.
  • Параметры обучения предиктивного элемента: интервал времени для обучения, названия и идентификаторы разметок для обучения, максимальную продолжительность обучения, соотношение обучающей и валидационной выборок, максимальное количество эпох для обучения, количество эпох, в течение которых должны отсутствовать валидационные потери при ранней остановке обучение, разрешение графиков для отображения результатов обучения, размер пакета данных для обучения, количество блоков, режим инференса, режим обучения, режим автоматического разделения данных на блоки, используемый объем памяти для обучения, информацию, требуется ли инициализировать веса модели значениями из результатов предыдущего обучения и/или перемешивать данные, значение для инициализации генератора псевдослучайных чисел, коэффициент скорости обучения, алгоритм оптимизации обучения, алгоритм оптимизации потерь.
  • Информацию о результатах обучения предиктивного элемента: очередь обучения (идентификаторы и названия элементов ML-модели, которые ожидают очереди на обучение), статус обучения, название и идентификаторы обучающихся элементов, количество блоков, на которые разбиты данные для обучения, имя пользователя, который запустил обучения элемента, продолжительность обучения, дату и время начала и окончания обучения, продолжительность интервалов времени данных в обучающей выборке, количество узлов РИВС, входящий в обучающую выборку, ошибки обучения и валидации, прогноз обученной ML-модели на обучающей выборке.
    

    Бесконечная последовательность моментов времени, следующих друг за другом через равные интервалы, к которой приводится поток поступающих данных телеметрии.

  • Параметры элементов на основе диагностических правил: информацию, требуется ли интерпретировать невозможность оценки условия как выполнение правила, параметры фильтрации по времени: тип интервала, годы, дни, дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданным правилом; параметры условия на поведение тегов: тег, для которого добавлено условие, поведение тега, условие выполнения правила, количество шагов РИВС, пороговое значение тега, минимальное количество срабатываний правила для регистрации инцидента, значение уклона тренда, интервал времени между соседними оценками тренда, значение порога изменений, направление изменения значений тега, значение тега, максимальное отклонение тега от указанного значения, направление изменения разброса значения тега, информацию, используется ли в правиле пауза и параметры паузы: минимальный и максимальный интервалы ожидания, используемые групповой и логический операторы.
  • Параметры элементов на основе эллиптического конверта: порог регистрации инцидентов, шаг сетки в секундах, имена и идентификаторы входных тегов, которые необходимо включить в ML-модель.
  • Параметры обучения элемента на основе эллиптического конверта: интервал времени для обучения, названия и идентификаторы разметок для обучения, долю выборки для оценки среднего и ковариации, долю выбросов в выборке, значение для инициализации генератора псевдослучайных чисел, разрешение графиков для отображения результатов обучения, информацию, предполагается ли, что значения тегов центрированы.
  • Информацию о результатах обучения элемента на основе эллиптического конверта: очередь обучения (идентификаторы и названия элементов ML-модели, которые ожидают очереди на обучение), статус обучения, название и идентификаторы обучающихся элементов, имя пользователя, который запустил обучения элемента, продолжительность обучения, дату и время начала и окончания обучения, продолжительность интервалов времени данных в обучающей выборке, количество узлов РИВС, входящий в обучающую выборку, степень отклонения тегов, значения тегов, распределение значений тегов и корреляция тегов.

  Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.

• Информацию о разметках: идентификатор, название и описание разметки, интервал, с которым рассчитываются данные на РИВС, цвет разметки, способ появления разметки в программе, информацию, используется ли разметка в качестве основного индикатора инференса, параметры фильтрации по времени: тип интервала, годы, дни, дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными условиями разметки; параметры условия на поведение тегов: тег, для которого добавлено условие, поведение тега, условие выполнения правила, количество шагов РИВС, пороговое значение тега, минимальное количество срабатываний правила для регистрации инцидента, значение уклона тренда, интервал времени между соседними оценками тренда, значение порога изменений, направление изменения значений тега, значение тега, максимальное отклонение тега от указанного значения, направление изменения разброса значения тега, информацию, используется ли в правиле пауза и параметры паузы: минимальный и максимальный интервалы ожидания, используемые групповой и логический операторы.

  Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.

• Журналы событий информационной безопасности: идентификатор событий ИБ, дату и время события ИБ, тип события ИБ, уточнение типа события ИБ, уровень важности события ИБ, имя пользователя, действия которого привели к записи события ИБ, IP-адрес компьютера, с которого пользователем были произведены действия, записанные в журналы событий ИБ, результат события ИБ, краткое содержание события ИБ, подробное описание события ИБ.

  IP-адреса компьютеров, с которых было выполнено подключение к веб-интерфейсу программы, указываются в журналах событий информационной безопасности.

  Данные формируются Kaspersky MLAD автоматически.

  Kaspersky MLAD хранит журналы событий ИБ в течении времени, заданном в параметре Время хранения журналов событий информационной безопасности (сут) при настройке параметров безопасности. Программа удаляет ранние записи журналов событий ИБ при превышении объема для хранения события ИБ, заданного в параметре Объем журналов событий информационной безопасности (МБ).

• Журналы контейнеров Kaspersky MLAD: дату и время события, уровень важности события, название контейнера, для которого зарегистрировано событие, описание события.

  Данные формируются Kaspersky MLAD автоматически.

  Kaspersky MLAD хранит журналы контейнеров в течение двух дней.

Система ведения журналов (Grafana) не передает пользовательские данные в "Лабораторию Касперского" или на сторонние серверы. Вы можете ознакомиться с порядком хранения и обработки данных в системе ведения журналов в руководстве пользователя системы ведения журналов Grafana.

Данные, обрабатываемые на компьютерах пользователей

При работе с веб-интерфейсом Kaspersky MLAD в файлах cookie браузера пользователя хранятся следующие данные:

• Индивидуальные токены JSON Web Token для поддержки пользовательской сессии подключения к веб-интерфейсу программы. Индивидуальный токен хранится в файлах cookie браузера пользователя в течение периода неактивности пользователя, заданного при настройке параметров безопасности.
• Идентификатор запущенной сессии Grafana, если пользователь переходил к просмотру журналов программы. Идентификатор сессии Grafana хранится в файлах cookie браузера пользователя в течение 30 дней.

В браузере пользователя хранятся данные, которые используются для отображения веб-интерфейса: последний использованный язык локализации веб-интерфейса программы, последний использованный вариант отображения основного меню (скрытое или развернутое отображение), последние использованные значения временного интервала, пресета, даты и времени, элементы ML-моделей и параметры отображения графиков в разделах Мониторинг, История и Временной срез, последние использованные параметры нумерации страниц, последние заданные фильтры для отображения данных в разделе Процессор событий, последние использованные значения статуса и причины инцидентов в разделе Инциденты, информация о пресетах Теги инцидента #<идентификатор инцидента>, сформированных для зарегистрированного инцидента, информация о текущей установленной версии Kaspersky MLAD. Эти данные хранятся в браузере бессрочно. Вы можете самостоятельно удалить эти данные из локального хранилища браузера.

При экспорте инцидентов программа сохраняет на компьютер пользователя файл формата XLSX со следующими данными:

• именем объекта мониторинга;
• периодом, за который были выгружены инциденты;
• идентификаторами зарегистрированных инцидентов;
• датами и временем зарегистрированных инцидентов;
• статусами зарегистрированных инцидентов;
• названиями групп, в которые входят зарегистрированные инциденты;
• именами и идентификаторами топ-тегов, оказавших наибольшее влияние на регистрацию инцидентов;
• значениями топ-тегов;
• единицами измерения топ-тегов;
• описаниями топ-тегов;
• названиями ML-моделей, зарегистрировавших инциденты;
• названиями детекторов, зарегистрировавших инциденты.

При экспорте журналов событий информационной безопасности из системы ведения журналов Grafana программа сохраняет на компьютер пользователя файл формата CSV со следующими данными:

• идентификаторами событий ИБ;
• датами и временем событий ИБ;
• типами событий ИБ;
• уточнениями типов событий ИБ;
• уровнями важности событий ИБ;
• именами пользователей, действия которых привели к записи событий ИБ;
• IP-адресами компьютеров, с которых пользователями были произведены действия, записанные в журналы событий ИБ;
• результатами событий ИБ;
• краткими содержаниями событий ИБ;
• подробными описаниями событий ИБ.

При экспорте журналов контейнеров из системы ведения журналов Grafana программа сохраняет на компьютер пользователя файл формата CSV со следующими данными:

• датами и временем событий;
• уровнями важности событий;
• именем контейнера, для которого зарегистрированы события;
• описаниями событий.

При экспорте конфигурации активов и тегов программа сохраняет на компьютер пользователя файл формата XLSX со следующими данными:

• идентификатором типа актива;
• уникальным названием типа актива;
• названием специальных параметров для типа актива (при наличии);
• описанием типа актива (при наличии);
• идентификатором актива;
• именем актива;
• уникальным именем актива в рамках его родительского актива;
• описанием актива (при наличии);
• именем родительского актива, к которому относится актив (при наличии);
• идентификатором родительского актива (при наличии);
• названиями специальных параметров актива (при наличии);
• значениями специальных параметров актива (при наличии);
• идентификатором тега;
• уникальным именем тега;
• уникальным альтернативным именем тега (при наличии);
• описанием тега;
• именем родительского актива, к которому относится тег (при наличии);
• идентификатором родительского актива;
• типом тега (при наличии);
• единицей измерения тега;
• нижним и верхним порогами блокировки (при наличии);
• нижним и верхним порогами сигнализации (при наличии);
• нижним и верхним порогами достоверности измерений (при наличии);
• нижней и верхней границами отображения значений тега на графиках (при наличии);
• выражением, по которому требуется рассчитать значение тега из значения, переданного в Kaspersky MLAD;
• комментарием к тегу;
• координатами расположения датчика объекта мониторинга по осям абсцисс, ординат и аппликат (при наличии);
• значением смещения, которое необходимо добавить к значению тега, полученному от коннектора;
• значением множителя, на которое необходимо умножить значение тега, полученное от коннектора.

При экспорте пресетов программа сохраняет на компьютер пользователя файл формата JSON со следующими данными:

• названием пресета;
• идентификатором пресета;
• порядковым номером отображения пресета в разделе Пресеты;
• списком идентификаторов тегов, входящих в состав пресета;
• названием значка пресета;
• названием CSS-класса для отображения значка пресета;
• информацией, требуется ли отображать пресет в разделе Временной срез;
• параметрами графической области в составе пресета:
  • названием графической области;
  • описанием графической области;
  • порядковым номером отображения графической области в пресета в разделах Мониторинг, История и Пресеты;
  • верхней и нижней границами отображения значений тегов в графической области;
  • параметрами дополнительных пороговых линий:
    • идентификатором дополнительной пороговой линии;
    • пороговым значением;
    • цветом дополнительной пороговой линии.
  • режимом масштабирования оси;
  • способом масштабирования графика в режиме единой оси;
  • списком идентификаторов тегов, входящих в состав графической области;
  • идентификатором графической области;
  • идентификатором пресета, к которому относится графическая область.
• при использовании пресета для отображения данных в разделе Временной срез программа сохраняет следующие данные:
  • подпись по оси абсцисс на графике в разделе Временной срез;
  • название выражения, по которому рассчитываются значения тегов;
  • подпись по оси ординат на графике в разделе Временной срез;
  • выражение, по которому рассчитываются значения тегов;
  • цвет графика для пресета в разделе Временной срез.

При экспорте параметров Kaspersky MLAD программа сохраняет на компьютер пользователя конфигурационные файлы со следующими данными:

• Файл с параметрами статусов инцидентов, содержащий следующие данные:
  • идентификатор статуса инцидента;
  • название статуса инцидента на русском языке;
  • название статуса инцидента на английском языке;
  • порядковый номер статуса инцидента для сортировки;
  • информацию, требуется ли отображать зарегистрированные инциденты с этим статусом.
• Файл с параметрами причин инцидентов, содержащий следующие данные:
  • идентификатор причины инцидента;
  • название причины инцидента;
  • порядковый номер причины инцидента для сортировки.
• Файл с параметрами временных интервалов отображения данных на графиках Мониторинг, История и Временной срез, содержащий следующие данные:
  • идентификатор временного интервала;
  • название временного интервала на русском языке;
  • название временного интервала на английском языке;
  • порядковый номер временного интервала для сортировки;
  • идентификатор пользователя, который создал временный интервал;
  • идентификатор пользователя, который последним изменил временной интервал;
  • значение временного интервала в миллисекундах.
• Параметры служб и коннекторов Kaspersky MLAD:
  • идентификаторы параметров;
  • названия параметров в базе данных Kaspersky MLAD;
  • типы введенных значений;
  • введенные или выбранные значения;
  • название блока параметров, к которому относится текущий параметр;
  • порядковый номер отображения параметра в текущем разделе;
  • требования к значению параметра.
• Конфигурационный файл службы Stream Processor, содержащий следующие данные:
  • идентификаторы тегов, которые обрабатываются службой Stream Processor;
  • значения параметров обработки тегов.

    Значения параметров обработки тегов задаются специалистами "Лаборатории Касперского" индивидуально для каждого объекта мониторинга.

• Конфигурационные файлы коннекторов MQTT Connector, AMQP Connector и WebSocket Connector, содержащие следующие данные:
  • идентификаторы тегов, полученные с помощью коннектора MQTT Connector, AMQP Connector или WebSocket Connector;
  • единицы измерения временной метки тегов;
  • тип получаемых данных;
  • формат шаблона для декодирования типа получаемых данных.
• Конфигурационный файл коннектора OPC UA Connector, содержащий следующие данные:
  • идентификатор тега;
  • имя актива, к которому относится тег;
  • тип данных, которые передаются в значении тега.
• Конфигурационный файл службы Event Processor, содержащий следующие данные:
  • правила соответствия параметров событий, полученных коннектором CEF Connector, с именами параметров событий для обработки в службе Event Processor;
  • список обрабатываемых параметров событий;
  • время и масштаб времени для обработки событий;
  • порядок и взаимосвязь параметров событий для их отображения на графе отношений в разделе История событий.
• Файл свертки для коннектора KICS Connector, содержащий следующие данные:
  • В зашифрованном виде открытый ключ сертификата сервера Kaspersky Industrial CyberSecurity for Networks, сертификат, выданный сервером Kaspersky Industrial CyberSecurity for Networks для коннектора KICS Connector (с закрытым ключом).

    Содержимое файла зашифровано с помощью пароля, который был указан при добавлении коннектора KICS Connector или при создании нового файла свертки для этого коннектора.

  • Конфигурационные данные для коннектора KICS Connector: имя пользователя, под которым Kaspersky MLAD будет подключаться к серверу Kaspersky Industrial CyberSecurity for Networks, идентификатор коннектора KICS Connector, адрес сервера Kaspersky Industrial CyberSecurity for Networks для подключения.

В начало