Kaspersky Machine Learning for Anomaly Detection
- О Kaspersky Machine Learning for Anomaly Detection
- Что нового
- Архитектура Kaspersky MLAD
- Типовые схемы развертывания
- Схема потока данных телеметрии и событий
- Порты, используемые Kaspersky MLAD
- Установка и удаление программы
- Установка программы
- Обновление программы
- Проверка целостности файлов архива Kaspersky MLAD
- Резервное копирование программы
- Откат программы к предыдущей установленной версии
- Сценарий восстановления Kaspersky MLAD из резервной копии
- Подготовка к работе
- Запуск и остановка Kaspersky MLAD
- Переключение между режимами управления состоянием Kaspersky MLAD
- Обновление сертификатов Kaspersky MLAD
- Первый запуск Kaspersky MLAD
- Удаление программы
- Веб-интерфейс Kaspersky MLAD
- Подключение к Kaspersky MLAD и завершение пользовательской сессии
- Изменение пароля учетной записи
- Выбор языка локализации веб-интерфейса Kaspersky MLAD
- Лицензирование программы
- Обработка и хранение данных в Kaspersky MLAD
- Задачи системного администратора
- Управление учетными записями пользователей
- Управление ролями
- Управление уведомлениями об инцидентах
- Настройка параметров Kaspersky MLAD
- Настройка основных параметров Kaspersky MLAD
- Настройка параметров безопасности Kaspersky MLAD
- Настройка службы Anomaly Detector
- Настройка службы Keeper
- Настройка службы Mail Notifier
- Настройка службы Similar Anomaly
- Настройка службы Stream Processor
- Настройка коннектора HTTP Connector
- Настройка коннектора MQTT Connector
- Настройка коннектора AMQP Connector
- Настройка коннектора OPC UA Connector
- Настройка коннектора KICS Connector
- Настройка коннектора CEF Connector
- Настройка коннектора WebSocket Connector
- Настройка службы Event Processor
- Настройка статусов и причин инцидентов
- Настройка ведения журналов служб Kaspersky MLAD
- Настройка временных интервалов отображения данных
- Настройка отображения пунктов меню Kaspersky MLAD
- Экспорт и импорт параметров Kaspersky MLAD
- Управление активами и тегами
- Об иерархической структуре объекта мониторинга
- О тегах
- Создание актива
- Изменение параметров актива
- Создание тега
- Добавление тега в актив
- Изменение тега
- Перемещение активов и тегов
- Удаление актива или тега
- Проверка текущей структуры тегов
- Загрузка конфигурации активов и тегов в систему
- Сохранение конфигурации активов и тегов в файл
- Работа с основным меню
- Сценарий: работа с Kaspersky MLAD
- Просмотр сводных данных в разделе Информационная панель
- Просмотр поступающих данных в разделе Мониторинг
- Просмотр данных в разделе История
- Просмотр данных в разделе Временной срез
- Работа с событиями и паттернами
- Работа с инцидентами и группами инцидентов
- Об инцидентах
- Об инцидентах, обнаруженных предиктивным элементом ML-модели
- Об инцидентах, обнаруженных элементом ML-модели на основе диагностического правила
- Об инцидентах, обнаруженных элементом ML-модели на основе эллиптического конверта
- Об инцидентах, обнаруженных детектором Limit Detector
- Об инцидентах, обнаруженных службой Stream Processor
- Об аномалиях
- Сценарий: анализ инцидентов
- Просмотр инцидентов
- Просмотр технических характеристик зарегистрированного инцидента
- Просмотр групп инцидентов
- Исследование поведения объекта мониторинга в момент обнаружения инцидента
- Добавление статуса, причины, экспертного заключения и замечания к инциденту или группе инцидентов
- Экспорт инцидентов в файл
- Об инцидентах
- Управление ML-моделями
- Об ML-моделях
- О статусах и состояниях ML-моделей и их элементов
- О шаблонах ML-моделей
- О разметках
- Об условиях в составе разметок и диагностических правил
- Сценарий: работа с ML-моделями
- Поиск и фильтрация объектов в разделе Модели
- Работа с разметками
- Работа с импортированными ML-моделями
- Работа с ML-моделями, созданными вручную
- Создание ML-модели
- Добавление предиктивного элемента ML-модели
- Изменение предиктивного элемента ML-модели
- Добавление элемента ML-модели на основе диагностического правила
- Изменение элемента ML-модели на основе диагностического правила
- Добавление элемента ML-модели на основе эллиптического конверта
- Изменение элемента ML-модели на основе эллиптического конверта
- Копирование элемента ML-модели
- Удаление элемента ML-модели
- Копирование ML-модели
- Работа с шаблонами ML-моделей
- Изменение параметров ML-модели
- Обучение предиктивного элемента ML-модели
- Обучение элемента ML-модели на основе эллиптического конверта
- Просмотр результатов обучения элемента ML-модели
- Запуск и остановка инференса ML-модели
- Просмотр графа потока данных в ML-модели
- Подготовка ML-модели к публикации
- Публикация ML-модели
- Удаление ML-модели
- Управление пресетами
- Управление службами
- Устранение неисправностей
- При подключении к Kaspersky MLAD браузер выводит предупреждение о сертификате
- Заканчивается свободное пространство на жестком диске
- Непредвиденная перезагрузка операционной системы
- Не удается подключиться к веб-интерфейсу Kaspersky MLAD
- Не отображаются графики данных или графические области в разделах История и Мониторинг
- Не выполняется передача событий между Kaspersky MLAD и внешними системами
- Невозможно загрузить данные для просмотра в разделе Процессор событий
- Неправильно обрабатываются данные в разделе Процессор событий
- Не отображаются события в разделе Процессор событий
- Не отображаются ранее созданные мониторы и заданные параметры конфигурации внимания в разделе Процессор событий
- Не отображается результат применения разметки
- Отображается сообщение об остановленной службе Trainer
- Обучение элемента ML-модели завершилось с ошибкой
- Не приходят уведомления об инцидентах по электронной почте
- Требуется изменить язык локализации Справки
- Обращение в Службу технической поддержки
- Список ограничений
- Приложения
- Параметры конфигурационного файла .env
- Параметры и пример Excel-файла, содержащего конфигурацию активов и тегов
- Параметры и пример JSON-файла, описывающего пресеты
- Параметры и пример JSON-файла, содержащего конфигурацию параметров для службы Event Processor
- Просмотр журнала Kaspersky MLAD
- Специальные символы регулярных выражений
- Наборы шифров для защищенного TLS-соединения
- Глоссарий
- ML-модель
- Актив
- Аномалия
- Артефакт
- АСУ ТП
- Внимание
- Градиентный бустинг
- Графическая область
- Иерархическая структура объекта мониторинга
- Индикатор инференса
- Индикатор обучения
- Инференс
- Инцидент
- Коннектор
- Монитор
- Паттерн
- Пресет
- Равноинтервальная временная сетка (РИВС)
- Разметка
- Роль учетной записи
- Семплирование
- Событие
- Тег
- Топ-тег
- Топик AMQP
- Топик MQTT
- Уведомление
- Информация о стороннем коде
- Уведомления о товарных знаках
Работа с основным меню > Работа с событиями и паттернами > Работа с мониторами
Работа с мониторами
Работа с мониторами
Функциональность доступна после добавления лицензионного ключа.
В разделе Процессор событий → Мониторинг вы можете управлять мониторами для отслеживания определенных событий, паттернов или значений параметров событий, а также обобщенных событий или паттернов. Вы можете просматривать краткую статистику количества зарегистрированных активаций по каждому созданному монитору в виде гистограммы.
Работа с мониторами осуществляется на вкладке Мониторы. Вы можете перейти на вкладку нажатием на кнопку 
в правом верхнем углу раздела.
На вкладке отображаются все созданные в программе мониторы со следующей краткой информацией:
- Название монитора.
- Количество активаций монитора на скользящем окне.
- Тип подписки монитора. Для каждого монитора могут отображаться следующие значения:
- Значения параметров. Монитор отслеживает появление определенных значений параметров событий.
- События. Монитор отслеживает появление определенных событий.
- Паттерны. Монитор отслеживает появление закономерностей в поведении объекта мониторинга.
- Уникальные обобщенные. Монитор отслеживает появление уникальных обобщенных событий или паттернов.
- Похожие обобщенные. Монитор отслеживает появление похожих обобщенных событий или паттернов.
- Порог активации – количество активаций монитора на скользящем окне, при достижении которого программа отправляет оповещение об активации монитора во внешнюю систему.
- Период – скользящее окно, за время которого ведется учет количества активаций монитора.
При необходимости вы можете просмотреть подробную информацию о каждом мониторе. Для этого нажмите на карточку нужного монитора.
- Название – название просматриваемого монитора.
- Состояние – параметр, определяющий состояние монитора.
- ID монитора – идентификатор просматриваемого монитора.
- Количество активаций – количество зарегистрированных активаций монитора на скользящем окне.
- Дата и время последней активации – дата и время, когда монитор в последний раз был активирован.
- Размер списка активаций – параметр, величина которого определяет количество последних активаций монитора, отображаемых в таблице Список активаций.
- Тип подписки – параметр, определяющий что отслеживает просматриваемый монитор: значения параметров событий, события или паттерны.
- Скользящее окно – параметр, определяющий интервал времени от текущего момента времени назад по временной последовательности, в течение которого ведется учет количества активаций. Окно сдвигается синхронно течению времени по временным меткам в событиях.
- Порог активации – количество активаций, которое должен зарегистрировать монитор на скользящем окне, прежде чем отправить во внешнюю систему оповещение об активации монитора с помощью коннектора CEF Connector.
- Голова внимания – голова внимания, на которой сфокусировано внимание процессора событий. Этот параметр отображается только при активации монитора паттерном, уникальным или похожим обобщенным событием или паттерном.
- Параметр предмета внимания – параметр предмета внимания, на котором сфокусировано внимание процессора событий. Этот параметр отображается только при активации монитора паттерном, уникальным или похожим обобщенным событием или паттерном.
- Подписка на события – параметр, определяющий, отслеживает ли монитор обобщенные события. Этот параметр отображается только при активации монитор уникальным или похожим обобщенным событием или паттерном.
- Подписка на паттерны – параметр, определяющий, отслеживает ли монитор обобщенные паттерны. Этот параметр отображается только при активации монитор уникальным или похожим обобщенным событием или паттерном.
- Тип активации – параметр, определяющий, отслеживает ли монитор новые значения параметров событий, события и паттерны. Этот параметр отображается только при активации монитора значением параметра событий, событием или паттерном.
- Фильтры – таблица, содержащая информацию о фильтрах для параметров событий, по которым текущий монитор отслеживает значения параметров событий, события и паттерны. Для каждого элемента отображаются следующие данные:
- Имя параметра – имя параметра события, за значениями которого наблюдает просматриваемый монитор.
Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Имена параметров событий определяются в конфигурационном файле для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор на этапе настройки службы Event Processor.
- Тип фильтра – параметр, определяющий тип фильтра для параметров событий, по которым текущий монитор отслеживает значения параметров событий, события и паттерны.
- Тип значения – параметр, определяющий какие типы значений отслеживает просматриваемый монитор: значения по шаблону, определенные, новые или все значения.
- Значения – значения параметра события, за которыми наблюдает просматриваемый монитор.
Эта таблица отображается только при активации монитора значением параметра события, событием или паттерном.
- Имя параметра – имя параметра события, за значениями которого наблюдает просматриваемый монитор.
- Список активаций – таблица, содержащая информацию о последних активациях монитора:
- ID значения параметра – идентификатор значения параметра события, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора значением параметра события.
- ID события – идентификатор события, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора событием.
- ID паттерна – идентификатор паттерна, обнаружение которого привело к активации монитора. Этот параметр отображается только при активации монитора паттерном.
- Системные параметры – блок системных параметров, который содержит следующую информацию:
- Дата и время события – дата и время обнаружения события в потоке событий.
- Интервал от предыдущего элемента – временной интервал между текущим событием и предыдущим событием в потоке событий на скользящем окне. Kaspersky MLAD отображает временные интервалы между событиями при первом обнаружении паттерна, в состав которого входят события. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между этими событиями.
- Общее количество активаций – количество повторений события в потоке событий на скользящем окне.
- Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
- Последняя активация – дата и время последнего обнаружения события в потоке событий на скользящем окне.
Этот блок параметров отображается только при активации монитора событием или значением параметра события.
- Предмет внимания – параметр предмета внимания и его значение, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора паттерном.
- Дата и время активации – дата и время активации монитора. Этот параметр отображается только при активации монитора паттерном.
- Параметр события – значение параметра события, поступившего от объекта мониторинга. Этот параметр отображается только при активации монитора значением параметра события.
- Параметры события – значения параметров события, поступившего от объекта мониторинга. Этот параметр отображается только при активации монитора событием.
- Количество событий – количество событий, входящих в состав паттерна, который вызвал активацию монитора. Этот параметр отображается только при активации монитора паттерном.
- Общее количество активаций – количество повторений паттерна в потоке событий на скользящем окне. Этот параметр отображается только при активации монитора паттерном.
- Статистика по обобщенным событиям – таблица, содержащая информацию об обобщенных событиях:
- ID события – идентификатор обобщенного события.
- Количество активаций – количество зарегистрированных активаций монитора на скользящем окне.
- Количество предметов внимания – количество значений параметра предмета внимания, обнаружение которых вызвало активацию монитора.
- Событие – обнаруженное обобщенное событие.
- Предметы внимания – значения параметра предмета внимания, обнаружение которых вызвало активацию монитора.
Эта таблица отображается только при активации монитора похожими обобщенными событиями.
- Статистика по обобщенным паттернам – таблица, содержащая информацию об обобщенных паттернах:
- ID паттерна – идентификатор обобщенного паттерна.
- Количество активаций – количество зарегистрированных активаций монитора на скользящем окне.
- Количество событий – количество событий в составе обобщенного паттерна.
- Количество предметов внимания – количество значений параметра предмета внимания, обнаружение которых вызвало активацию монитора.
- Длительность паттерна – временной интервал между первым и последним событием в обнаруженном паттерне. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между событиями паттерна.
- Паттерн – обнаруженный обобщенный паттерн.
- Предметы внимания – значения параметра предмета внимания, обнаружение которых вызвало активацию монитора.
Эта таблица отображается только при активации монитора похожими обобщенными паттернами.
Просмотр гистограммы с краткой статистикой количества активаций осуществляется на вкладке Гистограмма в правом верхнем углу раздела.
|
В этом разделе |
Идентификатор статьи: 248083, Последнее изменение: 21 нояб. 2024 г.