Kaspersky Machine Learning for Anomaly Detection

Просмотр истории паттернов

Развернуть все | Свернуть все

В разделе Процессор событий → История паттернов вы можете найти и просмотреть структуру устойчиво повторяющихся и/или новых паттернов. Процессор событий формирует паттерны только по определенным направлениям в соответствии с головами внимания, которые задаются в конфигурации внимания.

Функциональность доступна после добавления лицензионного ключа.

Вы также можете просмотреть структуру выявленных паттернов до уровня событий. Процессор событий представляет паттерны, события и значения параметров событий как послойную иерархию вложенных элементов. Например, паттерн четвертого слоя состоит из вложенных паттернов третьего слоя, в свою очередь паттерн третьего слоя состоит из паттернов второго слоя, а паттерн второго слоя состоит из событий – элементов первого слоя. Значения параметров события являются элементами нулевого терминального слоя.

Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Список параметров событий определяется в файле конфигурации для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет системный администратор на этапе настройки службы Event Processor.

Чтобы просмотреть зарегистрированные паттерны:

1. В основном меню выберите раздел Процессор событий → История паттернов.
2. В блоке Фильтры настройте следующие параметры отображения паттернов на странице:
   1. В раскрывающемся списке Интервал истории выберите даты и время начала и окончания периода, за который вы хотите загрузить и просмотреть паттерны, нажав на кнопку .
   2. В раскрывающемся списке Тип паттернов выберите одно из следующих значений:
      • Стабильные – паттерны, которые были зарегистрированы службой Event Processor два и более раза.
      • Новые – новые паттерны, зарегистрированные службой Event Processor впервые.
      • Все – все паттерны, зарегистрированные службой Event Processor.
   3. В раскрывающемся списке Голова внимания выберите голову внимание, по которой требуется просмотреть зарегистрированные паттерны.

      Требуется выбрать одну из голов внимания, заданных при настройке конфигурации внимания.

   4. Для настройки параметров событий выполните одно из следующих действий:
      • Если вы хотите просматривать паттерны по конкретным значениям параметров событий, в раскрывающихся списках выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списках.
      • Если вы хотите просматривать паттерны по шаблону значений, нажмите на кнопку  в ячейках нужных параметров события, в раскрывающихся списках введите шаблон значения с помощью регулярного выражения и выберите указанный шаблон значения.

        Для поиска с помощью регулярных выражений используйте специальные символы регулярных выражений.

      Для правильного выполнения запроса требуется ввести значения для параметра события, на котором сфокусировано внимание модели. Если в параметре события, на котором сфокусировано внимание, задано несколько значений параметра события, процессор событий сформирует паттерны для каждого значения параметра.

      Параметры событий, заданные в качестве обобщенных в выбранной голове внимания, недоступны для настройки.

3. Нажмите на кнопку Выполнить запрос.

   В центральной части страницы отобразится таблица, которая содержит данные о зарегистрированных паттернах.

   • ID паттерна – идентификатор паттерна. Число в начале идентификатора паттерна до знака нижнего подчеркивания соответствует номеру слоя, на котором этот паттерн был обнаружен.
   • Последнее обнаружение в интервале – дата и время последнего обнаружения паттерна в потоке событий объекта мониторинга за заданный период.
   • Количество обнаружений в интервале – количество обнаружений паттерна в потоке событий объекта мониторинга за заданный период.
   • Количество событий – количество событий, составляющих паттерн.
   • Последняя активация – дата и время последнего обнаружения паттерна в потоке событий объекта мониторинга или в режиме сна.

4. Если требуется перейти к просмотру структуры паттерна, нажмите на нужную строку паттерна.

   Откроется страница с подробной информацией о паттерне.

   • ID паттерна – идентификатор выбранного паттерна. Число в начале идентификатора паттерна до знака нижнего подчеркивания соответствует номеру слоя, на котором этот паттерн был обнаружен.
   • Общее количество активаций – количество обнаружений выбранного паттерна в потоке событий за заданный период.
   • Интервал от предыдущего элемента – временной интервал между выбранным паттерном и паттерном, выявленным в последовательности паттернов на текущем слое до выбранного паттерна. Kaspersky MLAD отображает временные интервалы между элементами выбранного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между элементами этого паттерна.
   • Количество событий – количество событий, составляющих паттерн.
   • Время окончания паттерна – дата и время окончания выбранного паттерна в последовательности паттернов на текущем слое.
   • Последняя активация – дата и время последнего обнаружения паттерна в потоке событий или в режиме сна.
   • Паттерны – вкладка, содержащая таблицу с информацией о паттернах, входящих в состав выбранного паттерна. На вкладке Паттерны отображаются следующие данные:
     • ID паттерна – идентификатор вложенного паттерна. Число в начале идентификатора паттерна до знака нижнего подчеркивания соответствует номеру слоя, на котором этот паттерн был обнаружен.
     • Время окончания паттерна – дата и время окончания вложенного паттерна в последовательности паттернов на выбранном слое.
     • Общее количество активаций – количество обнаружений вложенного паттерна в структуре выбранного паттерна.
     • Количество событий – количество событий, составляющих вложенный паттерн.
     • Интервал от предыдущего элемента – временной интервал между вложенным паттерном и предыдущим паттерном в таблице. Kaspersky MLAD отображает временные интервалы между элементами вложенного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между элементами этого паттерна.
     • Последняя активация – дата и время последнего обнаружения вложенного паттерна в последовательности паттернов на выбранном слое или в режиме сна.
   • События – вкладка, содержащая таблицу событий, входящих в состав выбранного паттерна. Для каждого события отображаются следующие данные:
     • ID события – идентификатор события.
     • Системные параметры – параметр, содержащий следующую информацию о событии:
       • Дата и время события – дата и время обнаружения события в структуре паттерна.
       • Интервал от предыдущего элемента – временной интервал между текущим событием и предыдущим событием в таблице. Kaspersky MLAD отображает временные интервалы между событиями выбранного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между событиями этого паттерна.
       • Общее количество активаций – количество повторений события в структуре выбранного паттерна за заданный период.
       • Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
       • Последняя активация – дата и время последнего обнаружения события в потоке событий.
     • Параметры события – значения параметров события, поступившего от объекта мониторинга.

5. Для просмотра структуры паттерна выполните одно из следующих действий:
   • Если требуется посмотреть структуру определенного вложенного паттерна, на вкладке Паттерны блока Вложенные элементы нажмите на нужную строку паттерна.

     Вы можете вернуться к просмотру структуры паттерна верхнего уровня вложенности, нажав на идентификатор нужного паттерна над блоком Информация о паттерне.

   • Если требуется просмотреть события, составляющие паттерн на втором уровне вложенности, нажмите на вкладку События.

   Kaspersky MLAD отображает структуру паттерна с верхнего уровня вложенности.