Сценарий: анализ инцидентов

В этом разделе приводится последовательность действий, которые требуется выполнить при анализе зарегистрированных Kaspersky MLAD инцидентов.

Функциональность доступна после добавления лицензионного ключа.

Описанный в этом разделе сценарий анализа инцидентов не является четко регламентированным процессом. Состав и порядок действий, предпринимаемых для исследования инцидента и выявления причины его возникновения, зависят от предметной области, уровня знаний технолога или специалиста АСУ ТП, исследующего инцидент, а также наличия дополнительной информации об объекте мониторинга.

Сценарий анализа инцидентов состоит из следующих этапов:

  1. Просмотр информации о зарегистрированном инциденте

    В разделе Инциденты отображаются все зарегистрированные Kaspersky MLAD инциденты, а также подробная информация о времени их регистрации, ML-модели, которая зарегистрировала инцидент, и экспертное заключение, если оно было добавлено. Вы можете перейти к просмотру информации об инцидентах одним из следующих способов:

    • Просмотр последних инцидентов в разделе Информационная панель

      Если вы хотите просмотреть недавно обнаруженный инцидент, в разделе Информационная панель нажмите на дату и время интересующего вас инцидента в таблице Последние инциденты. В открывшемся разделе История в нижней части страницы нажмите на точку-индикатор в блоке графика артефакта элемента ML-модели для просмотра определенного инцидента. Откроется раздел Инциденты, в котором отобразятся только те инциденты, которые были зарегистрированы в период, представленный выбранной точкой-индикатором (период указан над таблицей инцидентов).

    • Просмотр инцидентов в разделе Инциденты

      Если вам известны дата и время регистрации инцидента, выберите соответствующий инцидент в разделе Инциденты. Вы можете изменить интервал времени, в котором отображаются инциденты, используя столбчатую диаграмму или поле выбора даты в верхней части страницы.

    • Переход из уведомления об инциденте, поступившего по электронной почте

      Если для вас было создано уведомление об инцидентах, при регистрации инцидента вы получите уведомление по электронной почте. Сообщение электронной почты содержит время начала инцидента, топ-тег и ссылку для перехода в раздел История в веб-интерфейсе Kaspersky MLAD. Вы можете перейти по этой ссылке в раздел История в момент начала инцидента. В нижней части страницы раздела История нажмите на точку-индикатор, соответствующую времени начала инцидента. Откроется раздел Инциденты, в котором отобразятся только те инциденты, которые были зарегистрированы в период, представленный выбранной точкой-индикатором (период указан над таблицей инцидентов).

    Когда вы нашли запись об интересующем инциденте, нажмите на кнопку Пиктограмма в виде зеленой закрывающей угловой скобки. для просмотра подробной информации об инциденте.

  2. Просмотр информации о похожих инцидентах

    При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа инцидентов. Если в этом столбце для выбранного инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие.

    Для просмотра всех инцидентов группы выберите вкладку Группы и нажмите на кнопку Пиктограмма в виде зеленой закрывающей угловой скобки. рядом с нужной группой. В таблице отобразится информация об инцидентах, отнесенных к выбранной группе, а также экспертное заключение, если оно было добавлено. Ознакомьтесь с экспертными заключениями для отдельных инцидентов и для группы.

  3. Исследование поведения объекта мониторинга в момент обнаружения инцидента

    Исследуйте поведение объекта мониторинга в момент обнаружения инцидента.

  4. Анализ инцидента

    Проведите анализ инцидента, учитывая особенности регистрации инцидента в зависимости от типа источника, который его зарегистрировал:

    • Forecaster. Предиктивный элемент ML-модели регистрирует инциденты при существенном расхождении между наблюдаемыми (фактическими) значениями тегов и прогнозируемыми значениями тегов. Основываясь на информации, полученной при просмотре автоматически сформированного пресета Теги инцидента #<идентификатор инцидента>, а также используя экспертное знание об объекте мониторинга, сформулируйте гипотезу о том, какие теги могли вызвать возникновение инцидента, и изучите их поведение, выбрав соответствующий пресет. Проанализируйте график артефакта элемента ML-модели, переместитесь назад по времени от момента достижения порога ошибки прогноза и изучите поведение тегов в момент начала роста значений ошибки прогноза.
    • Rule Detector. Для каждого инцидента, зарегистрированного элементом ML-модели на основе диагностического правила, автоматически формируется пресет Теги инцидента #<идентификатор инцидента>, в составе которого присутствует значение, полученное в результате работы диагностического правила и вызвавшее регистрацию инцидента.
    • Elliptic Envelope. Эллиптический конверт ML-модели регистрирует инциденты при выявлении состояний, удаление которых от центра области концентрации нормальных состояний сравнялось или превысило установленный порог. При регистрации инцидента формируется пресет Теги инцидента #<идентификатор инцидента>, в состав которого включаются теги, при исключении которых из состава ML-модели наблюдается наименьшее отклонение наблюдений от нормального состояния. Проанализируйте график артефакта элемента ML-модели, переместитесь назад по времени от момента достижения порога и изучите поведение тегов в момент начала роста значений отклонения.
    • Limit Detector. Для каждого инцидента, зарегистрированного детектором Limit Detector, автоматически формируется пресет Теги инцидента #<идентификатор инцидента>, в состав которого включается единственный тег-причина возникновения инцидента.
    • Stream Processor. Служба Stream Processor регистрирует инциденты до передачи данных телеметрии на обработку в ML-модель. Инциденты регистрируются в случае обнаружения потери данных или наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно.
  5. Добавление статуса, причины, экспертного заключения и замечания к инциденту или его группе

    Для каждого инцидента добавьте экспертное заключение или замечание, в которых вы можете указать, является ли инцидент аномалией. Экспертное заключение и замечание для инцидента отображаются только при просмотре определенного инцидента. Если требуется, вы можете указать статус и причину инцидента. Причина инцидента отображается в таблице инцидентов и при просмотре определенного инцидента. Вы также можете добавить или изменить статус и экспертное заключение для группы инцидентов.

    Если вы заранее знаете экспертное заключение, причину и/или статус по инцидентам, зарегистрированным конкретным элементом ML-модели, вы можете указать эту информацию в параметрах соответствующего элемента. Заданные экспертное заключение, причина и/или статус будут автоматически присвоены инцидентам в момент их регистрации этим элементом.

В начало