[Topic 247959]

О Kaspersky Machine Learning for Anomaly Detection

Система раннего обнаружения аномалий Kaspersky Machine Learning for Anomaly Detection (далее также Kaspersky MLAD, программа) – программное обеспечение, предназначенное для предотвращения сбоев, аварий или деградации промышленных установок, технологических процессов, сложных киберфизических систем. Анализируя данные телеметрии с помощью методов машинного обучения (искусственного интеллекта), Kaspersky MLAD выявляет признаки аномальной ситуации до того, как она будет обнаружена традиционными системами мониторинга.

Kaspersky MLAD обнаруживает аномалии в технологических процессах независимо от вызвавших их причин. Аномалии могут быть вызваны следующими причинами:

• Физические (например, поломка оборудования или выход из строя датчиков).
• Человеческий фактор (например, намеренные или ненамеренные, неверные действия оператора, настройка оборудования, смена режимов или установок или переход на ручное управление).
• Кибератаки.

Основные возможности Kaspersky MLAD:

• В реальном времени выявляет аномальное поведение объекта мониторинга.
• Определяет сигналы, в которых обнаружены наибольшие отклонения от нормального поведения.
• Позволяет анализировать инциденты с учетом информации о похожих инцидентах.
• Предоставляет возможность экспертной классификации и аннотации инцидентов.
• Предоставляет возможность уведомления об обнаружении инцидентов через веб-интерфейс, сообщения электронной почты, через отправку сообщений в Kaspersky Industrial CyberSecurity for Networks, а также через индустриальные протоколы передачи данных.
• Позволяет использовать модели на основе как машинного обучения, так и произвольных правил для обнаружения аномалий.
• Отображает в виде графиков исторические данные и данные, поступающие в режиме реального времени, в соответствии с заданными наборами тегов, а также результаты обработки этих данных ML-моделями.
• Обеспечивает работу с журналом обнаруженных инцидентов.
• Позволяет создавать ML-модели и добавлять в нее предиктивные элементы, элементы на основе эллиптического конверта и элементы на основе диагностических правил.
• Предоставляет возможность обучения предиктивных элементов и элементов на основе эллиптических конвертов.
• Позволяет создавать шаблоны на основе добавленных ML-моделей и добавлять ML-модели в Kaspersky MLAD по созданным шаблонам.
• Позволяет определить способ организации данных объекта мониторинга в виде дерева активов.

• Предоставляет возможность получения данных телеметрии по протоколам HTTP, OPC UA, MQTT, AMQP, CEF и WebSocket, а также по специализированному протоколу поверх протокола HTTPS от программы Kaspersky Industrial CyberSecurity for Networks.
• Определяет и обрабатывает прекращения и/или прерывания потока поступающих данных, а также восстанавливает пропущенные наблюдения.
• На основе данных о событиях, полученных из внешних систем, распознает закономерности в виде повторяющихся событий и паттернов, а также выявляет новые события и паттерны в потоке событий.
• Отображает выявленные события в виде графа и таблицы, а также выявленные паттерны в виде послойной иерархии вложенных элементов.
• Отправляет оповещения об обнаружении определенных событий, паттернов или значений параметров событий, поступающих в процессор событий в потоке данных от объекта мониторинга.

[Topic 247960]

Комплект поставки

Kaspersky MLAD поставляется в виде файла архива Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, который содержит следующие файлы:

• установочный скрипт и все необходимые для установки системы файлы;
• скрипты обновления, проверки и резервного копирования программы;
• файлы с текстом Лицензионного соглашения на русском и английском языках;
• файлы с информацией о программе (Release Notes) на русском и английском языках;
• файл с информацией о стороннем коде legal_notices.txt на английском языке.

После того как вы распаковали архив, в директории legal будут расположены текстовые файлы license_ru.txt и license_en.txt, с помощью которых вы можете ознакомиться с Лицензионным соглашением. В Лицензионном соглашении указано, на каких условиях вы можете пользоваться программой.

[Topic 247961]

Аппаратные и программные требования

Аппаратные требования для каждого защищаемого объекта нужно уточнять с учетом применяемой модели, количества обрабатываемых тегов и событий, средней скорости получения данных (количества наблюдений в секунду) и объема хранимых данных. Чем больше объем обрабатываемых данных и сложность используемой ML-модели, тем больше аппаратных ресурсов потребуется для установки серверной части Kaspersky MLAD.

Требования к серверу Kaspersky MLAD

Для функционирования программы сервер Kaspersky MLAD должен удовлетворять следующим минимальным требованиям.

Список поддерживаемых процессоров:

• процессор Intel Xeon E3 v3, v4, v5, v6;
• процессор Intel Xeon E5 v3, v4;
• процессор Intel Xeon E7 v3, v4;
• масштабируемые процессоры Intel Xeon;
• масштабируемые процессоры Intel Xeon 2-го и 3-го поколения;
• процессор Intel Xeon E;
• процессор Intel Xeon W;
• процессор Intel Xeon D;
• процессор Intel Core i5, i7 4-го поколения и выше;
• процессор Intel Core i9;
• процессор Intel Core M.

Минимальные аппаратные требования:

• 8 ядер;
• 32 ГБ оперативной памяти;
• 200 ГБ свободного пространства на жестком диске (рекомендуется использовать SSD-диск).

  Если в Kaspersky MLAD будет поступать большой поток данных, требуется увеличить объем свободного пространства на жестком диске.

Вы можете установить Kaspersky MLAD на сервер с другим 64-битным процессором архитектуры x86 2013 года выпуска и позже. Процессор должен соответствовать вышеперечисленным минимальным аппаратным требованиям и поддерживать следующие расширения, необходимые для библиотеки TensorFlow 2.15.1:

• Advanced Vector Extensions (avx);
• Advanced Vector Extensions 2 (avx2).

Поддерживаемые операционные системы:

• Ubuntu 22.04 LTS и выше.

До развертывания Kaspersky MLAD должно быть установлено следующее программное обеспечение:

• docker 24.0.9 и выше;
• docker compose 2.12.2 и выше.

Устанавливать программное обеспечение на сервер Kaspersky MLAD требуется с официального Docker-репозитория.

Для обновления и резервного копирования программы должна быть установлена утилита jq. Вы можете установить утилиту jq с помощью пакетного менеджера apt.

Требования к компьютеру пользователя

Для работы с веб-интерфейсом Kaspersky MLAD компьютер пользователя должен удовлетворять следующим минимальным требованиям:

• процессор Intel Core i5;
• 8 ГБ оперативной памяти;
• 64-битная операционная система;
• установленный браузер Google Chrome версии 107 и выше;
• минимальное разрешение экрана монитора для правильного отображения веб-интерфейса – 1600х900.

[Topic 247962]

Рекомендации по обеспечению безопасной работы

Для обеспечения безопасной работы Kaspersky MLAD на предприятии рекомендуется ограничить и контролировать доступ к оборудованию, на котором работает программа.

Физическая безопасность оборудования

При внедрении Kaspersky MLAD рекомендуется принять следующие меры по обеспечению безопасной работы:

• Ограничить доступ в помещение, в котором расположен сервер с установленной программой Kaspersky MLAD, а также к сетевому оборудованию выделенной сети. Доступ в помещение должен предоставляться только доверенными лицами, например персоналу, обладающему полномочиями по установке и настройке программы.
• Обеспечить контроль физического доступа к оборудованию, на котором работает программа, с помощью технических средств или службы охраны.
• Проводить мониторинг доступа в контролируемые помещения с помощью средств охранной сигнализации.
• Осуществлять видеонаблюдение в контролируемых помещениях.

Информационная безопасность

Параметры ML-модели напрямую влияют на обнаружение аномалий, и поэтому изменять их могут только системные администраторы и пользователи с правами из группы прав Управление ML-моделями. История изменений доступна только в журналах программы, которые хранятся ограниченное время.

При использовании веб-интерфейса рекомендуется принять следующие меры по обеспечению информационной безопасности интранет-системы:

• Обеспечить пользователям доступ к программе только через веб-интерфейс.
• Установить сертификаты на компьютеры пользователей для авторизации сервера Kaspersky MLAD c браузером. Для использования доверенного сертификата вам нужно обратиться к квалифицированному техническому специалисту Заказчика, сотруднику АО "Лаборатория Касперского" или сертифицированному интегратору.
• Обеспечить защиту трафика внутри интранет-системы.
• Обеспечить защиту подключений к внешним сетям.
• Использовать защищенное TLS-соединение для передачи данных.
• Изменить имя и пароль первого пользователя программы с ролью системного администратора при установке программы.
• Изменять пароль учетной записи в соответствии со сроком его действия. Срок действия пароля задается при настройке параметров безопасности программы. По умолчанию срок действия пароля составляет 180 дней.
• Для подключений через веб-интерфейс использовать пароли, которые соответствуют следующим требованиям:
  • Не совпадают с предыдущими паролями учетной записи. Количество ранее использованных паролей, с которыми новый пароль не должен совпадать, задается при настройке параметров безопасности программы. По умолчанию пароль не должен совпадать с пятью предыдущими паролями.
  • Содержат не менее восьми символов.
  • Содержат одну или несколько прописных букв латинского алфавита.
  • Содержат одну или несколько строчных букв латинского алфавита.
  • Содержат одну или несколько цифр.
  • Содержат один или несколько следующих специальных символов: _ ! @ # $ % ^ & *.
• Обеспечивать конфиденциальность и уникальность паролей. При угрозе компрометации пароля изменить пароль.
• Установить ограничение времени жизни веб-сессии пользователя.
• После окончания работы в браузере принудительно завершать сессию подключения к программе с помощью пункта Выход в веб-интерфейсе.
• Периодически выполнять установку обновлений для операционной системы на сервере, на котором развернут Kaspersky MLAD.
• Использовать разграничение прав доступа пользователей к функциям программы.

Безопасность данных

В процессе работы с Kaspersky MLAD рекомендуется принять следующие меры по обеспечению безопасности данных:

• Выполнить настройку операционной системы и обеспечить доступ к файлам сервера, на котором установлен Kaspersky MLAD, согласно Рекомендациям по безопасной настройке операционных систем Linux, предоставляемых Федеральной службой по техническому и экспортному контролю (ФСТЭК) России.
• Выполнять периодическое резервное копирование данных сервера с установленной программой Kaspersky MLAD согласно внутреннему регламенту компании.
• Выполнять периодический контроль работоспособности интерфейса и служб программы. Особое внимание нужно уделять службе уведомлений и системе ведения журналов.
• Выполнять проверку каналов связи на исправность и безопасность.
• Выполнять периодический контроль работоспособности сервера:
  • контроль дисков по SMART;
  • наличие достаточного свободного места и памяти;
  • загруженность оперативной памяти.
• Контролировать протоколы сервера на отсутствие проблем, используя систему мониторинга.
• Хранить чувствительные данные в надежном хранилище.

[Topic 247974]

Устранение уязвимостей и установка критических обновлений

"Лаборатория Касперского" может выпускать обновления программы, направленные на устранение уязвимостей и недостатков безопасности (критические обновления). Срочные пакеты обновлений поставляются и устанавливаются в рамках действующего Договора об оказании технической поддержки. Уведомления о выпуске критических обновлений рассылаются по адресам электронной почты, указанным в действующем Договоре об оказании технической поддержки.

Рекомендуется, чтобы сотрудник, ответственный за эксплуатацию программы, также периодически (не реже одного раза в три месяца) проверял отсутствие обнаруженных уязвимостей в программе, используя веб-сайт "Лаборатории Касперского".

Вы можете сообщить об обнаруженных недостатках безопасности или уязвимостях программы по адресу электронной почты vulnerability@kaspersky.com, зашифровав письмо с помощью PGP-ключа. В письме предоставьте следующую информацию:

• Контактную информацию.
• Название продукта, его версию и тип операционной системы вашего устройства, на котором найдена уязвимость.
• Подробное описание уязвимости.
• Планируете ли вы распространять информацию об уязвимости третьей стороне.

  Не публикуйте информацию об уязвимости, пока она не исправлена специалистами "Лаборатории Касперского".

[Topic 254374]

Разделение доступа к функциям программы

В Kaspersky MLAD вы можете разграничить доступ пользователей к функциям программы в зависимости от задач пользователей, используя роли. Роль – это набор прав доступа к функциям программы, который вы можете назначить пользователю.

В зависимости от назначенной роли пользователям могут быть доступны следующие функции Kaspersky MLAD:

Доступные функции программы

Всем пользователям программы доступны следующие права по умолчанию:

• Просмотр сводных данных в разделе Информационная панель;
• Просмотр первичных и рабочих данных по тегам в разделах История и Мониторинг;
• Просмотр значений технологических параметров, полученных от датчиков объекта мониторинга в один и тот же момент времени, в разделе Временной срез;
• Работа с событиями и паттернами:
  • Настройка параметров конфигурации внимания и отображения параметров событий;
  • Создание и удаление мониторов;
  • Просмотр истории событий и истории паттернов.
• Работа с инцидентами и группами инцидентов:
  • Просмотр инцидентов и групп инцидентов;
  • Добавление статуса, причины, экспертного заключения и замечания к инциденту или группе инцидентов;
  • Экспорт инцидентов в файл.
• Следующие действия в разделе Модели:
  • Создание, изменение и удаление разметок;
  • Запуск и остановка инференса ML-модели;
  • Просмотр графа потока данных ML-модели.
• Управление пресетами:
  • Просмотр пресетов;
  • Создание, изменение, удаление пресетов;
  • Загрузка конфигурации пресетов из файла;
  • Сохранение конфигурации пресетов в файл.
• Изменение собственного пароля.

Вы также можете создать роль с правом Права на все действия. Пользователям, которым будет присвоена эта роль, будут доступны функции системного администратора.

Вы можете просмотреть доступные роли пользователей и их права доступа к функциям программы в разделе Роли в меню администратора.

Вы можете просмотреть права доступа к функциям программы для определенных пользователей в разделе Пользователи в меню администратора.

[Topic 247964]

Что нового

В Kaspersky Machine Learning for Anomaly Detection 5.0 появились следующие возможности и доработки:

• Конструктор моделей – добавлена поддержка элементов ML-моделей на основе эллиптического конверта. Добавлена функциональность, позволяющая регистрировать инциденты при наблюдении аномального поведения в течение некоторого интервала времени. Добавлена функциональность, позволяющая копировать элементы ML-моделей и разметки. В дереве активов добавлено отображение статусов и состояний ML-моделей и их элементов. Добавлена функциональность, позволяющая выполнять поиск и фильтрацию по элементам дерева активов.
• Пресеты – добавлена функциональность, позволяющая объединять теги пресета в графические области и управлять параметрами отображения графиков тегов в графической области.
• Разделы Мониторинг и История – добавлена поддержка отображения графиков нескольких тегов в рамках одной графической области. Управление графическими областями и тегов в их составе осуществляется в разделе Пресеты.
• Лицензирование – добавлена функциональность, позволяющая добавлять лицензионные ключи для разных типов лицензий в зависимости от необходимого набора функций.
• Скрипты установки, обновления и резервного копирования программы – доработаны алгоритмы скриптов установки и обновления программы в соответствии с требованиями информационной безопасности. Добавлена функциональность, позволяющая переключаться между режимами управления состоянием Kaspersky MLAD с помощью скрипта установки. Функциональность резервного копирования программы и отката программы к предыдущей установленной версии обеспечивается с помощью скрипта резервного копирования.
• Запуск и остановка программы – добавлена функциональность, позволяющая запускать и останавливать программу с помощью утилиты systemctl.
• Учетные записи пользователей – в веб-интерфейсе добавлена возможность изменять адреса электронной почты для учетных записей пользователей.
• Уведомления об инцидентах – в веб-интерфейсе добавлена возможность указать дополнительные адреса электронной почты для отправки уведомлений об инцидентах. Добавлена функциональность, позволяющая отправлять уведомления при регистрации определенных типов инцидентов: инцидентов, зарегистрированных определенными типами элементов ML-моделей или зарегистрированных детектором Limit Detector и/или службой Stream Processor. Добавлена функциональность, позволяющая исключить отправку уведомлений об инцидентах, зарегистрированных элементами неопубликованных ML-моделей.
• Служба Event Processor – расширена функциональность механизма внимания. Добавлена функциональность, позволяющая отслеживать обобщенные события и паттерны. Улучшено отображение мониторов.
• Служба Mail Notifier – добавлены новые параметры для настройки службы Mail Notifier.
• Коннекторы HTTP Connector и OPC UA Connector – добавлены новые параметры для настройки коннектора HTTP Connector и коннектора OPC UA Connector.
• Коннекторы MQTT Connector, AMQP Connector и CEF Connector – добавлена поддержка TLS-соединения по умолчанию, а также добавлена функциональность, позволяющая использовать рекомендуемые параметры TLS-соединения.
• Коннектор WebSocket Connector – добавлена функциональность, позволяющая использовать рекомендуемые параметры TLS-соединения.
• Push-сообщения – добавлена функциональность, позволяющая передавать сообщения между службами Kaspersky MLAD.

[Topic 247981]

Архитектура Kaspersky MLAD

Kaspersky MLAD устанавливается на сервере, который соответствует аппаратным и программным требованиям. Сервер Kaspersky MLAD осуществляет функции централизованного хранения информации о службах и коннекторах программы и предоставляет единый пользовательский веб-интерфейс для управлениями ими.

Доступ к отдельным службам и коннекторам программы не предусмотрен.

При установке Kaspersky MLAD все службы и коннекторы программы размещаются на одном сервере и взаимодействуют друг с другом через внутреннюю виртуальную сеть, изолированную от внешних систем.

Kaspersky MLAD включает в себя специально подготовленные ML-модели, а также следующие службы и коннекторы:

ML-модель

ML-модель – это модель, которая создается для конкретного объекта защиты на основе алгоритмов машинного обучения и/или диагностических правил с использованием данных телеметрии этого объекта. ML-модель обеспечивает обнаружение аномалий.

ML-модель может быть создана с помощью конструктора моделей или предоставлена в рамках Услуги построения модели и внедрения Kaspersky MLAD.

Службы Kaspersky MLAD

Службы Kaspersky MLAD – это набор основных служб программы, который поставляется на каждый объект мониторинга. Kaspersky MLAD включает в себя следующие службы:

• Anomaly Detector. Обнаруживает аномалии на основе обработки данных с помощью ML-модели.
• Event Processor. Выявляет паттерны и аномальные последовательности событий, используя методы машинного обучения на основе нейросемантической сети.
• Stream Processor. Обрабатывает данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени, и приводит их к равноинтервальной временной сетке.
• Trainer. Выполняет обучение ML-модели на основе данных телеметрии, полученных Kaspersky MLAD для конкретного объекта мониторинга.
• Similar Anomaly. Выявляет и группирует схожие инциденты.
• Message Broker. Выполняет обмен данными между службами Kaspersky MLAD.
• Time Series Database. Осуществляет хранение временных рядов наблюдаемых значений тегов, артефактов, связанных с тегами, и артефактов элементов ML-моделей.
• Keeper. Осуществляет маршрутизацию данных телеметрии, которые подлежат сохранению в базе данных.
• Database. Используется для хранения всех конфигурационных параметров работы Kaspersky MLAD.
• API Server. Обеспечивает работу внутренних интерфейсов Kaspersky MLAD.
• Web Server. Обеспечивает работу веб-интерфейса Kaspersky MLAD.
• Logger. Осуществляет хранение функциональных журналов работы Kaspersky MLAD.
• Mail Notifier. Выполняет рассылку по электронной почте уведомлений о регистрации инцидентов.
• Docker API Server. Обеспечивает взаимодействие с Docker.
• Migrations. Обновляет сведения о параметрах работы Kaspersky MLAD в базе данных Database.
• Push Server. Отправляет push-сообщения в Kaspersky MLAD.

Коннекторы

Коннекторы – это службы, которые обеспечивают обмен данными с внешними системами. Для каждого объекта защиты требуется выбрать один из следующих коннекторов:

• KICS Connector. Обеспечивает взаимодействие с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.
• OPC UA Connector. Обеспечивает получение тегов от систем АСУ ТП по протоколу, который описан спецификацией OPC Unified Architecture (Унифицированная архитектура OPC).
• CEF Connector. Обеспечивает получение событий от внешних источников (промышленного интернета вещей, сетевых устройств и приложений) и отправку обратно сообщений в формате CEF (Common Event Format), зарегистрированных мониторами анализа событий.
• MQTT Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).
• AMQP Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).
• WebSocket Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу WebSocket.
• HTTP Connector. Обеспечивает получение данных телеметрии от систем АСУ ТП в виде CSV-файлов через POST-запросы по протоколу HTTP или HTTPS.

На рисунке ниже представлена схема взаимодействия служб Kaspersky MLAD.

Схема взаимодействия служб Kaspersky MLAD

[Topic 247982]

Типовые схемы развертывания

Этот раздел содержит описание стандартных схем развертывания Kaspersky MLAD в сети объекта мониторинга, а также описание особенностей интеграции Kaspersky MLAD с другими программами.

Kaspersky MLAD поддерживает следующие варианты установки:

• Одиночная установка.
• Установка с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.
  

Одиночная установка Kaspersky MLAD

Вы можете установить только Kaspersky MLAD, если планируете использовать в качестве поставщика данных следующие коннекторы:

• OPC UA Connector;
• MQTT Connector;
• AMQP Connector;
• CEF Connector;
• WebSocket Connector;
• HTTP Connector.

На рисунках ниже представлены примеры схем одиночной установки Kaspersky MLAD с использованием перечисленных выше коннекторов. Вы можете использовать любые конфигурации коннекторов, которые подходят для вашего объекта мониторинга.

Одиночная установка Kaspersky MLAD с использованием коннекторов: OPC UA Connector, MQTT Connector, AMQP Connector, HTTP Connector, WebSocket Connector, CEF Connector

Одиночная установка Kaspersky MLAD с использованием коннекторов: MQTT Connector, AMQP Connector, HTTP Connector, WebSocket Connector, CEF Connector

Установка Kaspersky MLAD с Kaspersky Industrial CyberSecurity for Networks

Вы можете установить Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks, если планируете использовать в качестве поставщика данных Kaspersky Industrial CyberSecurity for Networks (см. рисунок ниже).

Kaspersky Machine Learning for Anomaly Detection совместим с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.

Установка Kaspersky MLAD с Kaspersky Industrial CyberSecurity for Networks

Если вы хотите использовать этот вариант установки, сначала требуется установить Kaspersky Industrial CyberSecurity for Networks и добавить коннектор типа Generic. Для добавленного коннектора требуется создать файл свертки и указать в нем параметры подключения Kaspersky Industrial CyberSecurity for Networks к Kaspersky MLAD. Полученный файл свертки вам нужно загрузить в Kaspersky MLAD при настройке коннектора KICS Connector. Подробную информацию о создании и добавлении коннектора вы можете получить в разделе Добавление коннектора в справке Kaspersky Industrial CyberSecurity for Networks.

Компьютеры, на которых установлены Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks, должны находиться в одной сети.

[Topic 247983]

Схема потока данных телеметрии и событий

В Kaspersky MLAD обмен данными с внешними системами обеспечивается за счет коннекторов. Для получения данных телеметрии (тегов) и/или событий от внешних систем требуется настроить коннекторы HTTP Connector, MQTT Connector, AMQP Connector, OPC UA Connector, KICS Connector, CEF Connector и WebSocket Connector.

Если в программе настроена передача событий и инцидентов в сторонние системы, программа отправляет зарегистрированные события и инциденты в сторонние системы по выбору системного администратора. Системный администратор программы самостоятельно выбирает сторонние системы и типы событий и инцидентов для передачи в сторонние системы. Обработка и сохранение полученных данных в сторонней системе выполняется в соответствии с ее функциональностью и назначением.

Данные телеметрии объекта мониторинга проходят первичную обработку в службе Stream Processor, которая приводит полученные теги к равноинтервальной временной сетке. При обнаружении нарушений потока данных телеметрии, а также наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно, служба Stream Processor регистрирует инциденты.

Служба Stream Processor передает данные, приведенные к РИВС, в ML-модель службы Anomaly Detector. Если при обработке полученных данных элементы ML-моделей обнаруживают отклонения от нормального поведения объекта мониторинга, то служба Anomaly Detector регистрирует инциденты. При обнаружении схожих инцидентов служба Similar Anomaly формирует группы инцидентов.

Вы можете просмотреть зарегистрированные инциденты и группы инцидентов в разделе Инциденты. Kaspersky MLAD также отправляет уведомления об инцидентах на заданные адреса электронной почты и/или во внешние системы с помощью коннекторов.

События, поступившие в Kaspersky MLAD, проходят обработку в службе Event Processor. В качестве событий процессор событий также может обрабатывать инциденты, зарегистрированные службой Anomaly Detector. Процессор событий выявляет в потоке событий закономерности в виде повторяющихся событий и паттернов, а также новые события и паттерны. При активации мониторов служба Event Processor также отправляет оповещения о выявлении событий, паттернов и значений параметров событий в соответствии с заданными критериями мониторинга во внешние системы с помощью коннектора CEF Connector. Вы также можете просмотреть информацию о событиях, паттернах и мониторах в разделе Процессор событий.

На рисунке ниже показан поток данных телеметрии и событий в Kaspersky MLAD.

Поток данных телеметрии и событий в Kaspersky MLAD

[Topic 247984]

Порты, используемые Kaspersky MLAD

В таблице ниже перечислены порты, которые должны быть открыты на серверах, на которых установлен Kaspersky MLAD.

[Topic 251713]

Установка и удаление программы

Этот раздел содержит пошаговые инструкции по установке и удалению Kaspersky MLAD.

[Topic 247986]

Установка программы

Этот раздел содержит пошаговое описание установки Kaspersky MLAD. При установке Kaspersky MLAD создает первого пользователя программы с ролью системного администратора.

Перед установкой необходимо убедиться в наличии требуемого объема свободного места на жестком диске, на котором будет установлена программа. Тома (volumes) службы Docker должны храниться на диске, на котором установлена программа. Если тома Docker хранятся на другом диске, необходимо их перенести, указав путь к месту хранения томов на жестком диске, на котором устанавливается программа, в конфигурационном файле Docker.

Для установки программы на сервере должна быть учетная запись пользователя с root-правами, от имени которого будет выполняться установка. Директория для установки Kaspersky MLAD должна быть пустой.

Установку Kaspersky MLAD выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Сервер Kaspersky MLAD и программное обеспечение, установленное на сервере, должны соответствовать аппаратным и программным требованиям.

Установка Kaspersky MLAD выполняется в соответствии с описанной процедурой установки программы. Установка и использование Kaspersky MLAD возможны только на одном сервере. Установка и использование разных служб и коннекторов на нескольких серверах невозможны.

Установка Kaspersky MLAD будет прервана, если целостность архива программы нарушена. Для получения корректного архива программы обратитесь к специалистам "Лаборатории Касперского".

Чтобы установить Kaspersky MLAD:

1. Распакуйте архив Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, входящий в состав комплекта поставки:

   tar xf Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz

   После распаковки архива появится директория mlad-release-5.0.0-<номер сборки>.

2. Перейдите в директорию mlad-release-5.0.0-<номер сборки>:

   cd mlad-release-5.0.0-<номер сборки>

3. Запустите скрипт установки setup.sh:

   sudo ./setup.sh

4. Следуйте указаниям мастера установки программы.

   Во время установки внимательно прочитайте Лицензионное соглашение. Согласие с условиями Лицензионного соглашения является обязательным условием для установки программы. Если вы не принимаете условия Лицензионного соглашения, установка программы будет прервана.

   С помощью мастера установки программы вы можете изменить имя и пароль первого пользователя программы с ролью системного администратора.

   По умолчанию программа устанавливается в директорию по умолчанию /opt/kaspersky/mlad. Во время установки вы можете указать другую директорию для установки Kaspersky MLAD.

Чтобы установить Kaspersky MLAD в неинтерактивном режиме:

1. Распакуйте архив Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, входящий в состав комплекта поставки:

   tar xf Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz

2. Перейдите в директорию mlad-release-5.0.0-<номер сборки>:

   cd mlad-release-5.0.0-<номер сборки>

3. Запустите скрипт установки setup.sh со следующими ключами:

   sudo ./setup.sh -q -e accept -f <полный путь к директории для установки программы>

   где:

   -q означает, что программа будет установлена в неинтерактивном режиме. При установке программы в неинтерактивном режиме Kaspersky MLAD создает первого пользователя программы с ролью системного администратора и задает ему имя пользователя и пароль по умолчанию. Для получения имени и пароля пользователя, используемых по умолчанию, обратитесь к квалифицированному техническому специалисту Заказчика, сотруднику "Лаборатории Касперского" или сертифицированному интегратору.

   -e accept означает, что вы принимаете условия Лицензионного соглашения. Согласие с условиями Лицензионного соглашения является обязательным условием для установки программы. Если вы не указываете ключ -e accept, установка программы будет прервана.

   Прочитать текст Лицензионного соглашения можно в текстовых файлах license_ru.txt и license_en.txt, которые расположены в директории legal.

   -f <полный путь к директории для установки программы> означает, что программа будет установлена в указанную директорию. Если вы не указывает ключ -f, программа будет установлена в директорию по умолчанию /opt/kaspersky/mlad.

Программа будет установлена на сервер. После установки программы запустите ее.

До добавления лицензионного ключа часть функциональности будет недоступна.

[Topic 247987]

Обновление программы

Обновление программы выполняется с помощью скрипта обновления upgrade.sh. При обновлении Kaspersky MLAD будут сохранены все данные, загруженные, полученные и обработанные предыдущей версией Kaspersky MLAD: конфигурации тегов, пресеты, ML-модели и параметры Kaspersky MLAD.

Если требуется, при обновлении программы вы можете создать резервную копию предыдущей версии.

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться обновление, должна обладать root-правами.

Перед началом обновления убедитесь, что на жестком диске имеется свободное место:

• Если обновление программы выполняется без выполнения резервного копирования, на жестком диске имеется свободное место в объеме, необходимом для установки Kaspersky MLAD.
• Если с обновлением программы одновременно выполняется резервное копирование и резервная копия сохраняется на том же диске, на этом диске имеется не менее 50% свободного места от общего объема жесткого диска.
• Если с обновлением программы одновременно выполняется резервное копирование и резервная копия сохраняется на другом диске, на диске для установки программы имеется свободное пространство в объеме, необходимом для установки Kaspersky MLAD, а на диске для хранения резервной копии имеется свободное пространство не менее объема занятого пространства на диске, на котором установлена программа.

Обновление Kaspersky MLAD возможно, начиная с версии программы 5.0.0-001.

Во время обновления программа будет выключена. Kaspersky MLAD также не будет принимать данные от источников данных и обрабатывать их.

Сервер Kaspersky MLAD и программное обеспечение, установленное на сервере, должны соответствовать аппаратным и программным требованиям.

Обновление Kaspersky MLAD выполняется для устранения недостатков безопасности и уязвимостей программы или при выпуске новых версий программы в рамках действующего Договора об оказании технической поддержки. Обновление программы выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Обновление Kaspersky MLAD будет прервано, если целостность архива программы нарушена. Для получения корректного архива программы обратитесь к специалистам "Лаборатории Касперского".

Чтобы обновить Kaspersky MLAD:

1. Распакуйте архив mlad-5.0.0-<номер новой сборки>.tar.xz, входящий в состав комплекта поставки:

   tar xf mlad-5.0.0-<номер новой сборки>.tar.xz

2. Перейдите в директорию с новой сборкой программы:

   cd mlad-release-5.0.0-<номер новой сборки>

3. Запустите скрипт обновления программы upgrade.sh одним из следующих способов:
   • Если требуется выполнить резервное копирование предыдущей версии и сохранить резервную копию в директории, в которой установлен Kaspersky MLAD, выполните команду:

     sudo ./upgrade.sh -f <полный путь к сборке программы, которую необходимо обновить>

     Резервная копия будет создана в директории с именем mlad_backup-<номер версии>-<номер сборки>. Директория будет создана внутри директории, в которой установлена программа.

   • Если требуется выполнить резервное копирование предыдущей версии и сохранить резервную копию в другой директории, выполните команду:

     sudo ./upgrade.sh -b <полный путь к директории для хранения резервной копии> -f <полный путь к сборке программы, которую необходимо обновить>

   • Если не требуется выполнять резервное копирование при обновлении программы, выполните команду:

     sudo ./upgrade.sh -b nobackup -f <полный путь к сборке программы, которую необходимо обновить>

   Вы можете запустить скрипт upgrade.sh с ключом -h, если требуется отобразить краткое описание скрипта в интерфейсе обновления Kaspersky MLAD:

   sudo ./upgrade.sh -h

4. Следуйте указаниям мастера обновления программы.

   Во время выполнения мастера обновления программы примите условия Лицензионного соглашения. Согласие с условиями Лицензионного соглашения является обязательным условием для обновления программы. Если вы не принимаете условия Лицензионного соглашения, обновление программы будет прервано.

   Прочитать текст Лицензионного соглашения можно в текстовых файлах license_ru.txt и license_en.txt, которые расположены в директории legal.

Чтобы обновить Kaspersky MLAD в неинтерактивном режиме:

1. Распакуйте архив mlad-5.0.0-<номер новой сборки>.tar.xz, входящий в состав комплекта поставки:

   tar xf mlad-5.0.0-<номер новой сборки>.tar.xz

2. Перейдите в директорию с новой сборкой программы:

   cd mlad-release-5.0.0-<номер новой сборки>

3. Запустите скрипт обновления одни из следующих способов:
   • Если требуется выполнить резервное копирование предыдущей версии и сохранить резервную копию в директории, в которой установлен Kaspersky MLAD, выполните команду:

     sudo ./upgrade.sh -q -e accept -f <полный путь к сборке программы, которую необходимо обновить>

     Резервная копия будет создана в директории с именем mlad_backup-<номер версии>-<номер сборки>. Директория будет создана внутри директории, в которой установлена программа.

   • Если требуется выполнить резервное копирование предыдущей версии и сохранить резервную копию в другой директории, выполните команду:

     sudo ./upgrade.sh -q -e accept -b <полный путь к директории для хранения резервной копии> -f <полный путь к сборке программы, которую необходимо обновить>

   • Если не требуется выполнять резервное копирование при обновлении программы, выполните команду:

     sudo ./upgrade.sh -q -e accept -b nobackup -f <полный путь к сборке программы, которую необходимо обновить>

   где:

   -q означает, что программа будет обновлена в неинтерактивном режиме.

   -e accept означает, что вы принимаете условия Лицензионного соглашения. Согласие с условиями Лицензионного соглашения является обязательным условием для обновления программы. Если вы не указываете ключ -e accept, обновление программы будет прервано.

   Прочитать текст Лицензионного соглашения можно в текстовых файлах license_ru.txt и license_en.txt, которые расположены в директории legal.

   -b <полный путь к директории для хранения резервной копии> означает, что Kaspersky MLAD выполнит резервное копирование текущей версии программы и сохранит резервную копию в указанную директории.

   -b nobackup означает, что Kaspersky MLAD выполнит обновление программы без резервного копирования текущей версии программы.

   -f <полный путь к сборке программы, которую необходимо обновить> означает, что будет обновлена программа, установленная в указанной директории.

Kaspersky MLAD будет обновлен до версии, указанной в номере сборки. Все файлы программы будут расположены в директории, в которой установлен Kaspersky MLAD (по умолчанию – /opt/kaspersky/mlad).

[Topic 291566]

Проверка целостности файлов архива Kaspersky MLAD

Вы можете проверить целостность файлов архива Kaspersky MLAD, чтобы убедиться в отсутствии изменений в его содержимом до начала установки или обновления программы.

Проверка целостности осуществляется с помощью скрипта integrity.sh. В процессе работы скрипт последовательно проверяет контрольные суммы файлов из архива программы.

Чтобы проверить целостность файлов архива Kaspersky MLAD:

1. Распакуйте архив Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, входящий в состав комплекта поставки:

   tar xf Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz

   После распаковки архива появится директория mlad-release-5.0.0-<номер сборки>.

2. Перейдите в директорию mlad-release-5.0.0-<номер сборки>:

   cd mlad-release-5.0.0-<номер сборки>

3. Запустите скрипт проверки целостности архива Kaspersky MLAD:

   ./integrity.sh

Результаты проверки целостности файлов архива программы на компьютере признаются успешными, если скрипт integrity.sh завершил работу с сообщением SUCCEEDED.

[Topic 247988]

Резервное копирование программы

Вы можете выполнять резервное копирование программы в соответствии с регламентом вашего предприятия. Если требуется, вы можете создать резервную копию Kaspersky MLAD при обновлении программы.

Резервное копирование программы выполняется с помощью скрипта резервного копирования backup.sh. При резервном копировании Kaspersky MLAD будут сохранены все данные, загруженные, полученные и обработанные Kaspersky MLAD: конфигурации тегов, пресеты, ML-модели и параметры Kaspersky MLAD.

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться резервное копирование, должна обладать root-правами.

Перед началом резервного копирования необходимо убедиться, что на жестком диске свободно не менее 50% объема диска при сохранении резервной копии на жесткий диск, на котором установлена программа. Если резервная копия сохраняется на другой диск, необходимо убедиться, что на этом диске имеется свободное место в объеме, необходимом для установки Kaspersky MLAD.

Резервное копирование Kaspersky MLAD возможно, начиная с версии программы 5.0.0-001.

Чтобы выполнить резервное копирование Kaspersky MLAD:

1. Перейдите в директорию, в которой установлен Kaspersky MLAD:

   cd mlad-release-5.0.0-<номер сборки>

2. Запустите скрипт резервного копирования backup.sh одним из следующих способов:
   • Если требуется сохранить резервную копию в директории, в которой установлена программа, выполните команду:

     sudo ./backup.sh -f <полный путь к директории, в которой установлена программа>

     Резервная копия будет создана в директории с именем mlad_backup-<номер версии>-<номер сборки>. Директория будет создана внутри директории, в которой установлена программа.

   • Если требуется сохранить резервную копию в другую директорию, выполните команду:

     sudo ./backup.sh -b <полный путь к директории для хранения резервной копии> -f <полный путь к директории, в которой установлена программа>

3. Следуйте указаниям мастера резервного копирования программы.

Чтобы выполнить резервное копирование Kaspersky MLAD в неинтерактивном режиме:

1. Перейдите в директорию, в которой установлен Kaspersky MLAD:

   cd mlad-release-5.0.0-<номер сборки>

2. Запустите скрипт резервного копирования backup.sh выполните одно из следующих действий:
   • Если требуется сохранить резервную копию в директории, в которой установлена программа, выполните команду:

     sudo ./backup.sh -q -f <полный путь к директории, в которой установлена программа>

     Резервная копия будет создана в директории с именем mlad_backup-<номер версии>-<номер сборки>. Директория будет создана внутри директории, в которой установлена программа.

   • Если требуется сохранить резервную копию в другую директорию, выполните команду:

     sudo ./backup.sh -q -b <полный путь к директории для хранения резервной копии> -f <полный путь к директории, в которой установлена программа>

   где:

   -q означает, что резервное копирование программы будет выполнено в неинтерактивном режиме.

   -b <полный путь к директории для хранения резервной копии> означает, что Kaspersky MLAD сохранит резервную копию в указанной директории.

   -f <полный путь к директории, в которой установлена программа> означает, что будет выполнено резервное копирование программы, установленной в указанной директории.

[Topic 247989]

Откат программы к предыдущей установленной версии

Откат программы к предыдущей установленной версии выполняется с помощью скрипта резервного копирования backup.sh.

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться откат программы к предыдущей версии, должна обладать root-правами.

Откат Kaspersky MLAD возможен, начиная с версии программы 5.0.0-001.

Во время выполнения отката к предыдущей версии программа будет выключена. Kaspersky MLAD также не будет принимать данные от источников данных и обрабатывать их.

В результате выполнения отката Kaspersky MLAD к предыдущей установленной версии будут потеряны все данные, полученные и обработанные Kaspersky MLAD с момента обновления программы до момента отката к предыдущей версии. Рекомендуется проверить наличие полной резервной копии всех данных Kaspersky MLAD.

Чтобы откатить Kaspersky MLAD к предыдущей установленной версии:

1. Перейдите в директорию, в которой находится резервная копия Kaspersky MLAD, до которой требуется выполнить откат программы:

   cd <директория с резервной копией программы>

2. Для отката программы к предыдущей версии запустите скрипт резервного копирования backup.sh с ключом -r:

   sudo ./backup.sh -r -f <полный путь к директории, в которой установлена программа>

3. Следуйте указаниям мастера резервного копирования программы.

Будет выполнен откат Kaspersky MLAD к предыдущей установленной версии.

[Topic 247990]

Сценарий восстановления Kaspersky MLAD из резервной копии

При необходимости, например, в случае неисправности сервера, на котором установлен Kaspersky MLAD, вы можете восстановить программу из резервной копии Kaspersky MLAD с помощью скрипта резервного копирования backup.sh.

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться восстановление программы, должна обладать root-правами.

Сценарий восстановления программы из ее резервной копии состоит из следующих этапов:

1. Перенос резервной копии программы на сервер Kaspersky MLAD

   Скопируйте директорию с резервной копией программы на сервер, на котором выполняется восстановления программы.

2. Восстановление Kaspersky MLAD

   Перейдите в директорию, в которой находится резервная копия Kaspersky MLAD, с помощью команды:

   cd <директория с резервной копией программы>

   Для восстановления программы из резервной копии запустите скрипт резервного копирования программы backup.sh с ключом -r:

   sudo ./backup.sh -r -f <полный путь к директории, в которой необходимо восстановить программу>

   Следуйте указаниям мастера резервного копирования программы.

[Topic 247991]

Подготовка к работе

Перед началом работы с Kaspersky MLAD требуется убедиться, что выполнены следующие действия:

1. Описания тегов принимаемой телеметрии и активов иерархической структуры подготовлены для импорта в Kaspersky MLAD в виде файла формата XLSX. Файл создается квалифицированным техническим специалистом Заказчика, специалистом "Лаборатории Касперского" или сертифицированным интегратором.
2. Подготовлен набор пресетов, необходимый для контроля поступления данных и оценки работоспособности Kaspersky MLAD. Описания пресетов подготовлены в виде файла в формате JSON. Файл создается квалифицированным техническим специалистом Заказчика, специалистом "Лаборатории Касперского" или сертифицированным интегратором.
3. Источник данных телеметрии включен и настроен на отправку данных в Kaspersky MLAD.
4. Сеть передачи данных подготовлена для доставки данных телеметрии от источника данных к серверу Kaspersky MLAD, сетевое оборудование надлежащим образом настроено, передача данных разрешена.
5. Подготовлены конфигурационные параметры и/или файлы того коннектора, который будет использован в Kaspersky MLAD для приема данных телеметрии или событий от внешних систем. Коннектор должен быть настроен и активирован после запуска Kaspersky MLAD.
6. Если ML-модели предоставляются в рамках Услуги построения модели и внедрения Kaspersky MLAD, ML-модели созданы и обучены на исторических данных телеметрии специалистом "Лаборатории Касперского" или сертифицированным интегратором. ML-модели подготовлены для импорта в Kaspersky MLAD в виде файлов формата TAR. Системному администратору Kaspersky MLAD переданы коды для активации ML-моделей. Коды для активации ML-моделей хранятся в надежном хранилище.

[Topic 247992]

Запуск и остановка Kaspersky MLAD

По умолчанию Kaspersky MLAD использует утилиту systemctl для запуска и остановки программы. В случае непредвиденного перезапуска сервера, на котором установлена программа, утилита systemctl автоматически запускает Kaspersky MLAD.

При необходимости вы можете использовать скрипты запуска и остановки программы. Для этого необходимо сменить режим управления состоянием программы.

Рекомендуется использовать утилиту systemctl для управления состоянием программы.

Запуск и остановка программы с помощью утилиты systemctl

Учетная запись пользователя, от имени которого будет выполняться запуск и установка, должна обладать root-правами.

Чтобы запустить программу с помощью утилиты systemctl,

В командной строке выполните команду:

sudo systemctl start mlad

Kaspersky MLAD будет запущен.

Чтобы остановить программу с помощью утилиты systemctl,

В командной строке выполните команду:

sudo systemctl stop mlad

Kaspersky MLAD будет остановлен.

При остановке программа запоминает статусы служб. При запуске программы работа служб будет восстановлена с прежними статусами.

При попытке запуска скриптов запуска и остановки в режиме управления с помощью утилиты systemctl отобразится сообщение об ошибке.

Запуск и остановка программы с помощью скриптов запуска и остановки

Для запуска и остановки программы с помощью скриптов запуска и остановки необходимо предварительно сменить режим управления состоянием программы.

Чтобы запустить программу:

1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – /opt/kaspersky/mlad).
2. В командной строке выполните команду:

   ./mlad-start.sh

Kaspersky MLAD будет запущен.

Чтобы остановить программу:

1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – /opt/kaspersky/mlad).
2. В командной строке выполните команду:

   ./mlad-stop.sh

Kaspersky MLAD будет остановлен.

При остановке программа запоминает статусы служб. При запуске программы работа служб будет восстановлена с прежними статусами.

При попытке использования утилиты systemctl в режиме управления с помощью скриптов запуска и остановки отобразится сообщение об ошибке.

[Topic 287614]

Переключение между режимами управления состоянием Kaspersky MLAD

Kaspersky MLAD поддерживает управление состоянием программы следующими способами:

• C помощью утилиты systemctl (по умолчанию). В случае непредвиденного перезапуска сервера, на котором установлена программа, утилита автоматически запускает Kaspersky MLAD.

  Рекомендуется использовать утилиту systemctl для управления состоянием программы.

• С помощью скриптов запуска и остановки.

При необходимости вы можете переключаться между режимами управления состоянием программы с помощью скрипта установки setup.sh.

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться переключение между режимами, должна обладать root-правами.

Чтобы изменить режим управления состоянием программы:

1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – /opt/kaspersky/mlad).
2. Для переключения между режимами управления состоянием программы запустите скрипт установки программы с ключом -s:

   sudo ./setup.sh -s

Kaspersky MLAD изменит режим управления состоянием программы. При попытке запуска скриптов запуска и остановки в режиме управления состоянием программы с помощью утилиты systemctl, а также при попытке использования утилиты systemctl в режиме управления состоянием программы с помощью скриптов запуска и остановки отобразится сообщение об ошибке.

[Topic 247993]

Обновление сертификатов Kaspersky MLAD

В Kaspersky MLAD используются следующие сертификаты:

• сертификаты для подключения к Kaspersky MLAD через веб-интерфейс;
• сертификаты для подключения коннекторов и служб.

Рекомендуется обновлять сертификаты в следующих случаях:

• текущие сертификаты скомпрометированы;
• закончился срок действия сертификатов;
• требуется выполнить обновление сертификатов в соответствии с требованиями информационной безопасности на предприятии.

Обновление сертификата для подключения к Kaspersky MLAD через веб-интерфейс

По умолчанию для подключения к веб-интерфейсу Kaspersky MLAD использует самоподписанный сертификат, который автоматически генерируется на этапе установки программы. При использовании самоподписанного сертификата для подключения к веб-интерфейсу Kaspersky MLAD браузер будет отображать предупреждение о том, что сертификат безопасности или устанавливаемое соединение не является доверенным.

Если требуется использовать доверенные сертификаты для подключения к веб-интерфейсу Kaspersky MLAD, вы можете заменить самоподписанный сертификат сертификатом, полученным от аккредитованного центра сертификации, или пользовательским сертификатом, соответствующим стандартам безопасности вашей организации.

Kaspersky MLAD использует директорию <директория с установленной программой>/ssl/nginx/ для хранения сертификатов, обеспечивающих подключение к веб-интерфейсу.

Обновление сертификата для подключения к Kaspersky MLAD через веб-интерфейс выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы обновить сертификаты для подключения к Kaspersky MLAD через веб-интерфейс:

1. Получите доверенный сертификат и ключ к этому сертификату для подключения к веб-интерфейсу Kaspersky MLAD.

   Сертификат требуется получить для IP-адреса и доменного имени сервера, на котором установлен Kaspersky MLAD.

2. Перейдите в директорию, в которой находятся доверенный сертификат и ключ к этому сертификату.
3. В командной строке выполните следующие команды:

   sudo chown root:root <новый сертификат.crt> <ключ к новому сертификату.key>
sudo chmod 640 <новый сертификат.crt> <ключ к новому сертификату.key>
sudo cp <новый сертификат.crt> <директория с установленной программой>/ssl/nginx/mlad_nginx.crt
sudo cp <ключ к новому сертификату.key> <директория с установленной программой>/ssl/nginx/mlad_nginx.key

   Новый сертификат и его ключ будут сохранены в директории <директория с установленной программой>/ssl/nginx/ в виде файлов mlad_nginx.crt и mlad_nginx.key соответственно.

4. Перейдите в директорию, в которой установлена программа, и перезапустите Kaspersky MLAD.

После перезапуска Kaspersky MLAD будет использовать новый сертификат для подключения к веб-интерфейсу.

Обновление сертификата для подключения коннекторов и служб

В Kaspersky MLAD вы можете использовать защищенное соединение для коннекторов OPC UA Connector, MQTT Connector, AMQP Connector, HTTP Connector и WebSocket Connector, а также службы Mail Notifier. Вы можете обновлять сертификаты для подключения этих коннекторов и службы Mail Notifier по защищенному соединению в разделе Системные параметры в меню администратора.

Для подключения коннекторов OPC UA Connector, MQTT Connector, AMQP Connector, HTTP Connector и WebSocket Connector, а также службы Mail Notifier по защищенному соединению рекомендуется использовать сертификаты, созданные по стандарту X.509, с длиной ключа к сертификату не менее 4 096 бит.

Сертификат для подключения коннектора KICS Connector содержится в файле свертки, который вы можете обновить в Kaspersky Industrial CyberSecurity for Networks. Обновленный файл свертки вы можете загрузить в Kaspersky MLAD при настройке коннектора KICS Connector. Подробную информацию о создании файла свертки вы можете получить в справке Kaspersky Industrial CyberSecurity for Networks.

Kaspersky Machine Learning for Anomaly Detection совместим с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.

[Topic 247994]

Первый запуск Kaspersky MLAD

В этом разделе приводится последовательность действий, которые требуется выполнить системному администратору при первом запуске Kaspersky MLAD, чтобы настроить работу с программой.

Сценарий первого запуска Kaspersky MLAD состоит из следующих этапов:

1. Запуск Kaspersky MLAD

   Запустите Kaspersky MLAD. При запуске программы будут автоматически запущены следующие службы, необходимые для работы Kaspersky MLAD:

   • API Server;
   • Web Server;
   • Message Broker;
   • Keeper;
   • Time Series Database;
   • Database;
   • Logger;
   • Docker API Server;
   • Migrations;
   • Push Server.
2. Подключение к веб-интерфейсу Kaspersky MLAD

   Откройте веб-интерфейс программы в поддерживаемом браузере и введите имя и пароль первого пользователя Kaspersky MLAD с ролью системного администратора, указанные при установке программы. Измените пароль для своей учетной записи. Для безопасного подключения к веб-интерфейсу Kaspersky MLAD рекомендуется установить доверенный сертификат.

   В разделе Системные параметры в меню администратора укажите имя объекта мониторинга.

3. Загрузка конфигурации тегов и активов иерархической структуры в Kaspersky MLAD

   Для дальнейшей работы загрузите конфигурацию тегов и активов в Kaspersky MLAD. Конфигурация тегов и активов описывается в файле в формате XLSX. Пример описания конфигурации тегов и активов см. в Приложении.

4. Настройка коннекторов

   Для работы с данными настройте коннекторы, используемые на вашем объекте мониторинга. Вы можете настроить следующие коннекторы:

   • KICS Connector.
   • OPC UA Connector.
   • CEF Connector.
   • HTTP Connector.
   • MQTT Connector.
   • AMQP Connector.
   • WebSocket Connector.
5. Настройка служб

   В разделе Системные параметры в меню администратора настройте службы, которые требуется использовать для вашего объекта мониторинга. В разделе Службы проверьте статусы служб и при необходимости запустите их. Например, для получения данных должны быть запущены необходимые коннекторы, а для правильного обнаружения аномалий должна быть запущена служба Anomaly Detector.

6. Подключение к источнику данных

   Когда коннекторы настроены, запустите коннекторы, используемые для вашего объекта мониторинга. Перейдите в раздел Информационная панель и убедитесь, что данные поступают в Kaspersky MLAD в онлайн-режиме.

7. Создание учетных записей для пользователей

   Создайте учетные записи для пользователей программы и назначьте им необходимые роли. Создайте уведомления об инцидентах для пользователей.

Kaspersky Machine Learning for Anomaly Detection подготовлен к работе, данные поступают и обрабатываются программой.

Пользователи могут приступать к работе с Kaspersky MLAD, используя веб-интерфейс.

[Topic 248049]

Удаление программы

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться удаление программы, должна обладать root-правами.

Удаление Kaspersky MLAD выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

В результате удаления Kaspersky MLAD будут потеряны все данные Kaspersky MLAD, полученные, загруженные и обработанные с момента установки программы. Рекомендуется проверить наличие полной резервной копии всех данных Kaspersky MLAD. Вы можете выполнить резервное копирование при обновлении программы или с помощью скрипта резервного копирования backup.sh.

Чтобы удалить Kaspersky MLAD:

1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – /opt/kaspersky/mlad):

   cd mlad-release-5.0.0-<номер сборки>

2. Запустите скрипт установки setup.sh с ключом -u:

   sudo ./setup.sh -u

3. Следуйте указаниям мастера удаления программы.

   При подтверждении удаления установленных сертификатов мастер удалит директорию, в которой хранятся резервные копии.

Программа Kaspersky MLAD будет удалена.

[Topic 248053]

Веб-интерфейс Kaspersky MLAD

Работа с Kaspersky MLAD осуществляется через веб-интерфейс. В этом разделе приведено описание основных элементов веб-интерфейса Kaspersky MLAD.

Главное окно веб-интерфейса программы содержит следующие элементы:

• основное меню в левой части окна веб-интерфейса программы;
• рабочую область в центральной части окна веб-интерфейса программы.

Разделы основного меню доступны пользователям с правами доступа к соответствующим функциям программы. Доступ к функциям программы определяется списком прав, заданных для роли пользователя.

Системным администраторам доступно меню, предоставляющее возможность управлять лицензионными ключами, настраивать параметры программы, управлять ролями и учетными записями пользователей, настраивать отправку уведомлений об инцидентах, управлять активами и тегами.

В нижней части основного меню и меню администратора доступно меню пользователя, предоставляющее возможность выбирать язык веб-интерфейса, изменять пароль своей учетной записи, выходить из учетной записи, переходить на страницу системы ведения журналов для просмотра журналов программы, а также переходить между меню. Переход между основным меню и меню администратора осуществляется нажатием на одну из следующих кнопок:

•  – для перехода в меню администратора.
•  – для перехода в основное меню.

При необходимости вы можете свернуть или развернуть меню нажатием на  или  соответственно в верхнем левом углу страницы.

Основное меню

В таблице ниже описаны разделы основного меню Kaspersky MLAD.

Разделы основного меню

Меню администратора

В таблице ниже описаны разделы меню администратора Kaspersky MLAD.

Разделы меню администратора

Меню пользователя

В таблице ниже описаны элементы меню пользователя Kaspersky MLAD.

Элементы меню пользователя

[Topic 248050]

Подключение к Kaspersky MLAD и завершение пользовательской сессии

Для подключения к веб-интерфейсу Kaspersky MLAD нужно использовать поддерживаемый браузер.

Если авторизованный пользователь не использует программу дольше, чем указано в параметре Период неактивности пользователя (мин), то Kaspersky MLAD автоматически завершает сессию подключения для этого пользователя. Для продолжения работы в программе потребуется повторная авторизация пользователя. Пользовательская сессия считается активной в следующих случаях:

• Пользователь взаимодействует с элементами интерфейса программы (например, нажимает на кнопки, переходит в разделы меню программы).
• Пользователь вводит значения параметров с помощью клавиатуры.

При выполнении любого из вышеперечисленных действий продлевает сессию пользователя на время, заданное в параметре Период неактивности пользователя (мин).

Пользователь может досрочно завершить свою пользовательскую сессию, выйдя из своей учетной записи.

При необходимости системный администратор может отозвать токены аутентификации для учетной записи пользователя. При отзыве токенов для пользователя будет завершена сессия работы в программе одновременно на всех устройствах, на которых он был авторизован.

Веб-адрес, имя пользователя и пароль для входа в программу требуется запросить у системного администратора Kaspersky MLAD.

[Topic 248051]

Подключение к веб-интерфейсу

Чтобы подключиться к Kaspersky MLAD через браузер:

1. На компьютере откройте поддерживаемый браузер.
2. В адресной строке браузера введите веб-адрес сервера Kaspersky MLAD, полученный от системного администратора Kaspersky MLAD.
3. На открывшейся странице ввода учетных данных введите адрес электронной почты в качестве имени пользователя и пароль.

   При первом подключении к веб-интерфейсу в качестве системного администратора используйте указанные при установке программы имя и пароль первого пользователя с ролью системного администратора.

4. Нажмите на кнопку Войти или на клавишу ENTER.

В окне браузера отобразится раздел Информационная панель.

При первом подключении пользователя к Kaspersky MLAD в браузере откроется окно изменения пароля. Если пропуск смены пароля разрешен в параметрах безопасности, вы можете пропустить изменение пароля нажатием на кнопку Пропустить и изменить его позже. При истечении срока действия пароля, заданного при настройке параметров безопасности, в браузере также откроется окно изменения пароля.

Если вы закрыли окно браузера без завершения сессии подключения, сессия останется действующей до истечения времени, заданного администратором в параметре Период неактивности пользователя (мин) при настройке параметров безопасности. В течение этого времени программа предоставляет доступ к веб-интерфейсу Kaspersky MLAD без запроса учетных данных пользователя, если для подключения используются те же компьютер, браузер и учетная запись операционной системы. В случае неактивного использования программы дольше, чем указано в параметре Период неактивности пользователя (мин), Kaspersky MLAD завершает пользовательскую сессию.

В случае многократной неудачной авторизации Kaspersky MLAD заблокирует вашу учетную запись при достижении числа неудачных попыток авторизации на определенный период. Количество неудачных попыток авторизации и период блокировки учетной записи задаются при настройке параметров безопасности Kaspersky MLAD.

Страница ввода учетных данных Kaspersky MLAD

[Topic 248052]

Завершение сессии подключения к Kaspersky MLAD

После окончания работы с Kaspersky MLAD в браузере требуется завершить сессию подключения к программе.

Чтобы завершить сессию подключения к программе,

в окне браузера в нижнем левом углу страницы веб-интерфейса Kaspersky MLAD нажмите на кнопку  и выберите пункт Выход из Kaspersky MLAD.

После завершения сессии подключения к программе в окне браузера отобразится страница ввода учетных данных.

[Topic 248062]

Изменение пароля учетной записи

Рекомендуется изменять пароль в следующих случаях:

• выполнено первое подключение к Kaspersky MLAD после создания учетной записи в программе;
• текущий пароль скомпрометирован;
• истекает срок действия пароля в соответствии с требованиями информационной безопасности на предприятии.

Чтобы изменить пароль своей учетной записи:

1. В нижнем левом углу страницы веб-интерфейса Kaspersky MLAD нажмите на кнопку и выберите пункт Изменить пароль.

   В браузере откроется окно Изменение пароля.

2. В поле Текущий пароль введите ваш текущий пароль.
3. В полях Новый пароль и Подтверждение пароля введите новый пароль.

   Новый пароль должен удовлетворять следующим требованиям:

   • Не совпадает с предыдущими паролями. Количество ранее использованных паролей, с которыми новый пароль не должен совпадать, задается при настройке параметров безопасности.
   • Содержит минимальное количество символов, заданное при настройке параметров безопасности.
   • Содержит буквы латинского алфавита, цифры и/или специальные символы в соответствии с политикой паролей, заданной при настройке параметров безопасности.
4. Нажмите на кнопку Изменить.

[Topic 248061]

Выбор языка локализации веб-интерфейса Kaspersky MLAD

В Kaspersky MLAD доступны английский и русский языки для веб-интерфейса программы.

Чтобы изменить язык локализации веб-интерфейса программы:

1. В левом нижнем углу страницы веб-интерфейса Kaspersky MLAD нажмите на кнопку Язык.
2. Выберите нужный язык локализации: русский или английский.

[Topic 248054]

Лицензирование программы

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием Kaspersky MLAD.

[Topic 248055]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать программу.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с программой.

Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:

• Во время установки или обновления Kaspersky MLAD.
• Прочитав документ license_ru.txt. Этот документ включен в комплект поставки программы.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки или обновления программы. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку или обновление программы и не должны использовать программу.

[Topic 248056]

О лицензии

Лицензия – это ограниченное по времени право на использование программы, предоставляемое вам на основании Лицензионного соглашения.

Список доступных функций и срок использования программы зависят от лицензии, по которой используется программа.

Предусмотрены следующие типы лицензий:

• Базовая – бесплатная лицензия.

  Этот тип лицензии не ограничен по времени. Вы можете использовать базовые функции программы до добавления лицензионного ключа или после истечения срока действия коммерческой лицензии.

• Пробная – бесплатная лицензия, предназначенная для ознакомления с программой.

  По истечении срока действия пробной лицензии программа продолжает работу, но становятся недоступными следующие функции программы:

  • Обновление программы.
  • Выбор элемента ML-модели.
  • Работа с разметками, шаблонами ML-моделей и ML-моделями.
  • Работа с событиями и паттернами.
  • Работа с инцидентами и группами инцидентов.
  • Управление статусами служб Anomaly Detector, Trainer, Similar Anomaly, Event Processor и Stream Processor.

  Чтобы продолжить использование программы, вам нужно приобрести коммерческую лицензию.

  Пробная лицензия имеет небольшой срок действия. Вы можете использовать программу по пробной лицензии только в течение одного срока пробного использования.

  Если после истечения срока действия пробной лицензии вы добавили лицензионный ключ для действующей коммерческой лицензией без конструктора моделей, то ML-модели и элементы ML-моделей, созданные вручную во время пробного использования программы, станут недоступны для изменения, копирования и удаления. При добавлении лицензионного ключа для действующей коммерческой лицензией с конструктором моделей вы можете продолжить управлять ML-моделями и элементами ML-моделей, созданными вручную во время действия пробной лицензии.

• Коммерческая – платная лицензия.

  Этот тип лицензии ограничен по времени.

  Для активации функциональности программы вам нужно добавить лицензионный ключ для действующей коммерческой лицензией. В Kaspersky MLAD предусмотрены следующие виды коммерческой лицензии:

  • Коммерческая лицензия без конструктора моделей.

    Если вам нужны все функции программы, кроме работы с ML-моделями, созданными вручную, копирования и удаления элементов ML-моделей, требуется приобрести коммерческую лицензию без конструктора моделей.

  • Коммерческая лицензия с конструктором моделей.

    Если вам нужны все функции программы, требуется приобрести коммерческую лицензию с конструктором моделей.

  По истечении срока действия коммерческой лицензии останутся доступными только базовые функции программы. Для продолжения работы Kaspersky MLAD вам нужно продлить срок действия коммерческой лицензии.

  Рекомендуется продлевать срок действия лицензии не позднее даты ее окончания, чтобы обеспечить непрерывную работу Kaspersky MLAD.

Услуги технической поддержки предоставляются при наличии действующего Договора об оказании технической поддержки. Объем предоставляемых услуг технической поддержки определяется действующим Договором об оказании технической поддержки.

[Topic 256669]

О лицензионном сертификате

Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа.

В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:

• лицензионный ключ или номер заказа;
• информация о пользователе, которому предоставляется лицензия;
• информация о программе, которую можно активировать по предоставляемой лицензии;
• ограничение на количество единиц лицензирования (например, тегов, по которым программа может получать данные телеметрии);
• дата начала срока действия лицензии;
• дата окончания срока действия лицензии или срок действия лицензии;
• тип лицензии.

[Topic 256626]

О лицензионном ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать программу в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".

Вы можете добавить лицензионный ключ в программу, применив файл лицензионного ключа. Лицензионный ключ отображается в интерфейсе программы в виде уникальной буквенно-цифровой последовательности, после того как вы добавили его в программу.

Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы с программой требуется добавить другой лицензионный ключ.

Лицензионный ключ может быть активным и резервным.

Активный лицензионный ключ – лицензионный ключ, используемый в текущий момент для работы программы. В качестве активного может быть добавлен лицензионный ключ для пробной или коммерческой лицензии. В программе не может быть больше одного активного лицензионного ключа.

Резервный лицензионный ключ – лицензионный ключ, подтверждающий право на использование программы, но не используемый в текущий момент. Резервный лицензионный ключ автоматически становится активным, когда заканчивается срок действия лицензии, связанной с текущим активным лицензионным ключом, или в случае удаления активного лицензионного ключа. Резервный лицензионный ключ может быть добавлен только при наличии активного лицензионного ключа.

Лицензионный ключ для пробной лицензии может быть добавлен только в качестве активного лицензионного ключа. Лицензионный ключ для пробной лицензии не может быть добавлен в качестве резервного лицензионного ключа.

[Topic 256628]

О файле лицензионного ключа

Файл лицензионного ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего программу.

Вы получаете файл лицензионного ключа после приобретения Kaspersky MLAD или после заказа пробной версии Kaspersky MLAD. Способ получения файла лицензионного ключа определяется дистрибьютором "Лаборатории Касперского", у которого вы приобрели программу (например, файл лицензионного ключа может быть отправлен по указанному вами адресу электронной почты).

Вы также можете добавить в программу лицензионный ключ, полученный при приобретении Kaspersky MLAD предыдущей версии. Лицензионный ключ можно добавить в программу до даты окончания его срока годности.

Чтобы активировать программу с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно утерян, вы можете его восстановить. Для восстановления файла ключа вам нужно обратиться к продавцу лицензии.

[Topic 283362]

Доступная функциональность Kaspersky MLAD в зависимости от лицензии

В таблице ниже приведен набор доступных функций Kaspersky MLAD в зависимости от выбранной лицензии.

[Topic 256641]

Добавление лицензионного ключа

Вы можете добавить лицензионный ключ в Kaspersky MLAD при подключении к программе через веб-интерфейс.

Добавлять лицензионный ключ может только системный администратор.

Чтобы добавить лицензионный ключ:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Лицензирование.
3. Нажмите на кнопку Добавить лицензионный ключ.

   Кнопка недоступна, если активный и резервный лицензионные ключи уже добавлены в программу. Если требуется, вы можете удалить лицензионный ключ.

   Справа отобразится панель Добавление лицензионного ключа.

4. Выберите файл лицензионного ключа в формате KEY.

   После выбора файла лицензионного ключа в панели Добавление лицензионного ключа отобразится информация о добавленном ключе.

   Если в программе отсутствовали лицензионные ключи и срок годности добавляемого лицензионного ключа уже начался, он автоматически будет добавлен в программу в качестве активного. Если срок годности добавляемого лицензионного ключа еще не начался и срок его годности не пересекается со сроком годности текущего активного лицензионного ключа, он будет добавлен в программу в качестве резервного.

5. Если в программу был ранее добавлен лицензионный ключ, при необходимости выполните одно из следующих действий:
   • Если требуется загрузить ключ в качестве активного и в программе уже есть активный лицензионный ключ, в блоке параметров Статус лицензионного ключа выберите Активный лицензионный ключ.

     Предыдущий активный лицензионный ключ будет заменен и удален из программы.

   • Если требуется загрузить ключ в качестве активного и срок его годности пересекается со сроком годности ранее загруженного резервного ключа, в блоке параметров Статус лицензионного ключа выберите Активный лицензионный ключ и в блоке параметров Применить резервный ключ выберите один из следующих вариантов применения резервного ключа:
     • По окончании срока годности активного ключа. Резервный лицензионный ключ станет активным после окончания срока годности активного лицензионного ключа.
     • В момент начала срока годности резервного ключа. Резервный ключ станет активным в момент начала срока его годности. Предыдущий активный лицензионный ключ будет удален из программы. Вы можете использовать удаленный лицензионный ключ на другом объекте мониторинга до окончания срока годности этого ключа.
   • Если требуется загрузить ключ в качестве резервного и срок его годности пересекается со сроком годности ранее загруженного активного ключа, в блоке параметров Статус лицензионного ключа выберите Резервный лицензионный ключ и в блоке параметров Применить резервный ключ выберите один из следующих вариантов применения резервного ключа:
     • По окончании срока годности активного ключа. Резервный лицензионный ключ станет активным после окончания срока годности текущего активного лицензионного ключа.
     • В момент начала срока годности резервного ключа. Резервный ключ станет активным в момент начала срока его годности. Предыдущий активный лицензионный ключ будет удален из программы.

       Невозможно добавить лицензионный ключ в качестве резервного, если срок его годности заканчивается раньше текущего активного лицензионного ключа.

6. Нажмите на кнопку Добавить.

Лицензионный ключ будет загружен в программу.

[Topic 256658]

Просмотр информации о добавленном лицензионном ключе

При подключении к Kaspersky MLAD вы можете просматривать информацию о добавленном лицензионном ключе. За 30 дней до окончания срока годности лицензионного ключа в веб-интерфейсе программы отображается уведомление с информацией о количестве дней, оставшемся до окончания срока годности ключа.

Чтобы просмотреть информацию о лицензионном ключе:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Лицензирование.

Для добавленного лицензионного ключа отображается следующая информация:

• Информация о количестве дней до окончания срока его годности.
• Название программы – информация о программе, которая будет активирована после добавления лицензионного ключа.
• Статус лицензионного ключа – информация о статусе ключа: активный или резервный.
• Номер лицензии – номер заказа.
• Ключ – уникальная буквенно-цифровая последовательность.
• Наименование компании – наименование компании, для которой была приобретена лицензия.
• Дата активации – дата первого добавления лицензионного ключа в программу.
• Ключ действителен до – дата окончания срока годности лицензионного ключа.
• Функциональность – информация о количестве доступных тегов, а также возможности использовать ML-модели и/или управлять ML-моделями и их элементами.

[Topic 256652]

Удаление лицензионного ключа

При подключении к программе через веб-интерфейс вы можете удалить добавленный лицензионный ключ из программы (например, если требуется заменить этот лицензионный ключ на другой). После удаления лицензионного ключа вам будут доступны только базовые функции программы.

После удаления лицензионного ключа вы продолжите получать данные по тегам с помощью коннекторов, а также сможете просмотреть данные по тегам в разделах Мониторинг и История. В свою очередь ML-модели перестанут обрабатывать данные по тегам, а также формировать инциденты и артефакты. Просмотр сформированных ранее артефактов станет недоступным. Вы также не сможете использовать созданные ранее ML-модели.

Недоступная функциональность снова активируется при следующем добавлении лицензионного ключа.

Перед удалением активного лицензионного ключа рекомендуется добавить в программу резервный лицензионный ключ. При удалении активного лицензионного ключа ранее добавленный резервный лицензионный ключ станет активным. Срок действия лицензии будет продлен в соответствии со сроком годности добавленного лицензионного ключа.

Если вы удалили лицензионный ключ до окончания срока его годности, вы можете повторно добавить его в программу с сохранением исходной даты окончания срока действия лицензии.

Удалять лицензионный ключ может только системный администратор.

Чтобы удалить лицензионный ключ:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Лицензирование.
3. В правом верхнем углу карточки нужного лицензионного ключа нажмите на кнопку .

   Откроется окно с запросом подтверждения.

4. Подтвердите удаление лицензионного ключа.

Лицензионный ключ будет удален из программы.

[Topic 248057]

Обработка и хранение данных в Kaspersky MLAD

Этот раздел содержит информацию о предоставлении данных и о директориях для хранения данных.

[Topic 248058]

О предоставлении данных

Программа не передает пользовательские данные в "Лабораторию Касперского". Пользовательские данные обрабатываются на компьютерах, на которых установлена программа.

Данные, передаваемые во внешние системы

Данные передаются во внешние системы по защищенному каналу связи.

Если настроена отправка уведомлений о регистрации инцидентов по почте, программа передает следующие данные на SMTP-сервер:

• идентификатор
  инцидента

  

  Обнаруженное отклонение от ожидаемого (нормального) поведения объекта мониторинга.

  ;
• дату и время регистрации инцидента;
• название
  ML-модели

  

  Алгоритм, основанный на методах машинного обучения, задачей которого является анализ телеметрии объекта мониторинга и обнаружение аномалий.

  , элемент которой зарегистрировал инцидент;
• название элемента ML-модели, который зарегистрировал инцидент;
• статус зарегистрированного инцидента;
• причину зарегистрированного инцидента;
• экспертное заключение к зарегистрированному инциденту;
• имя
  топ-тега

  

  Параметр технологического процесса, который оказал наибольшее влияние на регистрацию инцидента.

  ;
• описание топ-тега;
• значение топ-тега в момент регистрации инцидента и его единицу измерения;
• название
  детектора

  

  Компонент в составе ML-модели, который определяет аномалию и регистрирует инциденты.

  , зарегистрировавшего инцидент;
• значение
  артефакта

  

  Последовательность числовых значений (временной ряд), сформированная в результате инференса ML-модели. ML-модель может сформировать артефакты, связанные с полученными от объекта мониторинга значениями тегов, а также артефакты элементов ML-моделей.

  элемента ML-модели в момент регистрации инцидента;
• значение порога блокировки, превышенное в момент регистрации инцидента;
• ссылку для перехода в раздел История в момент начала инцидента.

Если настроена отправка уведомлений о регистрации инцидентов через коннекторы MQTT Connector, AMQP Connector, WebSocket Connector и/или KICS Connector, программа передает следующие данные на MQTT-брокер, AMQP-брокер, WebSocket-сервер и/или в Kaspersky Industrial CyberSecurity for Networks:

• идентификатор инцидента;
• дату и время регистрации инцидента;
• дату и время завершения инцидента;
• название и уникальный идентификатор (UUID) ML-модели, зарегистрировавшей инцидент;
• уникальный идентификатор (UUID) элемента ML-модели;
• идентификатор и описание топ-тега;
• название детектора, зарегистрировавшего инцидент;
• ссылку для перехода в раздел История в момент начала инцидента;
• значение артефакта элемента ML-модели в момент регистрации инцидента (при наличии);
• значение порога блокировки, превышенное в момент регистрации инцидента (при наличии);
• значение топ-тега в момент регистрации инцидента;
• статус инцидента;
• комментарий к инциденту (при наличии);
• идентификатор группы инцидентов (при наличии);
• название группы инцидента (при наличии);
• экспертное заключение (при наличии);
• идентификаторы релевантных тегов;
• причину инцидента (при наличии).

Если настроена отправка уведомлений о регистрации инцидентов через коннектор CEF Connector, программа передает следующие данные в SIEM-систему:

• имя поставщика программы;
• название программы;
• версию Kaspersky MLAD;
• идентификатор подписи программы;
• дату и время регистрации инцидента;
• дату и время завершения инцидента;
• название детектора, зарегистрировавшего инцидент;
• название ML-модели, зарегистрировавшей инцидент;
• ссылку для перехода в раздел История в момент начала инцидента;
• описание топ-тега;
• комментарий к инциденту (при наличии);
• название группы инцидента (при наличии);
• значение топ-тега в момент регистрации инцидента;
• идентификатор группы инцидентов (при наличии);
• идентификатор инцидента;
• идентификатор топ-тега.

Если настроена отправка зарегистрированных

событий

Набор значений из заранее заданного перечня параметров, описывающих то, что произошло на объекте мониторинга в определенный момент времени.

Набор значений из заранее заданного перечня параметров, описывающих то, что произошло на объекте мониторинга в определенный момент времени.

Набор значений из заранее заданного перечня параметров, описывающих то, что произошло на объекте мониторинга в определенный момент времени.

Набор значений из заранее заданного перечня параметров, описывающих то, что произошло на объекте мониторинга в определенный момент времени.

коннектор

Служба, которая обеспечивает обмен данными с внешними системами.

• имя поставщика программы;
• название программы;
• версию Kaspersky MLAD;
• идентификатор подписи программы;
• дату и время регистрации события;
• название
  монитора

  

  Источник извещений о выявлении процессором событий паттернов, событий или значений параметров событий в соответствии с заданными критериями мониторинга. Критерии мониторинга определяют голову внимания, дополнительные фильтры на значения параметров событий, а также скользящий временной интервал и количество последовательных активаций монитора на скользящем временном интервале.

  , который зарегистрировал событие;
• идентификатор монитора;
• тип элемента, который вызвал активацию монитора;
• название головы внимания (при наличии);
• название дочерней головы внимания (при наличии);
• скользящее окно монитора, за время которого ведется учет количества активаций;
• порог активаций, при достижении которого монитор отправляет оповещение во внешнюю систему;
• количество активаций на скользящем окне;
• информацию, является ли обнаруженный элемент новым для программы;
• содержимое элемента, вызвавшего последнюю активацию монитора;
• идентификатор элемента, который вызвал активацию монитора.

Если настроена отправка журналов событий информационной безопасности, программа передает следующие данные на syslog-сервер:

• имя поставщика программы;
• название программы;
• версию Kaspersky MLAD;
• идентификатор подписи программы;
• идентификатор события ИБ;
• дату и время события ИБ;
• тип события ИБ;
• уточнение типа события ИБ;
• уровень важности события ИБ;
• имя пользователя, действия которого привели к записи события ИБ;
• IP-адрес компьютера, с которого пользователем были произведены действия, записанные в журналы событий ИБ;
• результат события ИБ;
• краткое содержание события ИБ;
• подробное описание события ИБ.

Данные, обрабатываемые локально на сервере Kaspersky MLAD

Для выполнения своих основных функций программа может принимать, хранить и обрабатывать следующую информацию:

• Информацию о полных резервных копиях программы, если выполнялось резервное копирование или обновление программы. Информация о полных резервных копиях программы хранится на сервере Kaspersky MLAD до их удаления пользователем.
• Информацию о резервных копиях томов (volumes) Docker, которые создаются во время удаления программы. Информация о резервных копиях томов Docker хранится на сервере Kaspersky MLAD до их удаления пользователем.
• Файлы с текстом Лицензионного соглашения текущей установленной версии программы.
• Файл legal_notices.txt с информацией о стороннем коде.
• Сертификаты для подключения к программе через веб-интерфейс.
• Сертификаты и ключи к сертификатам для шифрования соединения коннекторов и служб Kaspersky MLAD с внешними системами.
• Публичные ключи для проверки цифровой подписи дистрибутива. Публичные ключи хранятся на сервере Kaspersky MLAD до их удаления пользователем.
• Данные об учетных записях пользователей: идентификатор учетной записи, фамилию, имя, отчество, адрес электронной почты, состояние учетной записи (активна или заблокирована), пароль.

  В качестве фамилии, имени и отчества пользователя могут быть указаны значения, не идентифицирующие пользователя как физическое лицо (например, цех и должность). Информация, указанная в полях Фамилия, Имя и Отчество пользователей при создании учетных записей, хранится в открытом виде и программой не обрабатывается.

  Адреса электронной почты, указанные при создании учетных записей, используются в качестве имен пользователей при подключении пользователей к веб-интерфейсу программы. Имена пользователей указываются в журналах событий информационной безопасности. Адреса электронной почты используются для отправки уведомлений о зарегистрированных инцидентах.

  Адреса электронной почты пользователей хранятся в открытом виде.

  Kaspersky MLAD не хранит пароли пользователей в открытом виде. Для хранения паролей используется алгоритм расчета хеш-суммы scrypt. Kaspersky MLAD добавляет соль к паролю для предотвращения его декодирования. Пароли пользователей не записываются в журналы программы.

  Данные об учетных записях пользователей вводит системный администратор в меню администратора.

• Данные о ролях и назначенных для этих ролей прав: идентификатор роли, название роли, состояние роли (активна или неактивна), список назначенных прав, дату и время создания роли, дата и время изменения роли.

  Данные о ролях вводит системный администратор в меню администратора.

• Данные об
  уведомлениях

  

  Сообщение с информацией об инциденте (инцидентах), которое программа отправляет через системы доставки сообщений (например, по электронной почте) на указанные адреса.

  об инцидентах: идентификатор уведомления, название уведомления, информацию, включена ли отправка уведомлений об инцидентах только для опубликованных ML-моделей, состояние уведомления (активно или неактивно), язык уведомления, адреса электронной почты для отправки уведомлений, типы инцидентов, по которым отправляются уведомления.

  Данные об уведомлениях вводит системный администратор в меню администратора.

• Информацию о загруженных в Kaspersky MLAD лицензионных ключах.
• Данные о параметрах Kaspersky MLAD:
  • Основные параметры программы: имя объекта мониторинга, URL- и IP-адреса для формирования ссылки на инциденты в уведомлениях об инцидентах, интервал получения данных из службы Message Broker, интервал получения статистических данных об инцидентах из базы данных, часовой пояс объекта мониторинга.
  • Параметры безопасности программы: количество попыток авторизации, период блокировки пользователя, период неактивности пользователя, информацию, является ли смена пароля при первом подключении обязательной, количество паролей пользователя, хранящихся в истории, срок действия пароля, минимальную длину пароля, информацию, требуется ли использование в пароле прописных, строчных букв латинского алфавита, цифр и/или специальных символов (_!@#$%^&*), объем и время хранения журналов событий информационной безопасности.
  • Параметры службы Anomaly Detector: информацию, требуется ли использовать детекторы Limit Detector, Forecaster, XGBoost и/или Rule Detector, информацию, требуется ли пропускать разрывы в данных, максимальное количество запрашиваемых записей из службы Message Broker, количество сообщений, отправляемых в одном блоке в службу Message Broker.
  • Параметры службы Keeper: информацию, требуется ли сохранять значения всех
    тегов

    

    Переменная, которая содержит значение какого-либо параметра технологического процесса (например, температуры).

    

    Переменная, которая содержит значение какого-либо параметра технологического процесса (например, температуры).

    , время ожидания получения значений тегов, инцидентов и метрик.
  • Параметры службы Mail Notifier: адрес электронной почты отправителя уведомлений, адрес и порт SMTP-сервера, имя пользователя и пароль для подключения к SMTP-серверу, информацию, требуется ли использовать TLS-соединение, сертификат и ключ к сертификату SMTP-сервера.
  • Параметры службы Similar Anomaly: минимальное и максимальное количество инцидентов для группы, максимальное расстояние между схожими инцидентами.
  • Параметры службы Stream Processor: период равноинтервальной сетки, конфигурационный файл с параметрами службы Stream Processor.

    В конфигурационном файле службы Stream Processor хранятся идентификаторы тегов, которые обрабатываются службой, и значения параметров обработки тегов.

    Значения параметров обработки тегов задаются специалистами "Лаборатории Касперского" индивидуально для каждого объекта мониторинга.

  • Параметры коннектора HTTP Connector: размер записываемого блока, максимальный размер загружаемого файла, информацию, требуется ли использовать TLS-соединение и рекомендуемые параметры TLS-соединения, сертификат и ключ к сертификату HTTPS-сервера, корневой сертификат для проверки подписи сертификата клиента, информацию, требуется ли масштабировать полученные значения тегов.
  • Параметры коннектора MQTT Connector: информацию, требуется ли использовать TLS-соединение и рекомендуемые параметры TLS-соединения, адрес и порт MQTT-брокера, имя пользователя и пароль для подключения к MQTT-брокеру, корневой сертификат, сертификат клиента и ключ к сертификату клиента, список подписок MQTT для получения тегов,
    топик MQTT

    

    Иерархический путь к источнику данных, на базе которого отправляются сообщения по протоколу MQTT.

    для публикации сообщений, формат обработки поступающих данных, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов.

    В конфигурационном файле коннектора MQTT Connector хранятся идентификаторы, имена, описания, типы и единицы измерения тегов.

  • Параметры коннектора AMQP Connector: информацию, требуется ли использовать TLS-соединение и рекомендуемые параметры TLS-соединения, адрес и порт AMQP-брокера, имя пользователя и пароль для подключения к AMQP-брокеру, корневой сертификат, сертификат клиента и ключ к сертификату клиента, виртуальный узел AMQP, имена точек обмена AMQP для получения значений тегов и для публикации сообщений, список подписок и очередь для получения значений тегов,
    топик AMQP

    

    Иерархический путь к источнику данных, на базе которого отправляются сообщения по протоколу AMQP.

    для публикации сообщений, формат обработки поступающих данных, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов.

    В конфигурационном файле коннектора AMQP Connector хранятся идентификаторы, имена, описания, типы и единицы измерения тегов.

  • Параметры коннектора OPC UA Connector: адрес подключения, время ожидания подключения к серверу OPC UA, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов, политику безопасности соединения, режим безопасности сообщений, имя пользователя и пароль для подключения к серверу, сертификат клиентского приложения, закрытый ключ к сертификату клиентского приложения, пароль для закрытого ключа к сертификату клиентского приложения, корневой сертификат, интервал исторических данных, начало и окончание периода исторических данных, размер блока исторических данных, отправляемых сервером OPC UA, размер блока исторических данных, отправляемых в службу Message Broker.
  • Параметры коннектора KICS Connector: файл свертки для коннектора KICS Connector, пароль для коннектора KICS Connector, информацию, требуется ли отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks, частоту
    семплирования

    

    Метод корректировки обучающей выборки с привязкой к шагам временной шкалы в исходном наборе данных.

    

    Метод корректировки обучающей выборки с привязкой к шагам временной шкалы в исходном наборе данных.

    тегов, информацию, требуется ли масштабировать полученные значения тегов.
  • Параметры коннектора CEF Connector: информацию, требуется ли получать события для службы Event Processor, информацию, требуется ли отправлять зарегистрированные инциденты и/или события в SIEM-систему, IP-адрес и порт для отправки событий и инцидентов в SIEM-системы, информацию, требуется ли отправлять журналы событий ИБ на syslog-сервер, транспортный протокол для отправки событий ИБ на syslog-сервер, адрес и порт syslog-сервер для отправки событий ИБ, информацию, требуется ли использовать защищенное TLS-соединение и рекомендуемые параметры TLS-соединения, сертификат и ключ к сертификату сервера, корневой сертификат для проверки подписи сертификата клиента, сертификат и ключ к сертификату клиента, корневой сертификат для проверки подписи сертификата сервера.
  • Параметры коннектора WebSocket Connector: URL-адрес WebSocket-сервера, корневой сертификат, сертификат клиентского приложения и ключ к сертификату клиентского приложения, формат обработки поступающих данных, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов, информацию, требуется ли отправлять инциденты, информацию, требуется ли использовать рекомендуемые параметры TLS-соединения.
  • Параметры службы Event Processor: конфигурационный файл службы, информацию, требуется ли обрабатывать инциденты как события, максимальное количество слоев сети, коэффициент, определяющий допустимую дисперсию длительности паттерна, интервал получения событий эпизода, размера эпизода в основном режиме, способ сохранения состояния службы Event Processor, периодичность создания резервных копий компонента, резервную копию состояния службы Event Processor, размер эпизода в режиме сна, режим отправки оповещений при активации монитора в режиме сна, периодичность и продолжительность режима сна, интервал истории событий для обработки в режиме сна.
  • Параметры статуса инцидентов: идентификатор статуса инцидента, названия статуса инцидента на русском и английском языке, порядковый номер сортировки, информацию, требуется ли отображать зарегистрированные инциденты с этим статусом.
  • Параметры причины инцидентов: идентификатор причины инцидента, название причины инцидента, порядковый номер сортировки.
  • Параметры службы ведения журналов: уровни ведения журналов служб и коннекторов программы.
  • Параметры временных интервалов для графиков в разделах Мониторинг, История и Временной срез: идентификатор временного интервала, названия временного интервала на русском и английском языке, порядковый номер сортировки, идентификатор пользователя, который создал временной интервал, идентификатор пользователя, который последним изменил временной интервал, значение временного интервала.
  • Параметры отображения пунктов основного меню и меню администратора: информацию, требуется ли отображать пункты основного меню и меню администратора в веб-интерфейсе программы.

  Параметры Kaspersky MLAD задает системный администратор в меню администратора.

• Данные об
  активах

  

  Раздел иерархической структуры, представляющий, например, завод, цех или отдельный агрегат объекта мониторинга.

  

  Раздел иерархической структуры, представляющий, например, завод, цех или отдельный агрегат объекта мониторинга.

  

  Раздел иерархической структуры, представляющий, например, завод, цех или отдельный агрегат объекта мониторинга.

  и тегах: имя актива, идентификатор актива, значок актива, идентификатор родительского актива, описание и тип актива, идентификатор и название типа актива, названия и значения специальных параметров типа актива, описание типа актива, идентификатор и имя тега, альтернативное имя тега, значок тега, описание тега, тип тега, единицу измерения тега, верхние и нижние пороги блокировки, сигнализации и достоверности измерений, комментарий к тегу, координаты расположения датчика объекта мониторинга в пространстве по осям абсцисс, ординат и аппликат, имя устройства, от которого поступают теги из внешней системы, параметры смещения и множителя, с помощью которых выполняется перерасчет полученных от коннекторов значений тегов.

  Данные об активах и тегах вводит системный администратор в меню администратора.

• Данные о
  пресетах

  

  Набор тегов, сформированный пользователем в произвольном порядке или созданный автоматически при регистрации инцидента. Набор тегов в составе пользовательского пресета может соответствовать определенному аспекту технологического процесса или участку объекта мониторинга.

  : название пресета, идентификатор пресета, значок пресета, имена и идентификаторы тегов, входящих в пресет, название и описание
  графической области

  

  Совокупность тегов, данные которых совместно отображаются путем наложения на одном графике в разделах История и Мониторинг. В графической области могут отображаться данные для одного и более тегов пресета.

  , режим масштабирования оси, верхнюю и нижнюю границы отображения значений тегов, дополнительные пороговые линии, информацию о тегах, входящих в состав графической области, информацию, требуется ли настроить выражение для раздела Временной срез, подписи осей абсцисс и ординат, название выражения для расчета значений тегов, выражения для расчета значений тегов, цвет графика для пресета в разделе Временной срез.

  Данные может ввести любой пользователь в разделе Пресеты.

• Информацию о количестве поступивших в секунду наблюдений по тегам и событий. Данные рассчитывает программа на основании данных, полученных от внешних систем.
• Информацию о значениях тегов и событий, поступивших в систему. Данные поступают от внешних систем, для которых пользователь настроил получение данных.
• Информацию о сформированных артефактах. Данные рассчитывает программа на основании данных, полученных от внешних систем.
• Информацию о статусах служб программы: название и текущий статус службы. Программа отображает статус службы, полученный из соответствующих компонентов.
• Данные о зарегистрированных инцидентах и группах инцидентов: идентификатор инцидента, дату и время регистрации инцидента, имя и идентификатор топ-тега, причину инцидента, название детектора, зарегистрировавшего инцидент, название группы инцидентов, статус инцидента, название ML-модели, элемент ML-модели, значение артефакта элемента ML-модели, пороговое значение, значение топ-тега, пороги блокировки, описание и единицы измерения тега, тип инцидента, дату и время формирования наблюдения, время, на которое формирование наблюдения отстает от поступления этого наблюдения в программе или опережает его, экспертное заключение к инциденту и к группе, комментарий к инциденту, название и идентификатор группы инцидентов, количество инцидентов в группе, дату и время создания группы инцидентов, статус зарегистрированных инцидентов в группе, идентификаторы релевантных тегов, порог блокировки, который был достигнут при регистрации инцидента.

  Программа формирует эти данные в результате анализа полученных данных и на основании параметров, заданных пользователем.

• Параметры отображения графиков в разделах Мониторинг и История: высоту графиков, пресет для перехода в раздел История (только при настройке параметров отображения графика в разделе Мониторинг), информацию, требуется ли отображать график наблюдений в выбранном цвете, цвет графиков наблюдений, информацию, требуется ли отображать график прогнозов в выбранном цвете, цвет графиков прогнозов, информацию, требуется ли отображать на графиках имена и описания тегов, прогнозируемое значение тега и/или индивидуальную ошибку тега, информацию, требуется ли отображать индикаторы для всех инцидентов на графиках, информацию, требуется ли отображать на графиках пороги блокировки и/или дополнительные пороговые линии, элемент ML-модели, используемый для формирования прогнозируемых значений, пресеты, временные интервалы, дату и время для отображения графиков.

  Данные может ввести любой пользователь в разделах Мониторинг и История.

• Параметры отображения графиков в разделе Временной срез: высоту графиков, элемент ML-модели, используемый для формирования прогнозируемых значений, пресеты, временные интервалы, дату и время для отображения графиков.

  Данные может ввести любой пользователь в разделе Временной срез.

• Параметры обработки и отображения данных для процессора событий: идентификатор, название и состояние головы внимания, параметры предмета внимания (индивидуальны для каждого объекта мониторинга), информацию, требуется ли обобщать параметры условий, параметры условий головы внимания (индивидуальны для каждого объекта мониторинга).

  Если в параметрах службы Event Processor включен переключатель Обрабатывать инциденты как события, то программа хранит и обрабатывает следующие данные:

  • название детектора;
  • название используемой ML-модели;
  • имя и идентификатор топ-тега;
  • название группы инцидентов, в которую входит зарегистрированный инцидент;
  • значение топ-тега;
  • идентификатор инцидента.

  Данные для процессора событий может ввести любой пользователь в разделе Процессор событий.

• Данные о мониторинге событий и паттернов в процессоре событий: название и идентификатор монитора, состояние монитора, количество зарегистрированных активаций на скользящем окне, дату и время последней активации, размер списка активаций, параметр, определяющий что отслеживает монитор, скользящее окно, порог активации, голову внимания, параметр предмета внимания, информацию, отслеживает ли монитор события или паттерны при обобщенном предмете внимания, тип активации, имена параметров события, за значениями которых наблюдает монитор, типы фильтров, типы значений, которые отслеживает монитор, значения параметров событий, которые отслеживает монитор, идентификатор значения параметра события, события или паттерна, обнаружение которого привело к активации монитора, дату и время обнаружения события в потоке событий, временной интервал между текущим событием и предыдущим событием в потоке событий на скользящем окне, количество повторений события в потоке событий на скользящем окне, количество параметров события, для которых поступили значения от объекта мониторинга, дату и время последнего обнаружения события в потоке событий на скользящем окне, параметр предмета внимания и его значение, вызвавшее активацию монитора, дату и время активации монитора, параметры события, поступившего от объекта мониторинга, количество событий, входящих в состав паттерна, который вызвал активацию монитора, общее количество повторений паттерна в потоке событий, идентификатор обобщенного события, идентификатор обобщенного паттерна, количество активаций монитора обобщенным событием или паттерном, количество событий в составе обобщенного паттерна, количество значений параметра предмета внимания, обнаружение которых вызвало активацию монитора, временной интервал между первым и последним событием в обнаруженном обобщенном паттерне, обнаруженное обобщенное событие, обнаруженный обобщенный паттерн, значения параметров предмета внимания, обнаружение которых вызвало активацию монитора.

  Программа формирует данные в результате анализа полученных данных и параметров, заданных пользователем в разделе Процессор событий.

• Данные о регистрации паттернов в процессоре событий: идентификатор паттерна, дату и время последнего обнаружения паттерна на интервале, количество обнаружений паттерна в потоке событий объекта мониторинга за заданный период, количество событий в составе паттерна, дату и время последнего обнаружения паттерна в потоке событий или в режиме сна, дату и время начала и окончания периода загрузки паттернов, тип паттерна, голову внимания, значения параметров события, по которым регистрируются паттерны, параметры шаблона, по которым регистрируются паттерны (индивидуальны для каждого объекта мониторинга), идентификатор вложенного паттерна, дату и время окончания вложенного паттерна в последовательности паттернов, количество обнаружений вложенного паттерна, количество событий в составе вложенного паттерна, временной интервал между вложенным паттерном и паттерном, выявленным в последовательности паттернов на текущем слое до вложенного паттерна, дату и время последнего обнаружения вложенного паттерна в последовательности паттернов на текущем слое, идентификаторы событий, входящих в состав паттерна, дату и время обнаружения события в структуре паттерна, временной интервал между выбранным событием и предыдущим событием, количество повторений события в структуре выбранного паттерна, количество параметров события, для которых поступили значения от объекта мониторинга, дату и время последнего обнаружения события в потоке событий.

  Программа формирует данные в результате анализа данных и параметров, заданных пользователем в разделе Процессор событий.

• Информация о ML-моделях и их параметрах: идентификатор (ID) и уникальный идентификатор (UUID) ML-модели, название, описание, статус и состояние ML-модели, имя пользователя, который последним изменил ML-модель, дату и время последнего изменения ML-модели, имя пользователя, который создал ML-модель, дату и время создания или загрузки ML-модели, названия и идентификаторы входящих в нее элементов, интервал времени и
  разметки

  

  Инструмент для отбора интервалов времени. Разметки используются для формирования индикаторов обучения и инференса ML-модели. В составе разметки могут быть использованы два вида критериев: условия на поведение конкретных тегов (отбираются интервалы времени, в которых эти условия соблюдаются) и фильтр по времени (интервалы времени отбираются независимо от поведения тегов).

  для проведения
  инференса

  

  Работа ML-модели с данными телеметрии для выявления аномального поведения.

  

  Работа ML-модели с данными телеметрии для выявления аномального поведения.

  .

  Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.

• Информацию об элементах ML-моделей и их параметрах:
  • Общие параметры для всех типов элементов ML-моделей: идентификатор, название и описание элемента ML-модели, статус и состояние элемента ML-модели, интервал времени, при достижении которого регистрируется повторный инцидент, интервал времени, в течение которого не регистрируются повторные инциденты, интервал наблюдения за аномалией, доля длительности аномалии в интервале, причину и статус инцидента, цвет точек-индикаторов для инцидентов, экспертное заключение.
  • Основные параметры предиктивных элементов ML-моделей: архитектуру элемента, шаг сетки в секундах, имена и идентификаторы входных тегов, имена и идентификаторы выходных тегов, порог регистрации инцидентов, степенной показатель суммарной ошибки прогноза, коэффициент сглаживания суммарной ошибки прогноза, количество шагов входного окна для входных значений, количество шагов, на которое смещается начало выходного окна относительно начала входного окна, количество шагов выходного окна.
  • Параметры нейросетевого элемента с Dense-архитектурой: множители для вычисления количества нейронов на слоях, активации на слоях, коэффициент регуляризации для предотвращения переобучения элемента ML-модели.
  • Параметры нейросетевого элемента с RNN-архитектурой: количество
    GRU

    

    Ячейка слоя с рекуррентной архитектурой.

    -нейронов на слоях, количество распределенных по времени нейронов на слоях декодирующего блока, информацию, требуется ли восстанавливать данные, принимаемые на вход сети, коэффициент регуляризации для предотвращения переобучения элемента ML-модели.
  • Параметры нейросетевого элемента с CNN-архитектурой: размер фильтров на слоях, количество фильтров на слоях, коэффициент регуляризации для предотвращения переобучения элемента ML-модели, размер окна выборки максимума, количество нейронов на слоях декодирующего блока, информацию, требуется ли восстанавливать данные, принимаемые на вход сети.
  • Параметры нейросетевого элемента с TCN-архитектурой: коэффициент регуляризации для предотвращения переобучения элемента ML-модели, размер фильтров, количество слоев в остаточном блоке, количество фильтров на слоях, расширения на слоях, тип слоя перед выходным, размер пакета, функцию активации.
  • Параметры нейросетевого элемента с Transformer-архитектурой: коэффициент регуляризации в кодирующем блоке, количество голов внимания, количество кодирующих блоков, множители для вычисления количества нейронов на слоях декодирующего блока.
  • Параметры обучения предиктивного элемента: интервал времени для обучения, названия и идентификаторы разметок для обучения, максимальную продолжительность обучения, соотношение обучающей и валидационной выборок, максимальное количество эпох для обучения, количество эпох, в течение которых должны отсутствовать валидационные потери при ранней остановке обучение, разрешение графиков для отображения результатов обучения, размер пакета данных для обучения, количество блоков, режим инференса, режим обучения, режим автоматического разделения данных на блоки, используемый объем памяти для обучения, информацию, требуется ли инициализировать веса модели значениями из результатов предыдущего обучения и/или перемешивать данные, значение для инициализации генератора псевдослучайных чисел, коэффициент скорости обучения, алгоритм оптимизации обучения, алгоритм оптимизации потерь.
  • Информацию о результатах обучения предиктивного элемента: очередь обучения (идентификаторы и названия элементов ML-модели, которые ожидают очереди на обучение), статус обучения, название и идентификаторы обучающихся элементов, количество блоков, на которые разбиты данные для обучения, имя пользователя, который запустил обучения элемента, продолжительность обучения, дату и время начала и окончания обучения, продолжительность интервалов времени данных в обучающей выборке, количество узлов
    РИВС

    

    Бесконечная последовательность моментов времени, следующих друг за другом через равные интервалы, к которой приводится поток поступающих данных телеметрии.

    , входящий в обучающую выборку, ошибки обучения и валидации, прогноз обученной ML-модели на обучающей выборке.
  • Параметры элементов на основе диагностических правил: информацию, требуется ли интерпретировать невозможность оценки условия как выполнение правила, параметры фильтрации по времени: тип интервала, годы, дни, дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданным правилом; параметры условия на поведение тегов: тег, для которого добавлено условие, поведение тега, условие выполнения правила, количество шагов РИВС, пороговое значение тега, минимальное количество срабатываний правила для регистрации инцидента, значение уклона тренда, интервал времени между соседними оценками тренда, значение порога изменений, направление изменения значений тега, значение тега, максимальное отклонение тега от указанного значения, направление изменения разброса значения тега, информацию, используется ли в правиле пауза и параметры паузы: минимальный и максимальный интервалы ожидания, используемые групповой и логический операторы.
  • Параметры элементов на основе эллиптического конверта: порог регистрации инцидентов, шаг сетки в секундах, имена и идентификаторы входных тегов, которые необходимо включить в ML-модель.
  • Параметры обучения элемента на основе эллиптического конверта: интервал времени для обучения, названия и идентификаторы разметок для обучения, долю выборки для оценки среднего и ковариации, долю выбросов в выборке, значение для инициализации генератора псевдослучайных чисел, разрешение графиков для отображения результатов обучения, информацию, предполагается ли, что значения тегов центрированы.
  • Информацию о результатах обучения элемента на основе эллиптического конверта: очередь обучения (идентификаторы и названия элементов ML-модели, которые ожидают очереди на обучение), статус обучения, название и идентификаторы обучающихся элементов, имя пользователя, который запустил обучения элемента, продолжительность обучения, дату и время начала и окончания обучения, продолжительность интервалов времени данных в обучающей выборке, количество узлов РИВС, входящий в обучающую выборку, степень отклонения тегов, значения тегов, распределение значений тегов и корреляция тегов.

  Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.

• Информацию о разметках: идентификатор, название и описание разметки, интервал, с которым рассчитываются данные на РИВС, цвет разметки, способ появления разметки в программе, информацию, используется ли разметка в качестве основного индикатора инференса, параметры фильтрации по времени: тип интервала, годы, дни, дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными условиями разметки; параметры условия на поведение тегов: тег, для которого добавлено условие, поведение тега, условие выполнения правила, количество шагов РИВС, пороговое значение тега, минимальное количество срабатываний правила для регистрации инцидента, значение уклона тренда, интервал времени между соседними оценками тренда, значение порога изменений, направление изменения значений тега, значение тега, максимальное отклонение тега от указанного значения, направление изменения разброса значения тега, информацию, используется ли в правиле пауза и параметры паузы: минимальный и максимальный интервалы ожидания, используемые групповой и логический операторы.

  Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.

• Журналы событий информационной безопасности: идентификатор событий ИБ, дату и время события ИБ, тип события ИБ, уточнение типа события ИБ, уровень важности события ИБ, имя пользователя, действия которого привели к записи события ИБ, IP-адрес компьютера, с которого пользователем были произведены действия, записанные в журналы событий ИБ, результат события ИБ, краткое содержание события ИБ, подробное описание события ИБ.

  IP-адреса компьютеров, с которых было выполнено подключение к веб-интерфейсу программы, указываются в журналах событий информационной безопасности.

  Данные формируются Kaspersky MLAD автоматически.

  Kaspersky MLAD хранит журналы событий ИБ в течении времени, заданном в параметре Время хранения журналов событий информационной безопасности (сут) при настройке параметров безопасности. Программа удаляет ранние записи журналов событий ИБ при превышении объема для хранения события ИБ, заданного в параметре Объем журналов событий информационной безопасности (МБ).

• Журналы контейнеров Kaspersky MLAD: дату и время события, уровень важности события, название контейнера, для которого зарегистрировано событие, описание события.

  Данные формируются Kaspersky MLAD автоматически.

  Kaspersky MLAD хранит журналы контейнеров в течение двух дней.

Система ведения журналов (Grafana) не передает пользовательские данные в "Лабораторию Касперского" или на сторонние серверы. Вы можете ознакомиться с порядком хранения и обработки данных в системе ведения журналов в руководстве пользователя системы ведения журналов Grafana.

Данные, обрабатываемые на компьютерах пользователей

При работе с веб-интерфейсом Kaspersky MLAD в файлах cookie браузера пользователя хранятся следующие данные:

• Индивидуальные токены JSON Web Token для поддержки пользовательской сессии подключения к веб-интерфейсу программы. Индивидуальный токен хранится в файлах cookie браузера пользователя в течение периода неактивности пользователя, заданного при настройке параметров безопасности.
• Идентификатор запущенной сессии Grafana, если пользователь переходил к просмотру журналов программы. Идентификатор сессии Grafana хранится в файлах cookie браузера пользователя в течение 30 дней.

В браузере пользователя хранятся данные, которые используются для отображения веб-интерфейса: последний использованный язык локализации веб-интерфейса программы, последний использованный вариант отображения основного меню (скрытое или развернутое отображение), последние использованные значения временного интервала, пресета, даты и времени, элементы ML-моделей и параметры отображения графиков в разделах Мониторинг, История и Временной срез, последние использованные параметры нумерации страниц, последние заданные фильтры для отображения данных в разделе Процессор событий, последние использованные значения статуса и причины инцидентов в разделе Инциденты, информация о пресетах Теги инцидента #<идентификатор инцидента>, сформированных для зарегистрированного инцидента, информация о текущей установленной версии Kaspersky MLAD. Эти данные хранятся в браузере бессрочно. Вы можете самостоятельно удалить эти данные из локального хранилища браузера.

При экспорте инцидентов программа сохраняет на компьютер пользователя файл формата XLSX со следующими данными:

• именем объекта мониторинга;
• периодом, за который были выгружены инциденты;
• идентификаторами зарегистрированных инцидентов;
• датами и временем зарегистрированных инцидентов;
• статусами зарегистрированных инцидентов;
• названиями групп, в которые входят зарегистрированные инциденты;
• именами и идентификаторами топ-тегов, оказавших наибольшее влияние на регистрацию инцидентов;
• значениями топ-тегов;
• единицами измерения топ-тегов;
• описаниями топ-тегов;
• названиями ML-моделей, зарегистрировавших инциденты;
• названиями детекторов, зарегистрировавших инциденты.

При экспорте журналов событий информационной безопасности из системы ведения журналов Grafana программа сохраняет на компьютер пользователя файл формата CSV со следующими данными:

• идентификаторами событий ИБ;
• датами и временем событий ИБ;
• типами событий ИБ;
• уточнениями типов событий ИБ;
• уровнями важности событий ИБ;
• именами пользователей, действия которых привели к записи событий ИБ;
• IP-адресами компьютеров, с которых пользователями были произведены действия, записанные в журналы событий ИБ;
• результатами событий ИБ;
• краткими содержаниями событий ИБ;
• подробными описаниями событий ИБ.

При экспорте журналов контейнеров из системы ведения журналов Grafana программа сохраняет на компьютер пользователя файл формата CSV со следующими данными:

• датами и временем событий;
• уровнями важности событий;
• именем контейнера, для которого зарегистрированы события;
• описаниями событий.

При экспорте конфигурации активов и тегов программа сохраняет на компьютер пользователя файл формата XLSX со следующими данными:

• идентификатором типа актива;
• уникальным названием типа актива;
• названием специальных параметров для типа актива (при наличии);
• описанием типа актива (при наличии);
• идентификатором актива;
• именем актива;
• уникальным именем актива в рамках его родительского актива;
• описанием актива (при наличии);
• именем родительского актива, к которому относится актив (при наличии);
• идентификатором родительского актива (при наличии);
• названиями специальных параметров актива (при наличии);
• значениями специальных параметров актива (при наличии);
• идентификатором тега;
• уникальным именем тега;
• уникальным альтернативным именем тега (при наличии);
• описанием тега;
• именем родительского актива, к которому относится тег (при наличии);
• идентификатором родительского актива;
• типом тега (при наличии);
• единицей измерения тега;
• нижним и верхним порогами блокировки (при наличии);
• нижним и верхним порогами сигнализации (при наличии);
• нижним и верхним порогами достоверности измерений (при наличии);
• нижней и верхней границами отображения значений тега на графиках (при наличии);
• выражением, по которому требуется рассчитать значение тега из значения, переданного в Kaspersky MLAD;
• комментарием к тегу;
• координатами расположения датчика объекта мониторинга по осям абсцисс, ординат и аппликат (при наличии);
• значением смещения, которое необходимо добавить к значению тега, полученному от коннектора;
• значением множителя, на которое необходимо умножить значение тега, полученное от коннектора.

При экспорте пресетов программа сохраняет на компьютер пользователя файл формата JSON со следующими данными:

• названием пресета;
• идентификатором пресета;
• порядковым номером отображения пресета в разделе Пресеты;
• списком идентификаторов тегов, входящих в состав пресета;
• названием значка пресета;
• названием CSS-класса для отображения значка пресета;
• информацией, требуется ли отображать пресет в разделе Временной срез;
• параметрами графической области в составе пресета:
  • названием графической области;
  • описанием графической области;
  • порядковым номером отображения графической области в пресета в разделах Мониторинг, История и Пресеты;
  • верхней и нижней границами отображения значений тегов в графической области;
  • параметрами дополнительных пороговых линий:
    • идентификатором дополнительной пороговой линии;
    • пороговым значением;
    • цветом дополнительной пороговой линии.
  • режимом масштабирования оси;
  • способом масштабирования графика в режиме единой оси;
  • списком идентификаторов тегов, входящих в состав графической области;
  • идентификатором графической области;
  • идентификатором пресета, к которому относится графическая область.
• при использовании пресета для отображения данных в разделе Временной срез программа сохраняет следующие данные:
  • подпись по оси абсцисс на графике в разделе Временной срез;
  • название выражения, по которому рассчитываются значения тегов;
  • подпись по оси ординат на графике в разделе Временной срез;
  • выражение, по которому рассчитываются значения тегов;
  • цвет графика для пресета в разделе Временной срез.

При экспорте параметров Kaspersky MLAD программа сохраняет на компьютер пользователя конфигурационные файлы со следующими данными:

• Файл с параметрами статусов инцидентов, содержащий следующие данные:
  • идентификатор статуса инцидента;
  • название статуса инцидента на русском языке;
  • название статуса инцидента на английском языке;
  • порядковый номер статуса инцидента для сортировки;
  • информацию, требуется ли отображать зарегистрированные инциденты с этим статусом.
• Файл с параметрами причин инцидентов, содержащий следующие данные:
  • идентификатор причины инцидента;
  • название причины инцидента;
  • порядковый номер причины инцидента для сортировки.
• Файл с параметрами временных интервалов отображения данных на графиках Мониторинг, История и Временной срез, содержащий следующие данные:
  • идентификатор временного интервала;
  • название временного интервала на русском языке;
  • название временного интервала на английском языке;
  • порядковый номер временного интервала для сортировки;
  • идентификатор пользователя, который создал временный интервал;
  • идентификатор пользователя, который последним изменил временной интервал;
  • значение временного интервала в миллисекундах.
• Параметры служб и коннекторов Kaspersky MLAD:
  • идентификаторы параметров;
  • названия параметров в базе данных Kaspersky MLAD;
  • типы введенных значений;
  • введенные или выбранные значения;
  • название блока параметров, к которому относится текущий параметр;
  • порядковый номер отображения параметра в текущем разделе;
  • требования к значению параметра.
• Конфигурационный файл службы Stream Processor, содержащий следующие данные:
  • идентификаторы тегов, которые обрабатываются службой Stream Processor;
  • значения параметров обработки тегов.

    Значения параметров обработки тегов задаются специалистами "Лаборатории Касперского" индивидуально для каждого объекта мониторинга.

• Конфигурационные файлы коннекторов MQTT Connector, AMQP Connector и WebSocket Connector, содержащие следующие данные:
  • идентификаторы тегов, полученные с помощью коннектора MQTT Connector, AMQP Connector или WebSocket Connector;
  • единицы измерения временной метки тегов;
  • тип получаемых данных;
  • формат шаблона для декодирования типа получаемых данных.
• Конфигурационный файл коннектора OPC UA Connector, содержащий следующие данные:
  • идентификатор тега;
  • имя актива, к которому относится тег;
  • тип данных, которые передаются в значении тега.
• Конфигурационный файл службы Event Processor, содержащий следующие данные:
  • правила соответствия параметров событий, полученных коннектором CEF Connector, с именами параметров событий для обработки в службе Event Processor;
  • список обрабатываемых параметров событий;
  • время и масштаб времени для обработки событий;
  • порядок и взаимосвязь параметров событий для их отображения на графе отношений в разделе История событий.
• Файл свертки для коннектора KICS Connector, содержащий следующие данные:
  • В зашифрованном виде открытый ключ сертификата сервера Kaspersky Industrial CyberSecurity for Networks, сертификат, выданный сервером Kaspersky Industrial CyberSecurity for Networks для коннектора KICS Connector (с закрытым ключом).

    Содержимое файла зашифровано с помощью пароля, который был указан при добавлении коннектора KICS Connector или при создании нового файла свертки для этого коннектора.

  • Конфигурационные данные для коннектора KICS Connector: имя пользователя, под которым Kaspersky MLAD будет подключаться к серверу Kaspersky Industrial CyberSecurity for Networks, идентификатор коннектора KICS Connector, адрес сервера Kaspersky Industrial CyberSecurity for Networks для подключения.

[Topic 248059]

Директории для хранения данных программы

Kaspersky MLAD использует для хранения данных следующие директории и их поддиректории:

• Директории программы (по умолчанию /opt/kaspersky/mlad):
  • . – корневая директория программы. Используется для хранения конфигурационных файлов, журналов установки и обновления Kaspersky MLAD, скриптов для установки, обновления, запуска и остановки Kaspersky MLAD, подписи дистрибутива. Также в корне директории программы хранятся примечания к текущему выпуску Kaspersky MLAD (Release Notes).
  • ./configs – директория для хранения конфигурационных файлов Kaspersky MLAD. Директория содержит поддиректорию logger, в которой хранятся конфигурационные файлы службы Logger.
  • ./data – директория для хранения данных, которые загружаются с использованием коннектора HTTP Connector.
  • ./legal – директория для хранения текста Лицензионного соглашения, метки о дате его принятия пользователем, а также файла legal_notices.txt, в котором содержится информация о стороннем коде.
  • ./ssl – директория для хранения скрипта генерации самоподписанного сертификата, обеспечивающего HTTPS-соединение с браузером пользователя Kaspersky MLAD.
  • ./ssl/tokens – директория для хранения ключа JWT (JSON Web Token).
  • ./ssl/nginx – директория для хранения сертификатов, обеспечивающих HTTPS-соединение с браузером пользователя Kaspersky MLAD.
  • ./ssl/public_cert – директория для хранения публичных ключей для проверки цифровой подписи дистрибутива.
  • ./mlad_backup-<номер версии>-<номер сборки> – директория для хранения резервных копий Kaspersky MLAD по умолчанию. Резервная копия Kaspersky MLAD может быть создана с помощью скрипта резервного копирования backup.sh или в процессе обновления программы с помощью скрипта обновления upgrade.sh. При выполнении резервного копирования программы вы можете указать другую директорию для хранения резервной копии. Содержимое повторяет структуру корневой директории, в которую установлен Kaspersky MLAD, а также содержит следующие поддиректории:
    • ./containers_backup – директория для хранения архива с резервной копией контейнеров служб Kaspersky MLAD.
    • ./volumes_backup – директория для хранения архива с резервной копией томов (volumes) Docker.
  • ./volumes_backup_<дата удаления> – директория для хранения резервных копий томов (volumes) Docker, которые создаются во время удаления Kaspersky MLAD.
• Директория /var/lib/docker/volumes/:
  • ./<имя директории программы>_postgres-volume – директория для хранения файлов базы данных Postgres.
  • ./<имя директории программы>_inflxdb-volume – директория для хранения файлов службы Time Series Database.
  • ./<имя директории программы>_logger-volume – директория для хранения файлов подсистемы ведения журналов.
  • ./<имя директории программы>_webstatic-volume – директория для хранения статических данных веб-интерфейса программы.
• /etc/hosts – служебный файл, описывающий соответствие IP-адресов и имен хостов внешних серверов.

Изменить файлы программы может администратор программы или пользователь, от имени которого распакован архив, содержащий установочный скрипт и все необходимые для установки Kaspersky MLAD файлы.

Удаление или изменение любого файла Kaspersky MLAD может привести к нарушению работоспособности программы.

[Topic 247985]

Задачи системного администратора

Этот раздел содержит описание задач системного администратора, выполняемых в меню администратора программы.

[Topic 248038]

Управление учетными записями пользователей

Для того чтобы обеспечить безопасную работу пользователей с Kaspersky MLAD, вам нужно создать учетную запись для каждого пользователя.

Управление учетными записями пользователей Kaspersky MLAD доступно системным администраторам.

Все созданные учетные записи пользователей и информация о них отображаются в таблице разделе Пользователи в меню администратора.

При установке программы создается специальная системная учетная запись User System, которая не предназначена для использования персоналом при работе с Kaspersky MLAD. Подключение к веб-интерфейсу программы с помощью этой учетной записи невозможно. Для уточнения возможности изменения ее параметров рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.

При необходимости вы можете изменять учетные записи пользователей. Kaspersky MLAD не позволяет удалять учетные записи пользователей. Если вы хотите запретить доступ к веб-интерфейсу Kaspersky MLAD для определенной учетной записи, рекомендуется заблокировать ее. Позже вы можете разблокировать эту учетную запись, если потребуется. Вы также можете разблокировать учетную запись, заблокированную при достижении количества неудачных попыток авторизации этого пользователя до истечения периода блокировки. Вы можете указать количество неудачных попыток авторизации и период блокировки учетной записи при настройке параметров безопасности Kaspersky MLAD.

Рядом с каждой учетной записью находится вертикальное меню , позволяющее отзывать токены аутентификации или просматривать список прав для определенной учетной записи пользователя.

Раздел Пользователи

[Topic 248039]

Создание учетной записи пользователя

Управление учетными записями пользователей Kaspersky MLAD доступно системным администраторам.

Чтобы создать учетную запись пользователя:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Пользователи.
3. Нажмите на кнопку Добавить пользователя.

   Справа отобразится панель Добавление пользователя.

4. В поле Фамилия введите фамилию пользователя.
5. В поле Имя введите имя пользователя.
6. Если требуется, в поле Отчество введите отчество пользователя.
7. В поле Адрес электронной почты укажите адрес электронной почты пользователя.
8. В поле Пароль введите пароль для учетной записи пользователя.

   Пароль должен удовлетворять следующим требованиям:

   • Содержит минимальное количество символов, заданное в параметре Минимальная длина пароля.
   • Содержит буквы латинского алфавита, цифры и/или специальные символы в соответствии с политикой паролей, заданной при настройке параметров безопасности.
9. В поле Подтверждение пароля подтвердите пароль для учетной записи пользователя.
10. Нажмите на кнопку Сохранить.

Информация о новом пользователе отобразится в таблице. Если требуется, вы можете изменять учетные записи пользователей и отзывать их токены аутентификации

При создании учетной записи вы не можете присвоить роль пользователю. Вы можете присвоить пользователю роль только при изменении учетной записи.

[Topic 248040]

Изменение учетной записи пользователя

Управление учетными записями пользователей Kaspersky MLAD доступно системным администраторам.

При изменении учетной записи пользователя вы можете присвоить пользователю нужную роль. Вы также можете заблокировать или разблокировать учетную запись пользователя.

При блокировке пользователя Kaspersky MLAD автоматически отзывает токены аутентификации у учетной записи и завершает пользовательскую сессию. Заблокированный пользователь не может авторизоваться в Kaspersky MLAD и использовать программу.

При изменении пароля для какой-либо учетной записи Kaspersky MLAD также автоматически отзывает токены аутентификации и завершает пользовательскую сессию пользователя, для которого был изменен пароль. Пользователь, для которого был изменен пароль, может подключиться к веб-интерфейсу, используя новый пароль.

Чтобы изменить учетную запись пользователя:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Пользователи.
3. В строке той учетной записи, которую вы хотите изменить, нажмите на кнопку Изменить.

   Справа отобразится панель Изменение пользователя.

4. Если требуется, введите новую фамилию, имя и/или отчество пользователя.
5. В поле Роли присвойте роль для учетной записи пользователя, установив соответствующий флажок.
6. Если требуется, укажите новый адрес электронной почты пользователя.
7. Если требуется изменить пароль, в полях Пароль и Подтверждение пароля введите новый пароль.

   Новый пароль должен удовлетворять следующим требованиям:

   • Не совпадает с предыдущими паролями. Количество ранее использованных паролей, с которыми новый пароль не должен совпадать, задается значением параметра Количество паролей пользователя, хранящихся в истории.
   • Содержит минимальное количество символов, заданное в параметре Минимальная длина пароля.
   • Содержит буквы латинского алфавита, цифры и/или специальные символы в соответствии с политикой паролей, заданной при настройке параметров безопасности.
8. Если требуется заблокировать или разблокировать учетную запись пользователя, выполните одно из следующих действий:
   • Если требуется разблокировать учетную запись пользователя, установите переключатель Состояние в положение Активен.
   • Если требуется заблокировать учетную запись пользователя, установите переключатель Состояние в положение Не активен.

   Kaspersky MLAD не позволяет удалять учетные записи пользователей. Если вы хотите запретить доступ к Kaspersky MLAD для определенной учетной записи, рекомендуется заблокировать ее.

9. Нажмите на кнопку Сохранить.

Измененная информация о пользователе отобразится в таблице.

[Topic 248042]

Отзыв токенов аутентификации для учетной записи пользователя

Управление учетными записями пользователей Kaspersky MLAD доступно системным администраторам.

После подключения пользователя к веб-интерфейсу внутри Kaspersky MLAD создается индивидуальный токен, позволяющий сохранять авторизацию пользователя в программе между сессиями подключения к веб-интерфейсу программы, в том числе связанными с перезапуском браузера. Если пользователь авторизовался на нескольких устройствах, для каждой пользовательской сессии создается свой токен.

При необходимости в любой момент вы можете отозвать токены для учетной записи пользователя. В результате для пользователя, чьи токены вы отозвали, будет завершена сессия подключения к программе одновременно на всех устройствах, на которых он был авторизован. Отзыв токенов может быть полезен в случае, если требуется принудительно завершить сессии подключения к программе для определенного пользователя. После отзыва токенов пользователь может снова авторизоваться и продолжить использовать Kaspersky MLAD.

Чтобы отозвать токены для учетной записи пользователя:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Пользователи.
3. Рядом с учетной записью, для которой требуется отозвать токены, откройте вертикальное меню  и выберите пункт Отозвать токены.
4. В открывшемся окне подтвердите отзыв токенов аутентификации.

Токены для учетной записи пользователя будет отозваны, пользовательская сессия будет завершена.

[Topic 248043]

Просмотр прав доступа для учетной записи пользователя

Управление учетными записями пользователей Kaspersky MLAD доступно системным администраторам.

В разделе Пользователи вы можете просмотреть список прав для определенной учетной записи пользователя.

Чтобы просмотреть права доступа для учетной записи пользователя:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Пользователи.
3. Рядом с учетной записью, для которой требуется просмотреть список прав доступа, откройте вертикальное меню  и выберите пункт Список прав.

На странице откроется окно с информацией о роли и правах доступа выбранной учетной записи.

[Topic 251420]

Управление ролями

В Kaspersky MLAD вы можете разграничить доступ пользователей к функциям программы в зависимости от задач пользователей, используя типовые роли.

Управление ролями доступно системным администраторам.

Роль – это набор прав доступа к функциям программы, который вы можете назначить пользователю.

Для доступа к функциям программы могут использоваться учетные записи со следующими ролями:

• Роль системного администратора – создается автоматически при установке программы. Роль системного администратора автоматически присваивается первому пользователю, созданному во время установки Kaspersky MLAD. Пользователь с ролью системного администратора имеет доступ ко всем функциям программы. Роль системного администратора не может быть изменена или удалена.
• Пользовательская роль – создается вручную в разделе Роли. Доступ к функциям программы зависит от списка прав, предоставленных для пользовательской роли. Количество пользовательских ролей не ограничено.

В разделе Роли отображается таблица с информацией о всех созданных ролях.

[Topic 251532]

Создание роли

Управление ролями доступно системным администраторам.

Вы можете создавать пользовательские роли и выбирать для них права доступа к функциям программы. После создания активной роли она станет доступной для назначения пользователям программы.

Чтобы создать роль:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Роли.
3. Нажмите на кнопку Создать.

   Справа отобразится панель Создание роли.

4. В поле Название роли укажите нужное название роли.

   Вы можете ввести не более 30 символов.

5. Если требуется, в поле Описание роли укажите описание роли.
6. Для предоставления прав доступа роли выполните следующие действия:
   1. Нажмите на кнопку Выбрать права.

      Справа отобразится панель Предоставление прав для роли.

   2. В списке прав выберите права доступа к функциям программы, которые вы хотите предоставить роли.

      При выборе пункта Права на все действия роли будут доступны все функции системного администратора.

   3. Нажмите на кнопку Сохранить.
7. Выполните одно из следующих действий:
   • Если требуется использовать роль для пользователей программы, установите переключатель Состояние в положение Активна.
   • Если требуется выключить использование роли для пользователей программы, установить переключатель Состояние в положение Не активна.

     Если роль не активна, то функции программы, связанные с правами роли, недоступны пользователю, которому назначена эта роль.

8. Нажмите на кнопку Сохранить.

[Topic 251534]

Изменение роли

Управление ролями доступно системным администраторам.

Чтобы изменить роль:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Роли.
3. Установите флажок рядом с ролью, которую вы хотите изменить.
4. Нажмите на кнопку Изменить.

   Справа отобразится панель Изменение роли.

5. Измените параметры роли. Описание параметров см. в инструкции по созданию роли.
6. Нажмите на кнопку Сохранить.

[Topic 251535]

Удаление роли

Управление ролями доступно системным администраторам.

При удалении пользовательской роли, которая назначена пользователям Kaspersky MLAD, у пользователей будут отозваны права доступа к функциям программы, связанные с этой ролью.

Вы не можете удалить роль системного администратора.

Чтобы удалить роль:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Роли.
3. Установите флажки рядом с названиями ролей, которые вы хотите удалить.
4. Нажмите на кнопку Удалить.
5. В открывшемся окне подтвердите удаление ролей.

[Topic 251536]

Просмотр прав доступа для роли

Управление ролями доступно системным администраторам.

В разделе Роли вы можете просмотреть список прав доступа к функциям программы для пользователей с определенной ролью.

Чтобы просмотреть права доступа для роли:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Роли.
3. Нажмите на кнопку Список прав рядом с ролью, для которой требуется просмотреть список прав.

   На странице откроется окно с информацией о правах доступа к функциям программы для выбранной роли.

[Topic 248044]

Управление уведомлениями об инцидентах

Вы можете создавать уведомления, которые Kaspersky MLAD будет отправлять пользователям об инцидентах, зарегистрированных в результате обработки данных телеметрии или работы ML-модели. Уведомления отправляются по адресам электронной почты, указанным в созданных уведомлениях. При необходимости вы можете изменять и удалять уведомления об инцидентах для пользователей Kaspersky MLAD.

Управление уведомлениями об инцидентах доступно системным администраторам.

Предварительно требуется настроить и запустить службу Mail Notifier.

Все созданные уведомления об инцидентах и информация о них отображается в разделе Уведомления в меню администратора. Если требуется, вы можете изменять количество уведомлений, отображаемых на одной странице.

Раздел Уведомления

[Topic 248045]

Создание уведомления об инцидентах

Управление уведомлениями об инцидентах доступно системным администраторам.

Вы можете создавать уведомления об инцидентах, зарегистрированных при обработке данных телеметрии и/или в результате работы ML-модели.

Чтобы создать уведомление пользователя об инцидентах:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Уведомления.
3. На открывшейся странице нажмите на кнопку Создать.

   Откроется окно Создание уведомления.

4. В поле Название введите название уведомления.
5. Для включения отправки уведомлений установите переключатель Состояние в положение Активировано.
6. В поле Язык уведомления выберите язык, на котором будут приходить уведомления об инцидентах.

   По умолчанию для уведомлений об инцидентах используется текущий язык локализации веб-интерфейса Kaspersky MLAD. Доступны английский и русский языки.

7. В раскрывающемся списке Пользовательские адреса электронной почты выберите адреса электронной почты пользователей, созданных в программе, которым требуется отправлять уведомления.
8. В поле Дополнительные адреса электронной почты укажите через точку с запятой дополнительные адреса электронной почты, на которые вы хотите отправлять уведомления об инцидентах.
9. Для отправки уведомлений об инцидентах, зарегистрированных ML-моделями, выполните следующие действия:
   1. Если вы хотите настроить отправку уведомлений об инцидентах, зарегистрированных предиктивными элементами ML-моделей, установите флажок Предиктивные элементы.
   2. Если вы хотите настроить отправку уведомлений об инцидентах, зарегистрированных диагностическими правилами ML-моделей, установите флажок Правила.
   3. Если вы хотите настроить отправку уведомлений об инцидентах, зарегистрированных эллиптическими конвертами ML-моделей, установите флажок Эллиптические конверты.
   4. Выберите одну или несколько ML-моделей, по которым требуется отправлять уведомления.

      Для выбора всех ML-моделей в составе актива установите флажок рядом с именем нужного актива.

10. Для включения отправки уведомлений об инцидентах, зарегистрированных только опубликованными ML-моделями, установите переключатель Отправлять уведомления об инцидентах только для опубликованных моделей в положение Активировано.
11. Для отправки уведомлений об инцидентах по тегам, выполните следующие действия:
    1. Если вы хотите настроить отправку уведомлений о достижении тегом верхнего или нижнего порога блокировки, установите флажок Limit Detector.
    2. Если вы хотите настроить отправку уведомлений о прекращении или прерывании входного потока данных определенного тега, об обнаружении наблюдений, поступивших слишком рано или поздно, установите флажок Stream Processor.
    3. Выберите один или несколько тегов, по которым требуется отправлять уведомления.

       Для выбора всех тегов в составе актива установите флажок рядом с именем нужного актива.

12. Нажмите на кнопку Сохранить.

Информация о новом уведомлении отобразится в таблице. Если требуется, вы можете изменять или удалять уведомления.

Для каждого инцидента, зарегистрированного по выбранным ML-моделям и/или тегам, будет отправляться отдельное уведомление на указанные адреса электронной почты.

[Topic 248046]

Изменение уведомления об инцидентах

Управление уведомлениями об инцидентах доступно системным администраторам.

Чтобы изменить уведомление об инцидентах:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Уведомления.
3. Нажмите на кнопку рядом с уведомлением, которое вы хотите изменить.
4. Если требуется, измените параметры уведомления об инцидентах. Описание параметров см. в инструкции по созданию уведомления об инцидентах.
5. Нажмите на кнопку Сохранить для сохранения изменений.

Для каждого инцидента, зарегистрированного по выбранным ML-моделям и/или тегам, будет отправляться отдельное уведомление на указанные адреса электронной почты.

Измененная информация об уведомлении отобразится в таблице. Если требуется, вы можете удалять уведомления.

[Topic 248048]

Удаление уведомления об инцидентах

Управление уведомлениями об инцидентах доступно системным администраторам.

Чтобы удалить уведомление об инцидентах:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Уведомления.
3. Нажмите на кнопку рядом с уведомлением, которые вы хотите удалить.
4. В открывшемся окне подтвердите удаление уведомления.

Информация об уведомлении будет удалена из таблицы.

Kaspersky MLAD позволяет временно выключить отправку уведомлений вместо удаления их конфигураций. Информация об уведомлениях сохраняется в разделе Уведомления. Вы можете включить отправку уведомлений в любое время. Включить или выключить отправку уведомлений вы можете при изменении соответствующего уведомления об инцидентах.

[Topic 247995]

Настройка параметров Kaspersky MLAD

Этот раздел содержит инструкции по настройке параметров служб и коннекторов Kaspersky MLAD, а также по настройке параметров безопасности, уровней ведения журналов служб программы, параметров отображения меню программы и по управлению типовыми статусами и причинами инцидентов.

[Topic 247996]

Настройка основных параметров Kaspersky MLAD

Kaspersky MLAD позволяет указать название объекта мониторинга, веб-адрес и IP-адрес для подключения пользователей к веб-интерфейсу программы, а также периодичность получения новых данных от объекта мониторинга. Название объекта мониторинга будет отображаться в правом верхнем углу каждого раздела веб-интерфейса Kaspersky MLAD.

Работы по настройке основных параметров Kaspersky MLAD могут выполнять системные администраторы.

Чтобы настроить основные параметры Kaspersky MLAD:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Основные.

   Справа отобразится список параметров.

3. В поле Имя объекта мониторинга укажите имя объекта мониторинга.
4. В поле URL-адрес для уведомлений об инцидентах укажите URL-адрес для формирования ссылки на инциденты в уведомлениях об инцидентах, отправляемых по электронной почте.

   Если задан параметр IP-адрес для уведомлений об инцидентах, то для формирования ссылки используется заданный IP-адрес.

5. В поле IP-адрес для уведомлений об инцидентах укажите IP-адрес для формирования ссылки на инциденты в уведомлениях об инцидентах, отправляемых по электронной почте.
6. В поле Интервал получения данных из службы Message Broker (мс) укажите интервал обновления данных телеметрии в веб-интерфейсе программы.

   Чем больше указанное значение параметра, тем реже происходит обновление данных. По умолчанию этот параметр имеет значение 500.

7. В поле Интервал получения статистических данных об инцидентах из базы данных (мс) укажите интервал обновления в веб-интерфейсе программы данных о зарегистрированных программой инцидентах.

   По умолчанию этот параметр имеет значение 5000.

8. В раскрывающемся списке Часовой пояс объекта мониторинга выберите нужный часовой пояс компьютера, на котором установлен Kaspersky MLAD.

   Данные на графиках в разделах программы отображаются в выбранном часовом поясе.

9. Нажмите на кнопку Сохранить.

[Topic 247997]

Настройка параметров безопасности Kaspersky MLAD

Kaspersky MLAD позволяет указать условия временной блокировки учетных записей пользователей, период неактивности пользователя в соответствии с политикой безопасности на предприятии, а также параметры хранения журналов событий информационной безопасности (далее также "события ИБ") в базе данных Kaspersky MLAD. Запись журналов событий информационной безопасности в базу данных ведется автоматически. Если требуется, вы можете указать параметры внешней системы, в которую требуется отправлять журналы событий ИБ.

Работы по настройке параметров безопасности Kaspersky MLAD могут выполнять системные администраторы.

Чтобы настроить основные параметры Kaspersky MLAD:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Безопасность.

   Справа отобразится список параметров.

3. В блоке параметров Параметры авторизации выполните следующие действия:
   1. В поле Количество попыток авторизации укажите количество неудачных попыток авторизации, при достижении которого Kaspersky MLAD временно заблокирует учетную запись пользователя.

      По умолчанию этот параметр имеет значение 3.

   2. В поле Период блокировки пользователя (сек.) укажите время в секундах, в течение которого учетная запись пользователя будет заблокирована после достижения заданного количества неудачных попыток авторизации.

      По умолчанию этот параметр имеет значение 120.

   3. В поле Период неактивности пользователя (мин) укажите допустимую продолжительность неактивной пользовательской сессии в минутах.

      При достижении заданного периода Kaspersky MLAD автоматически завершает сессию неактивного пользователя. По умолчанию этот параметр имеет значение 1440.

   4. Если требуется запретить пользователям пропускать смену пароля при первом подключении к веб-интерфейсу программы, включите переключатель Требовать обязательную смену пароля при первом подключении.

      По умолчанию этот переключатель выключен.

4. В блоке параметров Политика паролей выполните следующие действия:
   1. В поле Количество паролей пользователя, хранящихся в истории укажите количество последних паролей пользователя, которые хранятся в программе.

      Вы можете указать значение начиная с 1. По умолчанию этот параметр имеет значение 5.

      При изменении пароля пользователя новый пароль не должен соответствовать паролям, хранящимся в Kaspersky MLAD. Программа хранит пароли в зашифрованном виде.

   2. В поле Срок действия пароля (сут) укажите количество дней, в течение которых пользователь может использовать свой пароль для подключения к программе без его изменения.

      По умолчанию этот параметр имеет значение 180.

   3. В поле Минимальная длина пароля укажите минимальное количество символов, которое должны содержать пароли пользователей.

      Вы можете указать значение в диапазоне от 8 до 128. По умолчанию этот параметр имеет значение 8.

   4. Если в соответствии с политикой безопасности пароли пользователей должны содержать прописные буквы латинского алфавита, включите переключатель Требовать использование прописных букв латинского алфавита (A-Z).

      По умолчанию этот переключатель включен.

   5. Если в соответствии с политикой безопасности пароли пользователей должны содержать строчные буквы латинского алфавита, включите переключатель Требовать использование строчных букв латинского алфавита (a-z).

      По умолчанию этот переключатель включен.

   6. Если в соответствии с политикой безопасности пароли пользователей должны содержать цифры, включите переключатель Требовать использование цифр (0-9).

      По умолчанию этот переключатель включен.

   7. Если в соответствии с политикой безопасности пароли пользователей должны содержать специальные символы, включите переключатель Требовать использование специальных символов (_!@#$%^&*).

      По умолчанию этот переключатель включен.

5. В блоке параметров Параметры хранения журналов событий информационной безопасности выполните следующие действия:
   1. В поле Объем журналов событий информационной безопасности (МБ) задайте ограничение занимаемого объема в мегабайтах для хранения журналов событий ИБ в базе данных.

      При незаполненном поле Kaspersky MLAD хранит все журналы событий ИБ в течение срока, заданного в параметре Время хранения журналов событий информационной безопасности (сут). По умолчанию для этого параметра значение не установлено.

      При превышении заданного объема журналов событий ИБ в базе данных Kaspersky MLAD удаляет наиболее ранние записи.

   2. В поле Время хранения журналов событий информационной безопасности (сут) укажите количество дней для хранения журналов событий ИБ в базе данных.

      По умолчанию этот параметр имеет значение 100.

6. Нажмите на кнопку Сохранить.

[Topic 247998]

Настройка службы Anomaly Detector

Вы можете настроить процесс обнаружения аномалий с учетом особенностей вашего объекта мониторинга, включив или выключив обнаружение аномалий определенного типа в параметрах службы Anomaly Detector.

Работы по настройке службы Anomaly Detector могут выполнять системные администраторы.

Чтобы настроить параметры службы Anomaly Detector:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Anomaly Detector.

   Справа отобразится список параметров.

3. С помощью переключателя Использовать детектор Limit Detector включите или выключите использование детектора Limit Detector.

   Детектор Limit Detector регистрирует инциденты при обнаружении превышений верхнего или нижнего порогов блокировки, заданных для тега.

4. С помощью переключателя Использовать детектор Forecaster включите или выключите обнаружение аномалий предиктивными элементами ML-модели.

   Предиктивные элементы ML-модели регистрируют инциденты при обнаружении расхождений между наблюдаемыми и прогнозируемыми значениями тегов.

5. С помощью переключателя Использовать детектор XGBoost включите или выключите использование детектора XGBoost.
6. С помощью переключателя Использовать детектор Rule Detector включите или выключите обнаружение аномалий элементами ML-модели на основе диагностических правил.

   Диагностические правила регистрируют инциденты при достижении значения, полученного в результате выполнения диагностического правила, установленного порога.

7. С помощью переключателя Пропускать разрывы в данных включите или выключите функцию пропуска разрывов в поступающем потоке данных.

   Если переключатель включен, при инференсе ML-модели ее элементы не формируют артефакты, когда по тегам элемента ML-модели не поступают данные в течение времени, большего чем период РИВС, заданный в параметре Шаг сетки (сек.) этого элемента.

8. В поле Максимальное количество запрашиваемых записей из службы Message Broker введите количество записей, которое требуется запрашивать от службы Message Broker для последующей обработки в Anomaly Detector.

   Чем больше заданное значение, тем реже служба Anomaly Detector запрашивает записи у службы Message Broker. Значение зависит от количества данных телеметрии, которые поступают в Kaspersky MLAD в реальном времени.

9. В поле Количество сообщений, отправляемых в одном блоке в службу Message Broker введите количество инцидентов, которое требуется отправлять в службу Message Broker за один раз.
10. Нажмите на кнопку Сохранить.

[Topic 247999]

Настройка службы Keeper

Kaspersky MLAD использует службу Keeper для маршрутизации данных телеметрии, которые подлежат сохранению в базе данных. Вы можете настроить параметры, определяющие скорость получения данных от коннекторов и внешних источников данных, а также объем данных, подлежащих сохранению в базе Kaspersky MLAD.

Работы по настройке параметров маршрутизации данных Kaspersky MLAD могут выполнять системные администраторы.

Чтобы настроить параметры службы Keeper:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Keeper.

   Справа отобразится список параметров.

3. Выполните одно из следующих действий:
   • Если требуется сохранять в базе данных значения как известных, так и неизвестных программе тегов, поступающих от внешних источников, включите переключатель Сохранять значения всех тегов.
   • Если требуется сохранять значения только известных программе тегов, выключите переключатель Сохранять значения всех тегов.
4. В поле Время ожидания получения значений тегов (мс) введите максимальное время ожидания в миллисекундах для получения значений тегов.

   Чем больше заданное значение, тем реже служба Keeper получает значения тегов и записывает их в базу данных. Рекомендуется указать значение, соответствующее частоте получения данных телеметрии от объекта мониторинга.

5. В поле Время ожидания получения инцидентов (мс) введите максимальное время ожидания в миллисекундах для получения инцидентов.

   Чем больше заданное значение, тем реже служба Keeper получает сведения об инцидентах и записывает их в базу данных. Рекомендуется указать значение, соответствующее частоте регистрации инцидентов.

6. В поле Время ожидания получения метрик (мс) введите максимальное время ожидания в миллисекундах для получения метрик.

   Чем больше заданное значение, тем реже служба Keeper получает метрики (количество полученных наблюдений по тегам, количество событий и количество сформированных артефактов) и записывает их в базу данных. Рекомендуется указать значение, соответствующее частоте получения метрик от коннектора CEF Connector.

7. Нажмите на кнопку Сохранить.

[Topic 248000]

Настройка службы Mail Notifier

Kaspersky MLAD использует службу Mail Notifier для уведомления пользователей о регистрации программой инцидентов.

Работы по настройке службы Mail Notifier могут выполнять системные администраторы.

Настройка службы Mail Notifier не является обязательной и необходима, если вы хотите получать по электронной почте уведомления о регистрации инцидентов. Предварительно в сети объекта мониторинга требуется настроить SMTP-сервер.

Чтобы настроить службу Mail Notifier:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Mail Notifier.

   Справа отобразится список параметров.

3. В поле Адрес электронной почты отправителя уведомлений укажите адрес электронной почты, с которой будут приходить уведомления об инцидентах.
4. В поле Адрес SMTP-сервера укажите IP-адрес SMTP-сервера.
5. В поле Порт SMTP-сервера укажите порт SMTP-сервера.
6. В поле Имя пользователя для SMTP-сервера укажите имя пользователя для подключения к SMTP-серверу.
7. В поле Пароль для SMTP-сервера укажите пароль для подключения к SMTP-серверу.
8. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения.

   По умолчанию использование защищенного TLS-соединения выключено.

   Во избежание компрометации отправляемых данных рекомендуется включить использование защищенного TLS-соединения. Рекомендуется использовать защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

9. Если вы используете защищенное TLS-соединение, выполните следующие действия:
   1. Загрузите сертификат SMTP-сервера с помощью кнопки Обзор под параметром Сертификат SMTP-сервера.
   2. Загрузите ключ к файлу сертификата SMTP-сервера с помощью кнопки Обзор под параметром Ключ к сертификату SMTP-сервера.

   Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.
   Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку в соответствующем поле.

10. Нажмите на кнопку Сохранить.

[Topic 248001]

Настройка службы Similar Anomaly

Kaspersky MLAD использует службу Similar Anomaly для выявления схожих инцидентов и объединения их в группы. В группах вы можете просматривать похожие инциденты, которые были зарегистрированы в разное время.

Работы по настройке службы Similar Anomaly могут выполнять системные администраторы.

Чтобы настроить параметры службы Similar Anomaly:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Similar Anomaly.

   Справа отобразится список параметров службы.

3. В поле Минимальное количество инцидентов для группы введите минимальное количество похожих инцидентов для формирования группы.
4. В поле Максимальное количество инцидентов для группы введите максимальное количество инцидентов, которое может входить в одну группу.

   Чем больше указанное значение, тем большее количество инцидентов может быть отнесено программой к одной группе.

5. В поле Максимальное расстояние между схожими инцидентами введите максимальное расстояние, на которое могут отставать друг от друга схожие инциденты.

   Вы можете указать значение в диапазоне от 0 до 1.

6. Нажмите на кнопку Сохранить.

[Topic 248002]

Настройка службы Stream Processor

Служба Stream Processor собирает данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени (входной поток), и приводит их к РИВС (выходной поток). На основе накопленных данных служба Stream Processor определяет значения тегов в выходном потоке данных. После преобразования данных в выходной поток служба Stream Processor передает данные на обработку в ML-модель.

При преобразовании поступающих данных телеметрии служба Stream Processor учитывает возможные потери данных (например, в случае временного отключения сети объекта мониторинга) и обрабатывает наблюдения, поступившие в Kaspersky MLAD слишком рано или поздно. В таких случаях служба Stream Processor формирует инциденты и/или передает значения тегов по умолчанию в выходной поток данных.

Служба Stream Processor также может вычислять производные теги на основе поступающих данных телеметрии (например, для вычисления скользящего среднего или среднего значения группы тегов).

Конфигурационный файл службы Stream Processor для загрузки поставляется специалистами "Лаборатории Касперского" или сертифицированным интегратором.

Работы по настройке службы Stream Processor могут выполнять системные администраторы.

Чтобы настроить параметры службы Stream Processor:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Stream Processor.
3. В поле Период равноинтервальной сетки (сек.) укажите период в секундах, с которым служба Stream Processor будет обрабатывать поступающие данные телеметрии.

4. С помощью кнопки Обзор под параметром Конфигурационный файл добавьте файл, который содержит параметры конфигурации для службы Stream Processor.

   Если требуется удалить файл конфигурации для службы Stream Processor, нажмите на кнопку . Если требуется сохранить файл конфигурации на компьютере, нажмите на кнопку .

5. Нажмите на кнопку Сохранить.

[Topic 248003]

Настройка коннектора HTTP Connector

Kaspersky MLAD использует коннектор HTTP Connector для получения данных из CSV-файлов путем загрузки данных методом POST. Вы можете загружать данные через порт 4999 по протоколу HTTP или HTTPS, указав нужный протокол в запросе.

В Kaspersky MLAD загрузка файлов сертификатов и файла ключа возможна только в формате DER или PEM. Если требуется, вы можете изменить формат файлов сертификатов и ключа к сертификату, используя утилиту OpenSSL. Например, для изменения формата файла сертификата с P12 на PEM в консоли выполните команду:

openssl pkcs12 -in <имя сертификата>.p12 -clcerts -nokeys -out <имя сертификата>.pem

Работы по настройке коннектора HTTP Connector могут выполнять системные администраторы.

Чтобы настроить работу коннектора HTTP Connector:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → HTTP Connector.

   Справа отобразится список параметров.

3. В поле Размер записываемого блока (количество тегов) укажите количество значений тегов, которое единовременно записывается в службу Message Broker.

   Указанное значение влияет на количество итераций для записи значений тегов из CSV-файла в службу Message Broker в зависимости от общего количества наблюдений по тегам, полученным с помощью коннектора HTTP Connector.

4. В поле Максимальный размер загружаемого файла (MБ) укажите максимальный размер файла в мегабайтах, передаваемого в коннектор HTTP Connector.

   При попытке загрузить CSV-файл большего размера файл не будет передан в коннектор HTTP Connector.

5. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения.

   По умолчанию использование защищенного TLS-соединения включено.

   Во избежание компрометации получаемых и/или отправляемых данных рекомендуется оставить включенным использование защищенного TLS-соединения.

6. Если вы используете защищенное TLS-соединение, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

   По умолчанию использование рекомендуемых параметров TLS-соединения включено.

   При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

7. Если вы используете защищенное TLS-соединение, выполните следующие действия:
   1. Добавьте сертификат HTTPS-сервера и ключ к сертификату с помощью кнопки Обзор под параметрами Сертификат HTTPS-сервера и Закрытый ключ к сертификату HTTPS-сервера.

      Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.

   2. Если используются сертификаты клиента, то добавьте корневой сертификат для проверки подписи сертификата клиента с помощью кнопки Обзор под параметром Сертификат CA для проверки подписи сертификата клиента.

   Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку в соответствующем поле.

8. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

   По умолчанию конвертация полученных значений тегов выключена.

9. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные из CSV-файлов с помощью коннектора HTTP Connector.

Пример отправки CSV-файла в коннектор HTTP Connector через curl по протоколу HTTP методом POST на порт 4999 сервера Kaspersky MLAD:

Коннектор HTTP Connector принимает CSV-файлы со следующими полями:

timestamp;tag_name;value

где:

• timestamp – временная метка в формате %Y-%m-%dT%H:%M:%S.
• tag_name – имя тега.
• value – значение тега.

  Если значение тега содержит дробную часть, используйте точку при отделении целой и дробной частей.

[Topic 248004]

Настройка коннектора MQTT Connector

Kaspersky MLAD использует коннектор MQTT Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).

Работы по настройке коннектора MQTT Connector могут выполнять системные администраторы.

Чтобы настроить работу коннектора MQTT Connector:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → MQTT Connector.

   Справа отобразится список параметров.

3. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения.

   По умолчанию использование защищенного TLS-соединения включено.

   Во избежание компрометации получаемых и/или отправляемых данных рекомендуется оставить использование защищенного TLS-соединения включенным.

4. Если вы используете защищенное TLS-соединение, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

   По умолчанию использование рекомендуемых параметров TLS-соединения включено.

   При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

5. В поле MQTT-брокер (адрес:порт) укажите имя хоста и порт внешнего MQTT-брокера, с которым будет взаимодействовать коннектор MQTT Connector.

   По умолчанию этот параметр имеет значение mqtt_broker:1883.

6. В поле Имя пользователя для MQTT-соединения укажите имя пользователя для подключения к MQTT-брокеру.
7. В поле Пароль для MQTT-соединения укажите пароль пользователя для подключения к MQTT-брокеру.
8. Если вы используете защищенное TLS-соединение и на MQTT-брокере установлен самоподписанный сертификат, добавьте корневой сертификат для MQTT-брокера с помощью кнопки Обзор под параметром Сертификат CA.

   Если требуется удалить файл сертификата, нажмите на кнопку . Если требуется сохранить файл сертификата на компьютере, нажмите на кнопку .

9. Если вы используете защищенное TLS-соединение и на MQTT-брокере включена аутентификация клиента, выполните следующие действия:
   1. Добавьте сертификат клиента с помощью кнопки Обзор под параметром Сертификат клиента.
   2. Добавьте ключ к сертификату клиента с помощью кнопки Обзор под параметром Ключ к сертификату клиента.

   Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.
   Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку в соответствующем поле.

10. В поле Список подписок MQTT для получения тегов введите название списка подписок MQTT, от которых коннектор MQTT Connector будет получать значения тегов.

    По умолчанию этот параметр имеет значение tags.

11. В поле Топик MQTT для публикации сообщений укажите название топика, в котором коннектор MQTT Connector будет публиковать сообщения о регистрации инцидента.

    Если значение этого параметра не установлено, то отправка сообщений не производится.

    По умолчанию для этого параметра значение не установлено.

12. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться сообщения об инцидентах.

    Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

    По умолчанию этот параметр имеет значение JSONBatch.

    Если вы затрудняетесь с выбором формата данных, обратитесь к специалистам "Лаборатории Касперского" или сертифицированному интегратору.

    Если вам не подходит ни один из форматов данных и сообщений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

13. Если вы выбрали формат данных Topic, то добавьте конфигурационный файл, содержащий параметры коннектора для этого формата данных, с помощью кнопки Обзор под параметром Конфигурационный файл коннектора.

    Если требуется удалить файл сертификата, нажмите на кнопку . Если требуется сохранить файл сертификата на компьютере, нажмите на кнопку .

14. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

    По умолчанию конвертация полученных значений тегов выключена.

15. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу MQTT.

[Topic 248005]

Настройка коннектора AMQP Connector

Kaspersky MLAD использует коннектор AMQP Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).

Работы по настройке коннектора AMQP Connector могут выполнять системные администраторы.

Чтобы настроить работу коннектора AMQP Connector:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → AMQP Connector.

   Справа отобразится список параметров.

3. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения.

   По умолчанию использование защищенного TLS-соединения включено.

   Во избежание компрометации получаемых и/или отправляемых данных рекомендуется оставить использование защищенного TLS-соединения включенным.

4. Если вы используете защищенное TLS-соединение, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

   По умолчанию использование рекомендуемых параметров TLS-соединения включено.

   При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

5. В поле AMQP-брокер (адрес:порт) укажите имя хоста и порт внешнего AMQP-брокера, с которым будет взаимодействовать коннектор AMQP Connector.

   По умолчанию этот параметр имеет значение rabbitmq:5672.

6. В поле Имя пользователя для AMQP-соединения укажите имя пользователя для подключения к AMQP-брокеру.
7. В поле Пароль для AMQP-соединения укажите пароль пользователя для подключения к AMQP-брокеру.
8. Если вы используете защищенное TLS-соединение и на AMQP-брокере установлен самоподписанный сертификат, добавьте корневой сертификат для AMQP-брокера с помощью кнопки Обзор под параметром Сертификат CA.

   Загрузка сертификата возможна только в виде файла в формате DER или PEM.

   Если требуется удалить файл сертификата, нажмите на кнопку . Если требуется сохранить файл сертификата на компьютере, нажмите на кнопку .

9. Если вы используете защищенное TLS-соединение и на AMQP-брокере включена аутентификация клиента, выполните следующие действия:
   1. Добавьте сертификат клиента с помощью кнопки Обзор под параметром Сертификат клиента.
   2. Добавьте ключ к сертификату клиента с помощью кнопки Обзор под параметром Ключ к сертификату клиента.

   Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.
   Загрузка сертификата и ключа к сертификату возможна только в виде файла в формате DER или PEM.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку в соответствующем поле.

10. В поле Виртуальный узел AMQP укажите виртуальный узел для установки соединения между коннектором AMQP Connector и внешним AMQP-брокером.

    По умолчанию этот параметр имеет значение /.

11. В поле Имя точки обмена (exchange) AMQP для получения значений тегов укажите имя точки обмена для получения значений тегов от внешнего AMQP-брокера.

    Если значение для этого параметра не установлено, то получение значений тегов через коннектор AMQP Connector не происходит.

    По умолчанию для этого параметра значение не установлено.

12. В поле Список подписок AMQP для получения значений тегов укажите название списка подписок, от которых коннектор AMQP Connector будет получать значения тегов.

    По умолчанию этот параметр имеет значение #.

13. Если требуется, в поле Очередь AMQP для получения значений тегов укажите название очереди для коннектора AMQP Connector.
14. В поле Имя точки обмена (exchange) AMQP для публикации сообщений укажите имя точки обмена для отправки сообщений о регистрации инцидентов.

    Если значение для этого параметра не установлено, то отправка сообщений не происходит. Вы можете указать то же имя, которое указали в пункте 10 этой инструкции.

    По умолчанию для этого параметра значение не установлено.

15. В поле Топик AMQP для публикации сообщений укажите название топика, в котором коннектор AMQP Connector будет публиковать сообщения о регистрации инцидента.

    По умолчанию этот параметр имеет значение alert.

16. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться сообщения об инцидентах.

    Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

    По умолчанию этот параметр имеет значение JSONBatch.

    Если вы затрудняетесь с выбором формата данных, обратитесь к специалистам "Лаборатории Касперского" или сертифицированному интегратору.

    Если вам не подходит ни один из форматов данных и сообщений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

17. Если вы выбрали формат данных Topic, то добавьте конфигурационный файл, содержащий параметры коннектора для этого формата данных, с помощью кнопки Обзор под параметром Конфигурационный файл коннектора.

    Если требуется удалить конфигурационный файл коннектора, нажмите на кнопку . Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на кнопку .

18. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

    По умолчанию конвертация полученных значений тегов выключена.

19. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу AMQP.

[Topic 248006]

Настройка коннектора OPC UA Connector

Kaspersky MLAD использует коннектор OPC UA Connector для получения данных по протоколу, который описан спецификацией OPC Unified Architecture (унифицированная архитектура OPC).

Работы по настройке коннектора OPC UA Connector могут выполнять системные администраторы.

Чтобы настроить работу коннектора OPC UA Connector:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → OPC UA Connector.

   Справа отобразится список параметров.

3. В поле Точка подключения укажите адрес подключения.

   Например, opc.tcp://10.0.0.0:8001/freeopcua/server/.

4. В поле Время ожидания подключения к OPC UA-серверу (сек.) укажите время в секундах, в течение которого коннектор OPC UA Connector будет пытаться установить соединение с OPC UA-сервером.
5. С помощью кнопки Обзор под параметром Конфигурационный файл добавьте файл, содержащий параметры коннектора OPC UA Connector.

   Если требуется удалить конфигурационный файл коннектора, нажмите на кнопку . Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на кнопку .

6. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

   По умолчанию конвертация полученных значений тегов выключена.

7. В раскрывающемся списке Политика безопасности соединения выберите алгоритм шифрования сообщений.

   Для выбора доступны следующие варианты: Отсутствует, Basic256, Basic128Rsa15, Basic256Sha256, Aes128Sha256RsaOaep.

8. В раскрывающемся списке Режим безопасности сообщений выберите одно из следующий значений:
   1. Если требуется не подписывать и не шифровать сообщения, выберите Отсутствует.
   2. Если требуется подписывать сообщения, выберите Подписывать сообщения.
   3. Если требуется подписывать и шифрования сообщения, выберите Подписывать и шифровать сообщения.
9. В поле Имя пользователя укажите имя пользователя для подключения к OPC UA-серверу.
10. В поле Пароль укажите пароль для подключения к OPC UA-серверу.
11. Если требуется использовать защищенное соединение и на OPC UA-сервере включена аутентификация клиента, выполните следующие действия:
    1. Добавьте сертификат клиентского приложения с помощью кнопки Обзор под параметром Сертификат клиента.
    2. Добавьте закрытый ключ к сертификату клиентского приложения с помощью кнопки Обзор под параметром Закрытый ключ клиента.
    3. В поле Пароль для закрытого ключа клиента укажите пароль, который будет использован для снятия блокировки закрытого ключа.

    Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.
    Загрузка сертификата и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку в соответствующем поле.

12. Если требуется использовать защищенное соединение и на OPC UA-сервере установлен самоподписанный сертификат, добавьте корневой сертификат OPC UA-сервера с помощью кнопки Обзор под параметром Сертификат CA OPC UA-сервера.

    Если требуется удалить файл сертификата, нажмите на кнопку . Если требуется сохранить файл сертификата на компьютере, нажмите на кнопку .

13. В поле Интервал исторических данных (сек.) укажите время в секундах, за которое коннектор OPC UA Connector запрашивает исторические данные, хранящиеся на OPC UA-сервере.

    Укажите значение 0, если не требуется загружать исторические данные. Укажите значение -1, если требуется загрузить все исторические данные.

    Если заданы параметры Начало периода исторических данных и Окончание периода исторических данных, исторические данные загружаются согласно заданному периоду.

14. В поле Начало периода исторических данных выберите дату и время начала периода, за который требуется загрузить данные с OPC UA-сервера.
15. В поле Окончание периода исторических данных выберите дату и время окончания периода, за который требуется загрузить данные с OPC UA-сервера.
16. В поле Размер блока исторических данных, отправляемых OPC UA-сервером (параметр numvalues) укажите количество значений тегов, которое будет передаваться в блоке исторических данных коннектору OPC UA Connector от OPC UA-сервера.

    Заданное значение влияет на количество итераций для передачи исторических данных в коннектор OPC UA Connector в зависимости от общего количества наблюдений по тегам, полученным от OPC UA-сервера.

17. В поле Размер блока исторических данных, отправляемых в службу Message Broker укажите количество тегов, которое будет передаваться в блоке исторических данных от коннектора OPC UA Connector в службу Message Broker.

    Заданное значение влияет на количество итераций для передачи исторических данных в службу Message Broker в зависимости от общего количества наблюдений по тегам, полученным с помощью коннектора OPC UA Connector.

18. Нажмите на кнопку Сохранить.

[Topic 248007]

Настройка коннектора KICS Connector

Kaspersky MLAD использует коннектор KICS Connector для получения данных от Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше и отправки обратно сообщений о регистрации инцидентов.

Предварительно в Kaspersky Industrial CyberSecurity for Networks требуется создать и добавить коннектор для интеграции с Kaspersky MLAD. Подробную информацию о создании и добавлении коннектора вы можете получить в разделе Добавление коннектора в справке Kaspersky Industrial CyberSecurity for Networks.

Работы по интеграции с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше могут выполнять системные администраторы.

Чтобы настроить коннектор KICS Connector:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → KICS Connector.

   Справа отобразится список параметров.

3. С помощью кнопки Обзор под параметром Файл свертки для коннектора KICS Connector (zip) добавьте файл, содержащий параметры настройки взаимодействия Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks.

   Подробную информацию о создании файла свертки вы можете получить в справке Kaspersky Industrial CyberSecurity for Networks. Созданный файл свертки требуется сохранить на компьютере, на котором установлен Kaspersky MLAD.

   Если требуется удалить файл свертки, в поле Файл свертки для коннектора KICS Connector (zip) нажмите на кнопку . Если требуется сохранить файл свертки на компьютере, нажмите на кнопку .

4. В поле Пароль для коннектора KICS Connector введите пароль, который вы указали при добавлении коннектора в Kaspersky Industrial CyberSecurity for Networks.
5. С помощью переключателя Отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks включите или выключите отправку сообщений о регистрации инцидентов в Kaspersky Industrial CyberSecurity for Networks.
6. В поле Частота семплирования значений тегов (Гц) укажите частоту в герцах, с которой требуется получать значения тегов из Kaspersky Industrial CyberSecurity for Networks.

   Укажите в этом поле значение 0, если не требуется использовать семплирование.

7. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

   По умолчанию конвертация полученных значений тегов выключена.

8. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные из Kaspersky Industrial CyberSecurity for Networks и отправлять обратно сообщения о регистрации инцидентов.

[Topic 248008]

Настройка коннектора CEF Connector

Kaspersky MLAD использует коннектор CEF Connector для получения данных от внешних источников событий (промышленного интернета вещей, сетевых устройств и приложений) и отправки во внешнюю систему сообщений о регистрации инцидентов.

Вы также можете использовать коннектор CEF Connector для отправки журналов событий информационной безопасности Kaspersky MLAD во внешнюю систему. Запись журналов событий ИБ в базу данных Kaspersky MLAD ведется автоматически.

Для получения событий от внешних источников с помощью коннектора CEF Connector требуется настроить службу Event Processor.
Перед настройкой параметров коннектора CEF Connector в веб-интерфейсе Kaspersky MLAD для получения событий в файле .env требуется указать IP-адрес и номер порта, по которому будет осуществляться подключение внешнего источника событий к коннектору CEF Connector. Изменение параметров конфигурационного файла выполняет только квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Работы по настройке коннектора CEF Connector могут выполнять системные администраторы.

Чтобы настроить коннектор CEF Connector:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → CEF Connector.

   Справа отобразится список параметров.

3. С помощью переключателя Получать события для службы Event Processor включите или выключите использование коннектора CEF Connector для получения событий из внешней системы.
4. С помощью переключателя Отправлять зарегистрированные инциденты в SIEM-систему включите или выключите отправку во внешнюю систему сообщений об инцидентах, зарегистрированных программой.
5. С помощью переключателя Отправлять зарегистрированные события в SIEM-систему включите или выключите отправку во внешнюю систему сообщений о событиях, зарегистрированных службой Event Processor.
6. В поле IP-адрес для отправки событий и инцидентов в SIEM-систему укажите IP-адрес для подключения внешней системы к коннектору CEF Connector и отправки событий, обработанных службой Event Processor, и инцидентов.
7. В поле Порт для отправки событий и инцидентов в SIEM-систему укажите номер порта для подключения внешней системы к коннектору CEF Connector и отправки событий, обработанных службой Event Processor, и инцидентов.
8. Если требуется отправлять журналы событий ИБ Kaspersky MLAD во внешнюю систему, включите переключатель Отправлять журналы событий информационной безопасности на syslog-сервер и выполните следующие действия:
   1. В раскрывающемся списке Транспортный протокол для отправки событий информационной безопасности на syslog-сервер выберите протокол, который требуется использовать для отправки журналов событий ИБ.

      Kaspersky MLAD поддерживает протоколы TCP и UDP для отправки журналов событий ИБ во внешнюю систему.

   2. В поле Адрес syslog-сервера для отправки событий информационной безопасности укажите IP-адрес или имя хоста внешней системы, в которую требуется отправлять журналы событий ИБ.
   3. В поле Порт syslog-сервера для отправки событий информационной безопасности укажите номер порта внешней системы, в которую требуется отправлять журналы событий ИБ.
9. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения при использовании Kaspersky MLAD в качестве клиента.

   По умолчанию использование защищенного TLS-соединения включено.

   Во избежание компрометации получаемых и/или отправляемых данных рекомендуется оставить включенным использование защищенного TLS-соединения.

10. Если вы включили использование защищенного TLS-соединения, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

    При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

11. Если требуется использовать защищенное TLS-соединение для серверной части коннектора CEF Connector, выполните следующие действия:
    1. Добавьте сертификат сервера и ключ к сертификату с помощью кнопки Обзор под параметрами Сертификат сервера и Закрытый ключ к сертификату сервера.

       Рекомендуется использовать сертификат с длиной ключа к сертификату не менее 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.

    2. Если используются сертификаты клиента, добавьте корневой сертификат для проверки подписи сертификата клиента с помощью кнопки Обзор под параметром Сертификат CA для проверки подписи сертификата клиента.

    Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку в соответствующем поле.

12. Если требуется использовать защищенное TLS-соединение для серверной части коннектора CEF Connector, при необходимости выполните следующие действия:
    1. Добавьте сертификат клиента и ключ к сертификату с помощью кнопки Обзор под параметрами Сертификат клиента и Закрытый ключ к сертификату клиента.

       Рекомендуется использовать сертификат с длиной ключа к сертификату не менее 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.

    2. Если используются сертификаты сервера, добавьте корневой сертификат для проверки подписи сертификата сервера с помощью кнопки Обзор под параметром Сертификат CA для проверки подписи сертификата сервера.

    Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку в соответствующем поле.

13. Нажмите на кнопку Сохранить.

[Topic 248009]

Настройка коннектора WebSocket Connector

Kaspersky MLAD использует коннектор WebSocket Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу WebSocket.

Работы по настройке коннектора WebSocket Connector могут выполнять системные администраторы. Описанная в этом разделе инструкция приведена для ознакомительных целей.

Чтобы настроить коннектор WebSocket Connector:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → WebSocket Connector.

   Справа отобразится список параметров.

3. В поле URL-адрес WebSocket-сервера укажите веб-адрес WebSocket-сервера, с которым будет взаимодействовать коннектор WebSocket Connector.

   Укажите веб-адрес в формате WebSocket-протокол://адрес:порт/.

4. Если требуется использовать защищенное соединение и на WebSocket-сервере установлен самоподписанный сертификат, добавьте корневой сертификат для WebSocket-сервера с помощью кнопки Обзор под параметром Сертификат CA.

   Если требуется удалить файл сертификата, нажмите на кнопку . Если требуется сохранить файл сертификата на компьютере, нажмите на кнопку .

5. Если требуется использовать защищенное соединение и на WebSocket-сервере включена аутентификация клиента, выполните следующие действия:
   1. Добавьте сертификат клиентского приложения WebSocket с помощью кнопки Обзор под параметром Сертификат клиента.
   2. Добавьте ключ к сертификату клиентского приложения WebSocket с помощью кнопки Обзор под параметром Ключ к сертификату клиента.

   Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.

   Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку в соответствующем поле.

6. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться сообщения об инцидентах.

   Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

   По умолчанию этот параметр имеет значение JSONBatch.

   Если вы затрудняетесь с выбором формата данных, обратитесь к специалистам "Лаборатории Касперского" или сертифицированному интегратору.

   Если вам не подходит ни один из форматов данных и сообщений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

7. Если вы выбрали формат данных Topic, то добавьте конфигурационный файл, содержащий параметры коннектора для этого формата данных, с помощью кнопки Обзор под параметром Конфигурационный файл коннектора.

   Если требуется удалить конфигурационный файл коннектора, нажмите на кнопку . Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на кнопку .

8. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

   По умолчанию конвертация полученных значений тегов выключена.

9. С помощью переключателя Отправлять инциденты включите или выключите отправку сообщений о зарегистрированных в Kaspersky MLAD инцидентах на WebSocket-сервер.
10. Если вы используете защищенное TLS-соединение, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

    По умолчанию использование рекомендуемых параметров TLS-соединения включено.

    При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

11. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу WebSocket.

[Topic 248010]

Настройка службы Event Processor

Kaspersky MLAD использует службу Event Processor для выявления паттернов и аномальных последовательностей событий и паттернов. Вы можете настроить параметры службы Event Processor.

В случае перезапуска Kaspersky MLAD повторно задавать параметры службы Event Processor не нужно. Kaspersky MLAD восстанавливает состояние службы Event Processor из базы данных или файла в битовом формате. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления может занимать несколько минут. До момента восстановления состояния службы Event Processor в разделе Процессор событий не будут выполняться запросы и обновляться данные, а также в это время не будут обрабатываться данные, поступающие от коннектора CEF Connector. Эти данные временно сохраняются в очереди сообщений системы и обрабатываются после восстановления состояния службы Event Processor.

Для работы службы Event Processor может потребоваться большой объем оперативной памяти на сервере, на котором установлен Kaspersky MLAD. Объем используемой оперативной памяти зависит от интенсивности потока событий и объема обрабатываемой истории событий. Также на объем используемой оперативной памяти влияет правильность настройки параметров службы Event Processor.

Работы по настройке службы Event Processor могут выполнять системные администраторы.

Чтобы настроить параметры службы Event Processor:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Event Processor.

   Справа отобразится список параметров службы.

3. В блоке Основной режим выполните следующие действия:
   1. С помощью кнопки Обзор под параметром Конфигурационный файл процессора событий добавьте файл, который содержит параметры конфигурации для службы Event Processor.

      Файл конфигурации создается квалифицированным техническим специалистом Заказчика, сотрудником "Лаборатории Касперского" или сертифицированным интегратором.

      Если требуется удалить файл конфигурации для службы Event Processor, нажмите на кнопку . Если требуется сохранить файл конфигурации на компьютере, нажмите на кнопку .

      Изменение файла конфигурации службы Event Processor приводит к полной потере данных службы.

   2. Если требуется обрабатывать инциденты, зарегистрированные службой Anomaly Detector, включите переключатель Обрабатывать инциденты как события.
   3. В поле Максимальное количество слоев сети укажите количество слоев нейросемантической сети, которое будет использоваться.

      По умолчанию количество слоев сети для событийных данных, имеющих в основе определенную структуру, составляет десять слоев. В большинстве случаев нейросемантической сети в основе процессора событий достаточно десяти слоев для иерархического представления данных. Для выявления протяженных по времени паттернов периодических процессов может потребоваться увеличение значения параметра Максимальное количество слоев сети.

   4. В поле Коэффициент, определяющий допустимую дисперсию длительности паттерна укажите коэффициент, с помощью которого будет определяться допустимая дисперсия интервалов между элементами в одном паттерне.

      Если фактическая величина дисперсии меньше либо равна указанной, то выявленные последовательности событий будут относиться к одному паттерну.

   5. В поле Интервал получения событий эпизода (сек.) укажите интервал времени в секундах, за который служба Event Processor формирует эпизод из поступающих на обработку событий.

      Если скорость получения событий составляет около 1000 событий в секунду, то рекомендуется указывать такое значение периода получения новых событий, чтобы за указанный период поступало количество событий, близкое к значению, которое указано в поле Размер эпизода в основном режиме (количество событий). Если скорость получения событий гораздо ниже, то период получения новых событий следует выставлять, исходя из баланса операционной актуальности обработки событий.

   6. В поле Размер эпизода в основном режиме (количество событий) укажите максимальное количество событий в эпизоде для последующей обработки службой Event Processor.

      Если скорость получения событий составляет около 1000 событий в секунду, то в этом поле рекомендуется указывать значение равное 4096.

   7. В раскрывающемся списке Способ сохранения состояния службы Event Processor выберите один из следующих способов сохранения состояния службы Event Processor:
      • Таблица базы данных – Kaspersky MLAD сохраняет результат обработки каждого эпизода в таблице базы данных.
      • Файл в битовом формате – Kaspersky MLAD сохраняет состояние службы Event Processor с частотой, заданной в поле Периодичность создания резервных копий компонента. Программа сохраняет состояние службы в файле, указанном в поле Файл, содержащий резервную копию состояния компонента.

        Сохранение состояния службы Event Processor в файл в битовом формате рекомендуется использовать для отладки и настройки параметров программы сотрудниками "Лаборатории Касперского" в процессе выполнения работ по внедрению Kaspersky MLAD.

      По умолчанию служба Event Processor сохраняет результаты обработки потока событий в таблице базы данных.

      Изменение способа сохранения состояния службы Event Processor приводит к полной потере данных службы.

   8. Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, в поле Периодичность создания резервных копий компонента укажите период (в днях, часах и минутах), через который будет выполняться резервное копирование службы Event Processor.
   9. Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, добавьте файл, который содержит резервную копию службы Event Processor. с помощью кнопки Обзор под параметром Файл, содержащий резервную копию состояния компонента.

      Файл будет использован, если понадобится восстановить состояние службы Event Processor. Восстановление состояния службы Event Processor выполняют специалисты "Лаборатории Касперского" в рамках расширенной технической поддержки.

      Если требуется удалить файл, содержащий резервную копию службы Event Processor, нажмите на кнопку . Если требуется сохранить файл, содержащий резервную копию службы, на компьютере, нажмите на кнопку .

4. В блоке Режим сна выполните следующие действия:
   1. В поле Размер эпизода в режиме сна (количество событий) укажите количество событий для формирования эпизода в режиме сна.

      Служба Event Processor формирует эпизоды на основе истории событий, поступивших на повторную обработку за интервал времени, заданный в поле Интервал истории событий для обработки в режиме сна.

   2. В поле Отправка оповещений при активации монитора в режиме сна выберите одно из следующих значений:
      • Отправлять оповещения об активации монитора любым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
      • Не отправлять оповещения об активациях монитора – Kaspersky MLAD не отправляет оповещений об активации монитора в режиме сна.
      • Отправлять оповещения об активации монитора новым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна новых паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
      • Отправлять оповещения об активации монитора ранее зарегистрированным паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна стабильных паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
   3. В поле Периодичность режима сна укажите, как часто (в днях) и в какое время (в формате UTC) служба Event Processor будет переходить в режим сна для повторной обработки событий.

      В качестве времени начала режима сна рекомендуется указать время, когда поток событий наименее интенсивен.

      Если заданное время сна не наступило в текущий день, процессор событий перейдет в режим сна в этот же день. Если время сна уже наступило в текущий день, служба Event Processor перейдет в режим сна в указанное время через заданное количество дней.

   4. В поле Продолжительность режима сна (ЧЧ:ММ) укажите интервал времени (в часах и минутах), в течении которого служба Event Processor будет обрабатывать события в режиме сна.
   5. В поле Интервал истории событий для обработки в режиме сна укажите интервал времени (в днях, часах и минутах), за который требуется передать проанализированные события на повторную обработку службой Event Processor в режиме сна.
5. Нажмите на кнопку Сохранить.

[Topic 248011]

Настройка статусов и причин инцидентов

Kaspersky MLAD позволяет указать причины для инцидентов, а также статусы для инцидентов и групп инцидентов.

Статус инцидента и группы инцидентов представляет собой отметку о статусе анализа инцидента, проводимого экспертом. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Для статусов Проблема закрыта и Игнорировать по умолчанию снят флажок Уведомлять об инциденте. Если при регистрации инцидентам автоматически присваивается один из этих статусов, то уведомления об этих инцидентах не будут отправлены по электронной почте, а точки-индикаторы инцидентов не будут отображены в разделах Мониторинг и История. Статус инцидента может быть присвоен автоматически в одном из следующих случаев:

• Если инцидент был автоматически отнесен к группе, для которой установлен статус.
• Если инцидент зарегистрирован элементом ML-модели, в параметрах которого задан статус инцидента по умолчанию.

Причина инцидента представляет собой отметку о причине возникновения инцидента, которую добавляет эксперт по результатам анализа инцидента.

Вы можете добавить причины и статусы инцидентов. Созданные причины и статусы инцидентов станут доступными для выбора в разделе Инциденты. Вы также можете изменять и удалять статусы и причины инцидентов.

Работы по настройке причин и статусов инцидентов могут выполнять системные администраторы.

Чтобы добавить статус инцидентов:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Инциденты.
3. В блоке Статусы инцидентов нажмите на кнопку Создать.

   Справа отобразится панель Создание элемента.

4. В поле Значение, русский язык укажите название статуса инцидента на русском языке.
5. В поле Значение, английский язык укажите название статуса инцидента на английском языке.
6. В поле Сортировка укажите порядковый номер, с которым статус инцидента будет отсортирован в раскрывающемся списке Статус инцидента в разделе Инциденты.

   Статусы инцидентов будут отсортированы по их названиям, если порядковые номера статусов инцидентов совпадают.

7. Если требуется отправлять уведомления о регистрации инцидентов с добавляемым статусом и отображать его индикатор в блоке ошибки прогноза для разделов Мониторинг и История, установите флажок Уведомлять об инциденте.

   Если вы снимите флажок, то уведомления об этих инцидентах, которым автоматически присваивается этот статус, не будут отправлены по электронной почте, а точки-индикаторы инцидентов не будут отображены в разделах Мониторинг и История.

8. Нажмите на кнопку Сохранить.

Чтобы добавить причину инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. В блоке Причины инцидентов нажмите на кнопку Создать.

   Справа отобразится панель Создание элемента.

3. В поле Причина инцидента укажите название причины инцидента.
4. В поле Сортировка укажите порядковый номер, с которым причина инцидента будет отсортирована в раскрывающемся списке Причина инцидента в разделе Инциденты.

   Причины инцидентов будут отсортированы по их названиям, если порядковые номера причин инцидентов совпадают.

5. Нажмите на кнопку Сохранить.

Чтобы изменить статусы или причины инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. Для изменения параметров инцидентов, выполните одно из следующих действий:
   • Если требуется изменить статусы инцидентов и групп инцидентов, в блоке параметров Статусы инцидентов выберите один или несколько статусов инцидентов и нажмите на кнопку Изменить.
   • Если требуется изменить причины инцидентов, в блоке параметров Причины инцидентов выберите одну или несколько причин инцидентов нажмите на кнопку Изменить.
3. Внесите необходимые изменения.
4. Нажмите на кнопку Сохранить.

Чтобы удалить статусы или причины инцидентов:

1. В меню администратора выберите раздел Системные параметры → Инциденты.
2. Для удаления параметров инцидентов, выполните одно из следующих действий:
   • Если требуется удалить статусы инцидентов и групп инцидентов, в блоке параметров Статусы инцидентов выберите один или несколько статусов инцидентов и нажмите на кнопку Удалить.
   • Если требуется удалить причины инцидентов, в блоке параметров Причины инцидентов выберите одну или несколько причин инцидентов и нажмите на кнопку Удалить.
3. В открывшемся окне подтвердите удаление.

Kaspersky MLAD удалит информацию о статусах или причинах инцидентов из соответствующих таблиц, а также из информации об инцидентах и группах инцидентов в разделе Инциденты, для которых были выбраны эти причины или статусы инцидентов.

[Topic 248012]

Настройка ведения журналов служб Kaspersky MLAD

Вы можете настроить уровни ведения журналов служб Kaspersky MLAD для записи определенной информации о состоянии программы и ее отображения в системе ведения журналов (Grafana). Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker, см. в Приложении.

Работы по настройке ведения журналов служб Kaspersky MLAD могут выполнять системные администраторы.

Чтобы настроить уровни ведения журналов служб Kaspersky MLAD:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Ведение журналов.

   Справа отобразится список служб Kaspersky MLAD.

3. Если требуется, в раскрывающемся списке рядом с названием необходимой службы измените уровень ведения журналов службы.

   В Kaspersky MLAD доступны следующие уровни ведения журналов:

   • Отладка – ведение журналов всей информации в программе;
   • Инфо – ведение журналов общей информации о работе программы;
   • Общие – ведение журналов важной информации о работе программы;
   • Важные – ведение журналов ошибок, возникших в работе программы, и событий, которые могут привести к ошибкам в работе программы;
   • Ошибка – ведение журналов ошибок, возникших в работе программы;
   • Критические – ведение журналов критических ошибок, возникших в работе программы.

   По умолчанию для большинства служб используется уровень ведения журналов Общие. Для службы API Server по умолчанию используется уровень ведения журналов Инфо.

4. Нажмите на кнопку Сохранить.

[Topic 248013]

Настройка временных интервалов отображения данных

Kaspersky MLAD позволяет указать временной интервал (масштаб) отображения данных на графиках в разделах Мониторинг, История и Временной срез. По умолчанию при установке Kaspersky MLAD доступны следующие временные интервалы:

• 1, 5, 10, 15 и 30 минут;
• 1, 3, 6 и 12 часов;
• 1, 2, 15 и 30 дней;
• 3 и 6 месяцев;
• 1, 2 и 3 года.

Вы можете добавить временные интервалы отображения данных на графиках. Созданные временные интервалы станут доступными для выбора в разделах Мониторинг, История и Временной срез. Вы также можете изменять и удалять временные интервалы.

Работы по настройке временных интервалов отображения данных на графиках могут выполнять системные администраторы.

Чтобы добавить временной интервал отображения данных:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → Графики.
3. В блоке параметров Временные интервалы нажмите на кнопку Создать.

   Справа отобразится панель Создание элемента.

4. В поле Временной интервал (сек.) укажите временной интервал в секундах, за который вы хотите отображать данные на графиках.

   При вводе временного интервала Kaspersky MLAD автоматически разбивает значение временного интервала по единицам измерения времени (годы, месяцы, недели, дни, часы, минуты, секунды) в полях Значение, русский язык и Значение, английский язык.

5. Если требуется, в поле Значение, русский язык измените название временного интервала на русском языке.
6. Если требуется, в поле Значение, английский язык измените название временного интервала на английском языке.

7. В поле Сортировка укажите порядковый номер, с которым временной интервал будет отсортирован в раскрывающихся списках в разделах Мониторинг, История и Временной срез.
8. Нажмите на кнопку Сохранить.

Чтобы изменить временные интервалы отображения данных:

1. В меню администратора выберите раздел Системные параметры → Графики.
2. В блоке параметров Временные интервалы выберите один или несколько временных интервалов и нажмите на кнопку Изменить.
3. Внесите необходимые изменения.
4. Нажмите на кнопку Сохранить.

Чтобы удалить временные интервалы отображения данных:

1. В меню администратора выберите раздел Системные параметры → Графики.
2. В блоке параметров Временные интервалы выберите один или несколько временных интервалов и нажмите на кнопку Удалить.
3. В открывшемся окне подтвердите удаление.

Информация о временных интервалах будет удалена из таблицы.

[Topic 248014]

Настройка отображения пунктов меню Kaspersky MLAD

Работы по настройке отображения пунктов меню Kaspersky MLAD могут выполнять системные администраторы.

Чтобы настроить отображение пунктов меню Kaspersky MLAD:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. На открывшейся странице в меню слева выберите раздел Системные параметры → Меню.

   Справа отобразится список параметров.

3. В блоке параметров Доступность пунктов основного меню с помощью переключателя включите или выключите отображение раздела в основном меню.
4. В блоке параметров Доступность пунктов меню администратора с помощью переключателя включите или выключите отображение раздела в меню администратора.
5. Нажмите на кнопку Сохранить.

[Topic 248015]

Экспорт и импорт параметров Kaspersky MLAD

Kaspersky MLAD позволяет выполнять экспорт и импорт конфигурационных файлов, которые содержат параметры служб и коннекторов программы, а также параметры безопасности, уровней ведения журналов служб программы, параметры отображения меню программы и параметры типовых статусов и причин инцидентов, настраиваемые через веб-интерфейс. Это может сократить время настройки Kaspersky MLAD при повторном развертывании программы.

При экспорте параметров Kaspersky MLAD не сохраняет в архивный файл пароли, указанные в разделе Системные параметры, а также файлы сертификатов и ключей к файлам сертификатов, загруженных в этом разделе.

Экспорт и импорт файла конфигурации служб Kaspersky MLAD доступен системным администраторам.

Чтобы экспортировать файлы конфигурации из Kaspersky MLAD:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры.
3. Нажмите на кнопку Экспорт, которая расположена в верхней части открывшейся страницы.

Файлы конфигурации Kaspersky MLAD будут сохранены в виде архива mlad-settings.tar.gz на локальном компьютере.

Чтобы загрузить файлы конфигурации в Kaspersky MLAD:

1. В меню администратора выберите раздел Системные параметры.
2. Нажмите на кнопку Импорт, которая расположена в верхней части открывшейся страницы.
3. В открывшемся окне выберите архивный файл, содержащий необходимую конфигурацию параметров Kaspersky MLAD.

Файлы конфигурации Kaspersky MLAD будут загружены в программу.

[Topic 248017]

Управление активами и тегами

Управление активами и тегами доступно системным администраторам.

Активы и теги являются первичными элементами иерархической структуры объекта мониторинга. Иерархическая структура отображается в виде дерева активов.

В виде тегов в Kaspersky MLAD передаются наблюдения объекта мониторинга. На основании полученных значений тегов вы можете выполнять обучение и инференс ML-моделей.

В разделе Активы в меню администратора вы можете просматривать созданные или загруженные в Kaspersky MLAD активы и теги. С помощью кнопок и слева от имен активов вы можете отобразить и скрыть данные дерева активов. Вы можете создавать активы и теги, а также изменять параметры тега, например пороги блокировки тега.

Kaspersky MLAD получает данные телеметрии по тегам от устройств объекта мониторинга с помощью коннекторов. Поступающие в программу значения для тегов, заданных в дереве активов, а также идентификаторы этих тегов хранятся в службе Time Series Database. При включенной функции сохранения значений всех тегов служба Time Series Database также хранит идентификаторы и значения неизвестных тегов (отсутствующих в дереве активов). Вы можете сравнить текущую структуру дерева активов со структурой в службе Time Series Database и при необходимости добавить отсутствующие теги в дерево активов.

Если Kaspersky MLAD обнаруживает неизвестные теги, полученные от внешних устройств через коннектор KICS Connector, эти теги будут автоматически созданы в разделе kics дерева активов. Программа автоматически присвоит тегам идентификаторы и заполнит следующие сведения, полученные от Kaspersky Industrial CyberSecurity for Networks:

• идентификаторы тегов;
• имена тегов;
• описания тегов;
• единицы измерения тегов;
• имена устройств, для которых получены теги.

Kaspersky MLAD совместим с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.

Также вы можете удалять существующие в системе теги, импортировать теги и активы из файла в формате XLSX и экспортировать их в файл в формате XLSX.

[Topic 252447]

Об иерархической структуре объекта мониторинга

Иерархическая структура объекта мониторинга (далее также иерархическая структура) – это способ представления объекта мониторинга в виде дерева, конечные узлы которого соответствуют тегам, по которым поступают данные телеметрии.

Теги объекта мониторинга организованы в виде иерархии активов, представляющих, например, агрегаты, установки, цеха и заводы. Схема организации активов, их типы и число определяются Заказчиком и зависят от структуры конкретного объекта мониторинга. Каждый актив имеет только один вышестоящий элемент. Этим элементом может быть другой актив (родительский актив) или головной элемент иерархической структуры (Root), соответствующий объекту мониторинга в целом.

Теги и активы представляют собой первичные элементы иерархической структуры. Вы можете выполнить импорт и экспорт дерева активов в виде файла в формате XLSX, а также создать их и управлять ими в разделе Активы.

Помимо первичных элементов в процессе или в результате работы Kaspersky MLAD в иерархическую структуру могут быть добавлены следующие функциональные элементы:

• Разметки;
• ML-модели;
• Шаблоны ML-моделей.

[Topic 247966]

О тегах

Развернуть все | Свернуть все

Основными объектами наблюдения в Kaspersky MLAD являются теги. Тег – это параметр технологического процесса, передаваемый в промышленной сети (например, температура). В виде тегов могут передаваться измерения физических параметров, а также уставки, команды или состояния систем регулирования. Значения тегов передаются и принимаются устройствами по определенным протоколам. Значения тегов отображаются на графиках в разделах История и Мониторинг, а также используются для обнаружения инцидентов.

Kaspersky MLAD поддерживает несколько способов получения данных телеметрии (тегов). В зависимости от характеристик объекта мониторинга и возможностей передачи тегов вы можете выбрать один из следующих способов получения значений тегов в режиме реального времени:

• С помощью коннекторов Kaspersky Industrial CyberSecurity for Networks, которые анализируют зеркалированный трафик и отдают теги в Kaspersky MLAD в онлайн-режиме. Kaspersky MLAD передает обратно информацию об обнаруженных инцидентах.
• С помощью коннектора OPC UA Connector, если на объекте мониторинга есть возможность передавать теги от АСУ ТП по протоколу OPC UA в онлайн-режиме.
• С помощью коннектора MQTT Connector, если на объекте мониторинга есть возможность передавать теги по протоколу MQTT и принимать сообщения о регистрации инцидентов в онлайн-режиме.
• С помощью коннектора AMQP Connector, если на объекте мониторинга есть возможность передавать теги по протоколу AMQP и принимать сообщения о регистрации инцидентов в онлайн-режиме.
• С помощью коннектора WebSocket Connector, если на объекте мониторинга есть возможность передавать теги по протоколу WebSocket и принимать сообщения о регистрации инцидентов в онлайн-режиме.
• С помощью коннектора CEF Connector, если на объекте мониторинга есть возможность передавать теги с помощью технологии CEF и принимать сообщения о регистрации инцидентов в онлайн-режиме.
• Если вышеперечисленные способы передачи тегов недоступны, с помощью коннектора HTTP Connector можно настроить периодическую выгрузку тегов в виде CSV-файлов по протоколу HTTP или HTTPS (например, один раз в час или один раз в минуту), написав скрипт выгрузки тегов.

Вы также можете получать значения тегов за определенный интервал истории одним из следующих способов:

• С помощью коннектора OPC UA Connector, если на объекте мониторинга поддерживается доступ к историческим данным (по стандарту OPC UA HDA).
• С помощью коннектора HTTP Connector путем загрузки CSV-файлов с историческими данными.

[Topic 248020]

Создание актива

Управление активами и тегами доступно системным администраторам.

В Kaspersky MLAD вы можете создавать активы и распределять теги по активам наиболее удобным для вас способом. Например, вы можете создать активы в соответствии с производственной структурой объекта мониторинга вплоть до устройств, от которых поступают данные телеметрии.

Чтобы создать новый актив:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. В верхней части страницы нажмите на кнопку Создать.
4. В открывшейся панели в раскрывающемся списке Тип элемента выберите значение Актив.
5. Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для актива.

   Вы можете загрузить значок для актива, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

   Если требуется удалить значок актива, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

6. В раскрывающемся списке Актив выберите раздел дерева активов, в составе которого требуется создать актив.
7. В поле Имя укажите имя актива.

   Имена активов должны быть уникальными в рамках одного раздела дерева активов.

8. В поле Описание укажите описание актива.
9. В раскрывающемся списке Тип актива выберите тип актива.

   Если вы загрузили конфигурацию активов и тегов в Kaspersky MLAD вы можете выбрать один из типов активов, заданных в файле конфигурации. Типы активов указываются на вкладке directory_types конфигурационного файла. Если вы не загружали конфигурацию активов и тегов, выберите тип Системный актив.

10. Если вы выбрали один из типов активов, заданных в импортированном файле конфигурации, при необходимости укажите значения для специальных параметров активов.

    Названия специальных параметров указываются на вкладке directory_types конфигурационного файла.

11. Нажмите на кнопку Сохранить.

Актив будет создан. Если требуется, вы можете изменить расположение актива в дереве.

Вы также можете создавать вложенные активы с помощью дерева активов. Для этого рядом с названием того раздела, в который требуется добавить актив, откройте вертикальное меню и выберите пункт Добавить актив.

[Topic 248022]

Изменение параметров актива

Управление активами и тегами доступно системным администраторам.

Вы можете изменять параметры созданных ранее активов.

Чтобы изменить параметры актива в дереве активов:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. В дереве активов рядом с именем актива, параметры которого требуется изменить, откройте вертикальное меню  и выберите пункт Изменить актив.

   Справа откроется панель Изменение актива.

4. Если требуется, в открывшейся панели измените следующие параметры:
   • Значок актива.
   • Раздел дерева активов, к которому вы хотите отнести актив.

     Подразделы актива и их теги будут перемещены в новый актив.

   • Имя актива.
   • Описание актива.
   • Тип актива.
   • Значения для специальных параметров актива.
5. Нажмите на кнопку Сохранить.

Актив будет изменен. Если требуется, вы можете изменить расположение актива в дереве.

[Topic 248018]

Создание тега

Управление активами и тегами доступно системным администраторам.

В Kaspersky MLAD вы можете создавать новые теги для описания данных, поступающих от объекта мониторинга (исходные теги) или от службы Stream Processor.

Чтобы создать новый тег:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. В верхней части страницы нажмите на кнопку Создать.
4. В открывшейся панели в раскрывающемся списке Тип элемента выберите Тег.
5. Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для тега.

   Вы можете загрузить значок для тега, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

   Если требуется удалить значок тега, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

6. В раскрывающемся списке Актив выберите раздел дерева активов, к которому вы хотите отнести создаваемый тег.

   Активы в дереве активов требуется предварительно загрузить или создать вручную.

7. В поле Имя укажите уникальное имя тега. Если требуется получать значения тега от внешней системы, укажите имя тега во внешней системе.
8. Если требуется, в поле Описание укажите описание тега.
9. Если требуется, в поле Альтернативное имя укажите альтернативное имя тега.
10. В поле ID укажите уникальный числовой идентификатор тега.

    Вы можете указать значение в диапазоне от 1 до 1 000 000.

11. Если требуется, в поле Размерность укажите единицы измерения для тега (например, % или мПа).
12. Если требуется, в блоке Пороги блокировки в полях Нижний и Верхний укажите нижний и верхний пороги предельно допустимых значений тега.

    Эти параметры требуются для правильной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего порога блокировки, детектор Limit Detector регистрирует инцидент.

    Если включена функция Всегда показывать пороги блокировки, вертикальный масштаб графика будет зафиксирован пороговыми линиями, выводимыми по нижней и верхней границам графической области, к которой относится тег, при условии, что значения тега находятся в заданном диапазоне. Если значения тега выйдут за заданные пороги, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.

13. Если требуется, в блоке Пороги сигнализации в полях Нижний и Верхний укажите нижний и верхний пороги значений тега, при достижении которых оператору следует обратить внимание на поведение тегов.
14. Если требуется, в блоке Пороги достоверности измерений в полях Нижний и Верхний укажите нижний и верхний пороги физически возможных значений тега, в том числе с учетом ограничений измерительного оборудования.
15. Если требуется, в блоке параметров Конвертация значений в полях Смещение и Множитель укажите значение, которое необходимо добавить к значению тега, и значение, на которое необходимо умножить значение тега, полученное с помощью коннекторов.

    Программа конвертирует значения тега по формуле a * x + b, где:

    • a – значение множителя, заданного в поле Множитель;
    • x – полученное значение тега;
    • b – значение смещения, заданного в поле Смещение.

    Конвертация производится при включенном переключателе Масштабировать полученные значения тегов в параметрах коннекторов. Конвертация значений возможна для тегов, полученных с помощью коннекторов MQTT Connector, AMQP Connector, OPC UA Connector, WebSocket Connector и KICS Connector.

    Конвертацию значений необходимо применять при получении значений тега в единице измерения, отличной от указанной в поле Размерность.

16. Если значения тега поступают в программу с помощью коннектора KICS Connector, при необходимости в поле Устройство внешней системы укажите имя устройства, созданного во внешней системе, для которого требуется получать теги.
17. Если требуется, в полях X, Y, Z укажите координаты расположения датчика объекта мониторинга в пространстве.

    Вы можете использовать произвольную точку в качестве начала координат.

    Вы можете использовать координаты датчиков для расчета значения тегов при создании пресета и их отображения на графике в разделе Временной срез.

18. Если требуется, в поле Комментарий введите краткий комментарий к тегу.
19. Нажмите на кнопку Сохранить.

Новый тег отобразится в группе Теги дерева активов. Группа Теги создается автоматически и отображается в составе выбранного раздела дерева активов. Если требуется, вы можете изменить расположение тегов в дереве.

[Topic 255478]

Добавление тега в актив

Управление активами и тегами доступно системным администраторам.

В Kaspersky MLAD вы можете добавлять теги в созданные активы.

Чтобы добавить тег в актив:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. В дереве активов рядом с разделом, в который требуется добавить тег, откройте вертикальное меню и выберите пункт Добавить тег.

   Справа откроется панель Создание тега.

4. Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для тега.

   Вы можете загрузить значок для тега, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

   Если требуется удалить значок тега, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

5. В поле Имя укажите уникальное имя тега. Если требуется получать значения тега от внешней системы, укажите имя тега во внешней системе.
6. Если требуется, в поле Описание укажите описание тега.
7. Если требуется, в поле Альтернативное имя укажите альтернативное имя тега.
8. В поле ID укажите уникальный числовой идентификатор тега.
9. Если требуется, в поле Размерность укажите единицы измерения для тега (например, % или мПа).
10. Если требуется, в блоке Пороги блокировки в полях Нижний и Верхний укажите нижний и верхний пороги предельно допустимых значений тега.

    Эти параметры требуются для правильной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего порога блокировки, детектор Limit Detector регистрирует инцидент.

    Если включена функция Всегда показывать пороги блокировки, вертикальный масштаб графика будет зафиксирован пороговыми линиями, выводимыми по нижней и верхней границам графической области, к которой относится тег, при условии, что значения тега находятся в заданном диапазоне. Если значения тега выйдут за заданные пороги, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.

11. Если требуется, в блоке Пороги сигнализации в полях Нижний и Верхний укажите нижний и верхний пороги значений тега, при достижении которых оператору следует обратить внимание на поведение тегов.
12. Если требуется, в блоке Пороги достоверности измерений в полях Нижний и Верхний укажите нижний и верхний пороги физически возможных значений тега, в том числе с учетом ограничений измерительного оборудования.
13. Если требуется, в блоке параметров Конвертация значений в полях Смещение и Множитель укажите значение, которое необходимо добавить к значению тега, и значение, на которое необходимо умножить значение тега, полученное с помощью коннекторов.

    Программа конвертирует значения тега по формуле a * x + b, где:

    • a – значение множителя, заданного в поле Множитель;
    • x – полученное значение тега;
    • b – значение смещения, заданного в поле Смещение.

    Конвертация производится при включенном переключателе Масштабировать полученные значения тегов в параметрах коннекторов. Конвертация значений возможна для тегов, полученных с помощью коннекторов MQTT Connector, AMQP Connector, OPC UA Connector, WebSocket Connector и KICS Connector.

    Конвертацию значений необходимо применять при получении значений тега в единице измерения, отличной от указанной в поле Размерность.

14. Если значения тега поступают в программу с помощью коннектора KICS Connector, при необходимости в поле Устройство внешней системы укажите имя устройства, созданного во внешней системе, для которого требуется получать теги.
15. Если требуется, в полях X, Y, Z укажите координаты расположения датчика объекта мониторинга в пространстве.

    Вы можете использовать произвольную точку в качестве начала координат.

    Вы можете использовать координаты датчиков для расчета значения тегов при создании пресета и их отображения на графике в разделе Временной срез.

16. Если требуется, в поле Комментарий введите краткий комментарий к тегу.
17. Нажмите на кнопку Сохранить.

Новый тег отобразится в группе Теги дерева активов. Группа Теги создается автоматически и отображается в составе выбранного раздела дерева активов. Если требуется, вы можете изменить расположение тегов в дереве.

[Topic 248021]

Изменение тега

Управление активами и тегами доступно системным администраторам.

Вы можете изменять созданные ранее теги.

Чтобы изменить тег:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. В дереве активов рядом с именем того тега, который вы хотите изменить, откройте вертикальное меню и выберите пункт Изменить тег.

   Вы можете отобразить или скрыть данные дерева активов с помощью кнопок и слева от имен активов.

   Справа откроется панель Изменение тега. В верхней части открывшейся панели отображается количество ML-моделей, которые используют выбранный тег.

4. Если требуется, измените параметры тега. Описание параметров см. в инструкции по созданию тега.

   Kaspersky MLAD периодически проверяет сведения о тегах, полученных от Kaspersky Industrial CyberSecurity for Networks. Если имя тега и/или информация об устройстве тега были изменены вручную, программа автоматически обновит имя тега и/или сведения об устройстве в соответствии с именем тега и именем устройства в Kaspersky Industrial CyberSecurity for Networks после следующей проверки.

5. Нажмите на кнопку Сохранить.

Если требуется, вы можете изменить расположение тегов в дереве.

[Topic 255479]

Перемещение активов и тегов

Управление активами и тегами доступно системным администраторам.

Вы можете перемещать активы и/или теги в дереве активов. Все активы и теги, входящие в состав выбранного актива, будут перемещены.

Чтобы переместить актив и/или тег:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. В дереве активов установите флажки рядом с именами активов и/или тегов, которые требуется переместить.
4. В верхней части страницы нажмите на кнопку Переместить.
5. В открывшейся панели в раскрывающемся списке Актив выберите актив, в который вы хотите перенести выбранные активы и/или теги.
6. Нажмите на кнопку Сохранить.

В разделе Активы отобразится измененное дерево активов.

Вы также можете изменить расположение активов и тегов в дереве с помощью точек () слева от имени нужного актива или тега. Для этого необходимо перетащить нужный актив или тег вверх или вниз в дереве, удерживая за точки () слева от нужного актива или тега.

[Topic 248023]

Удаление актива или тега

Управление активами и тегами доступно системным администраторам.

Вы можете удалять активы и/или теги из дерева активов, если выбранные теги или теги, относящиеся к выбранному активу, не используются ML-моделями.

Удаление тега в программе не приводит к удалению тега на объекте мониторинга. Данные телеметрии по удаленному тегу продолжат поступать в Kaspersky MLAD и при включенной функции сохранения значений всех тегов будут храниться в службе Time Series Database.

Перед удалением тега необходимо удалить его из файла конфигурации коннектора, через который поступали данные по этому тегу.

Чтобы удалить тег:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. Выполните одно из следующих действий:
   • В дереве активов установите флажок рядом с именем тега, который вы хотите удалить, и нажмите на кнопку Удалить в верхней части страницы.
   • В вертикальном меню  справа от нужного тега выберите пункт Удалить тег.
4. В открывшемся окне подтвердите удаление тега.

Чтобы удалить актив:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. Выполните одно из следующих действий:
   • В дереве активов установите флажок рядом с именем актива, который вы хотите удалить, и нажмите на кнопку Удалить в верхней части страницы.
   • В вертикальном меню  справа от нужного актива выберите пункт Удалить актив.
4. В открывшемся окне подтвердите удаление актива.

Чтобы удалить один или несколько активов и/или тегов:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. В дереве активов установите флажки рядом с именами активов и/или тегов.

   Если требуется удалить один или несколько тегов из актива, разверните соответствующий раздел дерева активов, нажав на значок плюса (), и выберите нужные теги.

4. Нажмите на кнопку Удалить в верхней части страницы.
5. В открывшемся окне подтвердите удаление активов и/или тегов.

Если выбранные активы и/или теги не используются ML-моделями, в открывшемся окне отображается значок напротив строки Проверка связей тегов с добавленными моделями. Выбранные теги будут удалены из Kaspersky MLAD безвозвратно.

Если выбранные активы и/или теги используются ML-моделями, в открывшемся окне отображается значок напротив строки Проверка связей тегов с добавленными моделями. В таком случае вы не можете удалить выбранные активы и/или теги. Для удаления активов и/или тегов требуется удалить ML-модели, в которых они используются.

[Topic 248024]

Проверка текущей структуры тегов

Управление активами и тегами доступно системным администраторам.

Kaspersky MLAD получает данные телеметрии от устройств объекта мониторинга с помощью коннекторов и сохраняет идентификаторы тегов и значения по тегам, заданным в дереве активов, в службе Time Series Database. При включенной функции сохранения значений всех тегов в службе Time Series Database также хранятся идентификаторы и значения неизвестных тегов (отсутствующих в дереве активов).

Kaspersky MLAD позволяет сравнить текущую структуру тегов, которая отображается в дереве активов и используется для объекта мониторинга, со структурой тегов, сохраненной для этого объекта мониторинга в службе Time Series Database. Kaspersky MLAD выявляет теги, которые были получены от внешних устройств, но отсутствуют в текущей структуре тегов и не используются для объекта мониторинга. Если требуется, вы можете добавить эти теги в текущую структуру тегов.

При поступлении данных телеметрии по неизвестным тегам через коннектор KICS Connector программа автоматически создает эти теги в разделе kics дерева активов.

Чтобы сравнить текущую структуру тегов со структурой в службе Time Series Database:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. В верхней части страницы нажмите на кнопку Проверить теги.

   Текущая структура тегов, используемая для объекта мониторинга, сравнивается со структурой тегов, которая хранится в службе Time Series Database. Сообщение о результате выполненного сравнения отобразится в верхней части страницы.

   В случае выявления отсутствующих тегов Kaspersky MLAD отобразит список этих тегов с именами в формате Tag <идентификатор тега>.

4. Если требуется добавить отсутствующие теги, выполните следующие действия:
   1. В поле Актив для каждого обнаруженного тега выберите актив, к которому вы хотите отнести тег.
   2. Нажмите на кнопку Добавить.

   Kaspersky MLAD добавит теги в дерево активов. Для этих тегов будут указаны только их идентификаторы, имена в формате Tag <идентификатор тега> и активы, к которым вы отнесли теги. Если требуется, вы можете изменить добавленные теги.

[Topic 248025]

Загрузка конфигурации активов и тегов в систему

Конфигурация активов и тегов создается в процессе выполнения работ по внедрению Kaspersky MLAD и построению ML-модели. Конфигурация активов и тегов предоставляется в виде файла в формате XLSX.

Управление активами и тегами доступно системным администраторам.

Чтобы загрузить конфигурацию активов и тегов в Kaspersky MLAD:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. Нажмите на кнопку Импорт.

   Справа откроется панель Импорт иерархической структуры.

4. В поле Импорт файла добавьте файл в формате XLSX, содержащий необходимую конфигурацию активов и тегов иерархической структуры.

   Если требуется изменить файл конфигурации активов и тегов, нажмите на кнопку и выберите новый файл.

5. В раскрывающемся списке Актив выберите раздел дерева активов, в который требуется загрузить конфигурацию активов и тегов из файла.

   Если загружаемый файл конфигурации содержит активы самого верхнего уровня, то выберите головной элемент иерархической структуры Root.

6. В раскрывающемся списке Режим импорта выберите одно из следующих значений:
   • Добавить и обновить. Kaspersky MLAD добавит новые активы и теги из файла конфигурации и обновит информацию о ранее созданных и/или импортированных активах и тегах в составе выбранного раздела.
   • Только обновить. Kaspersky MLAD обновит информацию о ранее созданных и/или импортированных активах и тегах в составе выбранного раздела.

     Если в файле конфигурации описаны новые активы и/или теги, они не будут добавлены в иерархическую структуру.

   • Перезаписать. Kaspersky MLAD удалит ранее созданные и/или импортированные активы и теги из выбранного раздела и создаст новые активы и теги из файла конфигурации.
7. Если требуется рассматривать все активы и теги из файла конфигурации в качестве новых вхождений, включите переключатель Рассматривать все элементы как новые.

   Вы можете использовать этот переключатель для загрузки вложенных активов, повторяющихся в разных разделах дерева активов. Для этого загрузите конфигурацию вложенных активов в режиме импорта Добавить и обновить несколько раз и при каждой загрузке укажите разные родительские активы. При этом загрузить теги с именами, соответствующими именам ранее созданных и/или загруженных тегов, невозможно.

8. Нажмите на кнопку Сохранить.

Конфигурация активов и тегов будет загружена в Kaspersky MLAD. Активы и теги отобразятся в виде дерева активов.

[Topic 248026]

Сохранение конфигурации активов и тегов в файл

Управление активами и тегами доступно системным администраторам.

Вы можете сохранить структуру тегов и активов в файл в формате XLSX для дальнейшего использования. Например, вы можете изменить параметры текущих активов и/или тегов или добавить в иерархическую структуру новые активы и/или теги, после чего загрузить обновленный файл конфигурации в программу повторно.

Чтобы сохранить конфигурацию активов и тегов в файл в формате XLSX:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Активы.
3. Нажмите на кнопку Экспорт.

Конфигурация активов и тегов будет сохранена в файл mlad_structure.xlsx (см. пример в Приложении).

[Topic 248060]

Работа с основным меню

Этот раздел содержит описание пользовательских задач, выполняемых в основном меню программы.

Доступ к функциям программы в основном меню зависит от роли, назначенной учетной записи пользователя. Пользователям с ролью системного администратора доступны все функции программы.

[Topic 248063]

Сценарий: работа с Kaspersky MLAD

В этом разделе описаны действия пользователя при работе в основном меню Kaspersky MLAD.

Сценарий работы с программой состоит из следующих этапов:

1. Создание пресетов для мониторинга участков защищаемого объекта

   Для быстрого доступа к необходимым данным загрузите конфигурацию пресетов в Kaspersky MLAD. Конфигурация пресетов создается специалистом "Лаборатории Касперского" или сертифицированным интегратором. Конфигурация пресетов описывается в файле в формате JSON. Пример описания конфигурации пресетов см. в Приложении.

   Вы также можете создать пресеты, которые включают в себя теги, соответствующие агрегатам установки, в веб-интерфейсе программы. Если требуется, вы можете изменить уже существующие пресеты.

2. Подготовка ML-моделей

   Для анализа телеметрии объекта мониторинга и выявления аномалий необходимо подготовить ML-модели. Добавьте в Kaspersky MLAD ML-модели и разметки. Обучите элементы ML-модели и проверьте результаты обучения. При необходимости скорректируйте параметры обучения и обучите нужные элементы заново. Запустите инференс ML-модели для регистрации инцидентов. При необходимости опубликуйте ML-модель для регистрации учетных инцидентов.

3. Просмотр исторических данных

   Перейдите в раздел История. Выберите необходимый пресет и укажите дату и интервал времени для просмотра исторических данных технологических параметров и результатов их обработки ML-моделями – сформированных артефактов и/или зарегистрированных инцидентов. При просмотре исторических данных вы можете использовать навигацию.

4. Мониторинг в онлайн-режиме

   Для просмотра поступающих значений технологических параметров и результатов их обработки ML-моделями в онлайн-режиме, перейдите в раздел Мониторинг. Выберите необходимый пресет и интервал времени для отображения поступающих данных.

5. Просмотр данных в разделе Временной срез

   Для просмотра значений технологических параметров, полученных от датчиков объекта мониторинга в один и тот же момент времени, перейдите в раздел Временной срез. Выберите необходимый пресет и укажите дату и интервал времени для просмотра данных. При просмотре данных вы можете использовать навигацию.

6. Работа с инцидентами

   Перейдите в раздел Инциденты и просмотрите информацию о зарегистрированных инцидентах. Проанализируйте инциденты и добавьте экспертные заключения или замечания, в которых вы можете указать, являются ли зарегистрированные инциденты аномалиями.

   Если вы подписаны на уведомления об инцидентах, при возникновении аномальной ситуации вы получите сообщение по электронной почте. В сообщении указываются дата и время начала инцидента, а также ссылка, по которой вы можете перейти в раздел История.

7. Работа с событиями и паттернами

   Для работы с событиями и паттернами настройте параметры конфигурации внимания и отображение параметров событий. Для отслеживания определенных событий, паттернов или значений параметров событий перейдите в раздел Процессор событий и создайте мониторы. Просмотрите события и паттерны, выявленные процессором событий.

[Topic 248064]

Просмотр сводных данных в разделе Информационная панель

В разделе Информационная панель представлена сводная информация о количестве событий и наблюдений по тегам, поступающих в Kaspersky MLAD, зарегистрированных инцидентах и о статусе служб.

Информация на странице разбита на следующие блоки:

• Поступающие данные – график, на котором отображается количество поступающих в Kaspersky MLAD событий и наблюдений по тегам. Вы можете включить или выключить отображение на графике поступающих событий и наблюдений по тегам, нажав на соответствующую легенду подписи данных, которая расположена под графиком. Левая шкала графика отображает диапазон количества наблюдений по тегам, поступающих в секунду. Правая шкала графика отображает диапазон количества событий, поступающих в секунду.
• Последние инциденты – таблица, содержащая информацию о последних зарегистрированных инцидентах.
  • ID – идентификатор зарегистрированного инцидента.
  • Дата и время – дата и время возникновения инцидента.
  • Название модели – название ML-модели, элемент которой зарегистрировал инцидент.
  • Элемент модели – название элемента ML-модели, который зарегистрировал инцидент.
  • Детектор – тип зарегистрированного инцидента.
  • Статус – статус зарегистрированного инцидента, указанный экспертом по результатам анализа инцидента или присвоенный автоматически в соответствии со статусом инцидента, заданным для элемента ML-модели, зарегистрировавшего инцидент.

  При нажатии на кнопку около инцидента в таблице инцидентов раскрывается окно с техническими характеристиками выбранного инцидента и тега:

  • Инцидент – блок, содержащий информацию об инциденте:
    • Название модели – название ML-модели, элемент которой зарегистрировал инцидент.
    • Элемент модели – название элемента ML-модели, который зарегистрировал инцидент.
    • Детектор – тип зарегистрированного инцидента.
    • Значение артефакта элемента ML-модели – значение отклонения поведения объекта мониторинга от нормального на момент регистрации инцидента. Отсутствует, если инцидент зарегистрирован детектором Limit Detector или службой Stream Processor.
    • Пороговое значение – пороговое значение для регистрации инцидента элементом ML-модели. Если инцидент зарегистрирован детектором Limit Detector, для этого параметра указывается значение верхнего или нижнего порога блокировки, которое было достигнуто тегом.
  • Топ-тег – блок, содержащий информацию о теге, который оказал наибольшее влияние на регистрацию инцидента:
    • Имя топ-тега (ID топ-тега) – имя и идентификатор тега, оказавшего наибольшее влияние на регистрацию инцидента.
    • Значение топ-тега – зарегистрированное в момент инцидента значение топ-тега.
    • Пороги блокировки – предельно допустимые значения топ-тега. Пределы блокировки требуются для правильной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего порога блокировки, детектор Limit Detector регистрирует инцидент.
    • Описание – описание топ-тега.
    • Единицы измерения – единицы измерения значений топ-тега.
• Обработка данных – таблица, в которой отображается статусы служб, используемых для обработки событий и наблюдений по тегам, поступающим в Kaspersky MLAD, обучения и инференса ML-моделей, а также регистрации инцидентов.
• Статусы служб – таблица, в которой для каждой службы отображается ее статус.

Из раздела Информационная панель вы можете перейти в раздел История, нажав на дату и время инцидента в таблице Последние инциденты. В разделе История отображается подробная информация о зарегистрированных Kaspersky MLAD инцидентах.

Раздел Информационная панель

[Topic 248065]

Просмотр поступающих данных в разделе Мониторинг

В разделе Мониторинг вы можете просматривать поступающие в реальном времени значения тегов, входящих в пресет и их прогнозируемые значения.

Центральная часть раздела Мониторинг представляет собой совокупность горизонтальных сегментов, предназначенных для отображения графиков. Каждый такой сегмент называется графической областью. Первыми отображаются графические области для выбранного пресета. В одной графической области пресета может отображаться график одного тега или графики нескольких тегов, наложенные друг на друга. Состав тегов, данные которых отображаются в графической области, вы можете определить при создании пресета. На графиках отображаются значения тегов пресета, поступающих в Kaspersky MLAD от объекта мониторинга. В можете выбрать элементы ML-моделей и настроить отображение графиков, чтобы на графиках единичных графических областей также отображались артефакты, связанные с тегами таких областей и сформированные элементами ML-моделей, в составе которых используются эти теги.

После графических областей пресета отображаются графические области для каждого выбранного элемента ML-модели. В таких графических областях отображаются графики артефактов элементов ML-моделей. Значение артефакта элемента ML-модели зависит от аналитических алгоритмов, используемых элементом, и отображается в виде цветной линии. Цвет этой линии соответствует цвету, выбранному для параметра Цвет точек-индикаторов инцидентов при создании соответствующего элемента. На графиках также отображается оранжевая линия, которая соответствует порогу, при превышении которого элемент ML-модели регистрирует инцидент.

В нижней части раздела расположена графическая область, отображающий график артефакта элемента ML-модели, выбранного в панели Параметры отображения графика артефакта элемента ML-модели. Красная линия на графике соответствует значению артефакта элемента ML-модели, а оранжевая линия соответствует порогу, при превышении которого Kaspersky MLAD регистрирует инцидент. Область графика, в которой значение артефакта элемента ML-модели превышает заданный порог, окрашивается в красный цвет. Снизу от графика отображаются цветные точки-индикаторы, соответствующие зарегистрированным инцидентам.

В зависимости от выбранного масштаба времени и плотности инцидентов одна точка-индикатор может соответствовать одному или нескольким близко расположенным инцидентам, зарегистрированных одним или несколькими элементами ML-моделей. Для точек-индикаторов, которые соответствуют инцидентам, зарегистрированным одним элементом ML-модели, цвет задается при создании этого элемента. Для точек-индикаторов, которые соответствуют группе инцидентов, зарегистрированных разными элементами, зарезервирован фиолетовый цвет. Для точек-индикаторов, которые соответствуют инцидентам, зарегистрированным детектором Limit Detector, зарезервирован красный цвет.

Раздел Мониторинг

[Topic 248066]

Просмотр данных для определенного пресета в разделе Мониторинг

Kaspersky MLAD позволяет выбирать пресеты, для которых отображаются данные, поступающие в реальном времени.

Чтобы просмотреть поступающие данные для определенного пресета в режиме реального времени:

1. В основном меню выберите раздел Мониторинг.
2. На открывшейся странице в раскрывающемся списке Пресет выберите необходимый пресет.

На странице отобразятся графики для тегов, которые входят в выбранный пресет, в соответствии с параметрами графической области, заданными при создании этого пресета.

Если требуется, вы можете изменить временной интервал отображения данных, настроить отображение графиков или выбрать элементы ML-моделей для просмотра результатов их работы. Также вы можете изменить состав отображаемых тегов, изменив пресет.

[Topic 248067]

Выбор элементов ML-моделей в разделе Мониторинг

В разделе Мониторинг вы можете просматривать поступающие в реальном времени значения тегов, входящих в пресет, артефакты, сформированные выбранными элементами ML-моделей, а также информацию о количестве зарегистрированных инцидентов.

Если для объекта мониторинга используются разные ML-модели для обработки данных, Kaspersky MLAD позволяет выбрать несколько элементов ML-моделей для отображения результатов их инференса. Для детектора Limit Detector элемент ML-модели не создается. Точки-индикаторы инцидентов, зарегистрированных с помощью этого детектора, отображаются, если включено использование детектора Limit Detector и включен режим отображения индикаторов для всех инцидентов.

Функциональность доступна после добавления лицензионного ключа.

Чтобы просмотреть результаты инференса элементов ML-модели:

1. В основном меню выберите раздел Мониторинг.
2. На открывшейся странице в раскрывающемся списке Элемент модели выберите один или несколько элементов ML-модели.

   Названия элементов отображаются в формате <название ML-модели>  <название элемента>.

   На графических областях выбранного пресета отобразятся значения тегов, поступающих в Kaspersky MLAD за выбранный интервал времени. Если вы настроили отображение графиков, то на графиках единичных графических областей также отобразятся артефакты, связанные с тегами таких областей и сформированные элементами ML-моделей, в составе которых используются эти теги.

   В центральной части раздела отобразятся графики артефактов выбранных элементов ML-моделей. Значения, отображаемые на графиках, зависят от аналитических алгоритмов, используемых элементами для выявления аномалий.

   Если требуется скрыть отображение артефактов какого-либо выбранного ранее элемента ML-модели, нажмите на значок рядом с этим элементом.

3. Если требуется отображать график артефакта определенного элемента ML-модели в нижней части раздела, выполните следующие действия:
   1. Нажмите на кнопку под графиками тегов в левой части страницы.

      Справа отобразится панель Параметры отображения графика артефакта элемента ML-модели.

   2. В раскрывающемся списке Элемент модели выберите элемент ML-модели. Вы можете выбрать только один элемент ML-модели из списка.
   3. Нажмите на кнопку Закрыть.

   На графике артефакта элемента ML-модели отобразится значение артефакта этого элемента в виде красной линии. Область графика, в которой значение артефакта превышает заданный порог (оранжевая линия), окрашивается в красный цвет.

В нижней части графика отобразятся точки-индикаторы инцидентов, зарегистрированных выбранными элементами ML-модели. Если включен режим отображения индикаторов для всех инцидентов, то отобразятся точки-индикаторы инцидентов, зарегистрированных всеми ML-моделями, а также детектором Limit Detector.

[Topic 248068]

Выбор интервала времени в разделе Мониторинг

Kaspersky MLAD позволяет выбирать временной интервал (масштаб) отображения поступающих данных.

Чтобы выбрать временной интервал:

1. В основном меню выберите раздел Мониторинг.
2. На открывшейся странице в раскрывающемся списке выберите нужный интервал времени. По умолчанию для выбора доступны следующие значения:
   • 1, 5, 10, 15 и 30 минут;
   • 1, 3, 6 и 12 часов;
   • 1, 2, 15 и 30 дней;
   • 3 и 6 месяцев;
   • 1, 2 и 3 года.

   Если требуется, системный администратор может создать, изменить или удалить временные интервалы.

На графиках выбранного пресета отобразятся значения тегов и результаты инференса выбранных элементов ML-моделей за выбранный интервал времени.

[Topic 248069]

Настройка параметров отображения графиков в разделе Мониторинг

Kaspersky MLAD позволяет настроить параметры отображения графических областей пресетов в разделе Мониторинг.

Чтобы настроить параметры отображения графических областей пресетов:

1. В основном меню выберите раздел Мониторинг.
2. На открывшейся странице нажмите на кнопку в верхней части экрана.

   Справа отобразится панель Параметры отображения графиков.

3. В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.

   По умолчанию параметр Высота графиков имеет значение 55 px.

4. В раскрывающемся списке Для перехода в раздел История использовать выберите пресет, графики которого по умолчанию будут отображаться при переходе в раздел История.
5. Если требуется, включите переключатель Отображать графики наблюдений в выбранном цвете и в поле Цвет графиков наблюдений выберите цвет.
6. Если требуется, включите переключатель Отображать графики прогнозов в выбранном цвете и в поле Цвет графиков прогнозов выберите цвет.
7. С помощью переключателя Имя и описание тега включите или выключите отображение имен и описаний тегов слева от графиков.
8. С помощью переключателя Прогнозируемое значение тега включите или выключите отображение прогнозируемых значений тегов на графиках.
9. С помощью переключателя Индивидуальная ошибка тега включите или выключите отображение индивидуальных ошибок прогноза значений тегов на графиках.
10. С помощью переключателя Отображать индикаторы для всех инцидентов включите или выключите отображение точек-индикаторов инцидентов, зарегистрированных всеми ML-моделями, а также детектором Limit Detector.

    Если этот переключатель выключен, то будут отображаться только точки-индикаторы для инцидентов, которые были зарегистрированы выбранными элементами ML-модели.

11. Если требуется отображать установленные технические пределы для тегов на графиках, выполните следующие действия:
    1. Включите переключатель Пороги блокировки.
    2. Если требуется всегда отображать установленные технические пределы, включите переключатель Всегда показывать пороги блокировки.

       Если этот переключатель выключен, то технические пределы будут отображаться, только если значение какого-либо тега приблизилось к соответствующему пределу в отображаемой на экране области графика.

12. С помощью переключателя Дополнительные пороговые линии включите или выключите отображение дополнительных пороговых линий на графике.
13. Нажмите на кнопку Закрыть для возвращения к просмотру графиков в разделе Мониторинг.

Заданные параметры отображения графических областей пресетов в разделе Мониторинг будут применены.

[Topic 248070]

Просмотр данных в разделе История

В разделе История доступна история поступивших данных, результат их обработки Kaspersky MLAD с формированием артефактов ML-модели и информацией о зарегистрированных инцидентах.

Центральная часть раздела История представляет собой совокупность горизонтальных сегментов, предназначенных для отображения графиков. Каждый такой сегмент называется графической областью. Первыми отображаются графические области для выбранного пресета. В одной графической области пресета может отображаться график одного тега или графики нескольких тегов, наложенные друг на друга. Состав тегов, данные которых отображаются в графической области, вы можете определить при создании пресета. На графиках отображаются значения тегов пресета, поступивших в Kaspersky MLAD от объекта мониторинга за выбранный интервал времени. Вы можете выбрать элементы ML-моделей и настроить отображение графиков, чтобы на графиках единичных графических областей также отображались артефакты, связанные с тегами таких областей и сформированные элементами ML-моделей, в составе которых используются эти теги.

После графических областей пресета отображаются графические области для каждого выбранного элемента ML-модели. В таких графических областях отображаются графики артефактов элементов ML-модели. Значение артефакта элемента ML-модели зависит от аналитических алгоритмов, используемых элементом, и отображается в виде цветной линии. Цвет этой линии соответствует цвету, выбранному для параметра Цвет точек-индикаторов инцидентов при создании соответствующего элемента. На графиках также отображается оранжевая линия, которая соответствует порогу, при превышении которого элемент ML-модели регистрирует инцидент.

В нижней части раздела расположена графическая область, отображающая график артефакта элемента ML-модели, выбранного в панели Параметры отображения графика артефакта элемента ML-модели. Красная линия на графике соответствует значению артефакта элемента ML-модели, а оранжевая линия соответствует порогу, при превышении которого Kaspersky MLAD регистрирует инцидент. Область графика, в которой значение артефакта элемента ML-модели превышает заданный порог, окрашивается в красный цвет. Снизу от графика отображаются цветные точки-индикаторы, соответствующие зарегистрированным инцидентам.

В зависимости от выбранного масштаба времени и плотности инцидентов одна точка-индикатор может соответствовать одному или нескольким близко расположенным инцидентам, зарегистрированным одним или несколькими элементами ML-моделей. Для точек-индикаторов, которые соответствуют инцидентам, зарегистрированным одним элементом ML-модели, цвет задается при создании этого элемента. Для точек-индикаторов, которые соответствуют группе инцидентов, зарегистрированных разными элементами, зарезервирован фиолетовый цвет. Для точек-индикаторов, которые соответствуют инцидентам, зарегистрированным детектором Limit Detector, зарезервирован красный цвет.

Раздел История

[Topic 248071]

Просмотр исторических данных для определенного пресета

Kaspersky MLAD позволяет выбирать пользовательские пресеты, для которых отображаются исторические данные. Если вы хотите просмотреть исторические данные тегов из динамического пресета Теги инцидента #<идентификатор инцидента>, в разделе Инциденты вам нужно нажать на дату регистрации инцидента. Динамический пресет Теги инцидента #<идентификатор инцидента> содержит теги, оказавшие наибольшее влияние на формирование зарегистрированного инцидента.

Чтобы просмотреть исторические данные для определенного пресета:

1. В основном меню выберите раздел История.
2. На открывшейся странице в раскрывающемся списке Пресет выберите необходимый пресет.

На странице отобразятся графики для тегов, которые входят в выбранный пресет, в соответствии с параметрами графических областей, заданными при создании этого пресета.

Вы можете просматривать всю историю данных, используя навигацию по времени. Если необходимо, вы можете изменить дату и интервал времени или выбрать элементы ML-моделей для просмотра результатов их работы. Также вы можете изменить состав отображаемых тегов, изменив пресет.

[Topic 248072]

Выбор элементов ML-модели в разделе История

В разделе История доступна история поступивших данных, результат их обработки Kaspersky MLAD с формированием артефактов выбранными элементами ML-моделями и регистрацией инцидентов.

Если для объекта мониторинга используются разные ML-модели для обработки данных, Kaspersky MLAD позволяет выбрать несколько элементов ML-моделей для отображения результатов их инференса. Для детектора Limit Detector элемент ML-модели не создается. Точки-индикаторы инцидентов, зарегистрированных с помощью этого детектора, отображаются, если включено использование детектора Limit Detector и включен режим отображения индикаторов для всех инцидентов.

Функциональность доступна после добавления лицензионного ключа.

Чтобы просмотреть результаты инференса элементов ML-модели:

1. В основном меню выберите раздел История.
2. На открывшейся странице в раскрывающемся списке Элемент модели выберите один или несколько элементов ML-модели.

   Названия элементов отображаются в формате <название ML-модели>  <название элемента>.

   На графических областях выбранного пресета отобразятся значения тегов, поступивших в Kaspersky MLAD за выбранный интервал времени. Если вы настроили отображение графиков, то на графиках единичных графических областей также отобразятся артефакты, связанные с тегами таких областей и сформированные элементами ML-моделей, в составе которых используются эти теги.

   В центральной части раздела отобразятся графики артефактов выбранных элементов ML-моделей. Значения, отображаемые на графиках, зависят от аналитических алгоритмов, используемых элементами для выявления аномалий.

   Если требуется скрыть отображение артефактов какого-либо выбранного ранее элемента ML-модели, нажмите на значок рядом с этим элементом.

3. Если требуется отображать график артефакта определенного элемента ML-модели в нижней части раздела, выполните следующие действия:
   1. Нажмите на кнопку под графиками тегов в левой части страницы.

      Справа отобразится панель Параметры отображения графика артефакта элемента ML-модели.

   2. В раскрывающемся списке Элемент модели выберите элемент ML-модели. Вы можете выбрать только один элемент ML-модели из списка.
   3. Нажмите на кнопку Закрыть.

   На графике артефакта элемента ML-модели отобразится значение артефакта выбранного элемента в виде красной линии. Область графика, в которой значение артефакта превышает заданный порог (оранжевая линия), окрашивается в красный цвет.

В нижней части графика отобразятся точки-индикаторы инцидентов, зарегистрированных выбранными элементами ML-модели. Если включен режим отображения индикаторов для всех инцидентов, то отобразятся точки-индикаторы инцидентов, зарегистрированных всеми ML-моделями, а также детектором Limit Detector.

[Topic 248073]

Выбор даты и интервала времени в разделе История

Kaspersky MLAD позволяет выбрать дату, а также фиксированный интервал времени (масштаб) отображения исторических данных или произвольный интервал времени, например, когда был зафиксирован инцидент.

Чтобы выбрать дату для отображения исторических данных:

1. В основном меню выберите раздел История.
2. Нажмите на кнопку и в открывшемся окне выберите дату и время, для которых требуется отображать исторические данные на графиках.
3. Нажмите на кнопку Применить.

   На графиках вертикальная синяя линия будет указывать на выбранную дату и время (центр графика).

4. Если требуется выбрать другие дату и время (точку) на графике, нажмите на кнопку слева от оси времени, и выберите нужную точку.

   Выбранная точка станет новым центром графика. Вертикальная синяя пунктирная линия будет указывать на выбранные дату и время.

Чтобы выбрать интервал времени для отображения исторических данных:

1. В основном меню выберите раздел История.
2. На открывшейся странице выполните одно из следующих действий:
   • Если требуется отображать данные за фиксированный интервал времени, в раскрывающемся списке выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
     • 1, 5, 10, 15 и 30 минут;
     • 1, 3, 6 и 12 часов;
     • 1, 2, 15 и 30 дней;
     • 3 и 6 месяцев;
     • 1, 2 и 3 года.

     При необходимости системный администратор может создать, изменить или удалить временные интервалы.

   • Если требуется отображать данные за произвольный интервал времени, нажмите на кнопку , которая расположена слева от оси времени, выберите на оси времени нужный интервал и нажмите на . Если требуется еще раз изменить масштаб, повторите это действие.

На графиках выбранного пресета отобразятся значения тегов и результаты инференса выбранных элементов ML-моделей за выбранный интервал времени.

[Topic 248074]

Навигация по времени в разделе История

Kaspersky MLAD предоставляет возможность навигации по времени для удобного просмотра исторических данных.

Чтобы использовать навигацию по времени при просмотре данных:

1. В основном меню выберите раздел История.
2. На открывшейся странице выберите интервал времени, за который требуется просмотреть данные.
3. С помощью кнопок и , расположенных в верхней части страницы, перемещайтесь по оси времени влево или вправо.

Сдвиг по оси времени на графике просмотра исторических данных будет происходить на выбранный интервал времени.

Навигация по времени

На графиках вертикальная синяя пунктирная линия указывает на середину выбранного временного интервала и совпадает с выбранными датой и временем. Если выбран интервал 1 день, то на графике отображаются исторические данные за 12 часов до и после выбранных даты и времени относительно пунктирной линии. Если требуется, вы можете изменить временной интервал.

[Topic 248075]

Настройка параметров отображения графиков в разделе История

Kaspersky MLAD позволяет настроить параметры отображения графических областей пресетов в разделе История.

Чтобы настроить параметры отображения графических областей:

1. В основном меню выберите раздел История.
2. На открывшейся странице нажмите на кнопку в верхней части экрана.

   Справа отобразится панель Параметры отображения графиков.

3. В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.

   По умолчанию параметр Высота графиков имеет значение 55 px.

4. Если требуется, включите переключатель Отображать графики наблюдений в выбранном цвете и в поле Цвет графиков наблюдений выберите цвет.
5. Если требуется, включите переключатель Отображать графики прогнозов в выбранном цвете и в поле Цвет графиков прогнозов выберите цвет.
6. С помощью переключателя Имя и описание тега включите или выключите отображение имен и описаний тегов слева от графиков.
7. С помощью переключателя Прогнозируемое значение тега включите или выключите отображение прогнозируемых значений тегов на графиках.
8. С помощью переключателя Индивидуальная ошибка тега включите или выключите отображение индивидуальных ошибок прогноза значений тегов на графиках.
9. С помощью переключателя Отображать индикаторы для всех инцидентов включите или выключите отображение точек-индикаторов инцидентов, зарегистрированных всеми ML-моделями, а также детектором Limit Detector.

   Если этот переключатель выключен, то будут отображаться только точки-индикаторы для инцидентов, которые были зарегистрированы выбранными элементами ML-модели.

10. Если требуется отображать установленные технические пределы для тегов на графиках, выполните следующие действия:
    1. Включите переключатель Пороги блокировки.
    2. Если требуется всегда отображать установленные технические пределы, включите переключатель Всегда показывать пороги блокировки.

       Если этот переключатель выключен, то технические пределы будут отображаться, только если значение какого-либо тега приблизилось к соответствующему пределу в отображаемой на экране области графика.

11. С помощью переключателя Дополнительные пороговые линии включите или выключите отображение дополнительных пороговых линий на графике.
12. Нажмите на кнопку Закрыть для возвращения к просмотру графиков в разделе История.

Заданные параметры отображения графических областей пресетов в разделе История будут применены.

[Topic 248076]

Просмотр данных в разделе Временной срез

В разделе Временной срез вы можете просматривать значения технологических параметров, полученные от датчиков объекта мониторинга в один и тот же момент времени. Датчики должны быть однотипными (иметь одинаковую размерность) и расположены в пространстве линейно, например, датчики давления в трубе нефтепровода.

Данные представлены в виде графиков, которые позволяют увидеть, был ли зафиксирован инцидент в выбранный момент времени и где находится вероятный источник инцидента.

В нижней части страницы расположен блок, отображающий индивидуальные ошибки тегов. Данные представлены в виде столбчатой диаграммы. Величина ошибки для каждого тега отображается при наведении курсора мыши на столбец. Справа от графиков тегов пресета расположен график ошибки прогноза.

В разделе Временной срез в раскрывающемся списке вы можете выбрать пресет, дату и время получения данных. В список входят специальные пресеты, которые можно создать в разделе Пресеты. В специальном пресете должны присутствовать только однотипные теги, у которых указаны координаты по оси абсцисс. Вы можете дополнительно указать динамически вычисляемые для каждого тега выражения, основанные на реальных и прогнозируемых значениях тегов, индивидуальных ошибках прогноза, а также значениях координат тегов и задаваемых в выражениях константах.

Также вы можете настроить отображение графиков, выбрать интервал времени для просмотра данных, а также выбрать определенный элемент ML-модели, чтобы просмотреть индивидуальные ошибки тегов пресета, полученные в результате обработки данных выбранным элементом ML-модели.

Результаты обработки данных возможно просмотреть только для предиктивных элементов ML-модели.

Раздел Временной срез

[Topic 248077]

Просмотр данных для определенного пресета в разделе Временной срез

Чтобы просмотреть данные для определенного пресета:

1. В основном меню выберите раздел Временной срез.
2. На открывшейся странице в раскрывающемся списке Пресет выберите необходимый пресет.

На странице отобразятся графики для тегов, которые входят в выбранный пресет.

Если требуется, вы можете изменить временной интервал отображения данных, настроить отображение графика или выбрать элемент ML-модели. Также вы можете изменить состав отображаемых тегов, изменив пресет.

[Topic 248078]

Выбор определенного элемента ML-модели в разделе Временной срез

Если для объекта мониторинга используется ML-модель, которая имеет несколько элементов для обработки и прогнозирования данных, Kaspersky MLAD позволяет выбрать определенный элемент ML-модели для отображения в разделе Временной срез индивидуальных ошибок тегов, полученных в результате работы этого элемента.

Функциональность доступна после добавления лицензионного ключа.

Результаты обработки данных возможно просмотреть только для предиктивных элементов ML-модели.

Чтобы просмотреть индивидуальные ошибки тега, полученные в результате обработки данных определенным элементом ML-модели:

1. В основном меню выберите раздел Временной срез.
2. На открывшейся странице в раскрывающемся списке Элемент модели выберите нужный элемент ML-модели.

   Названия элементов отображаются в формате <название ML-модели>  <название элемента>.

В нижней части раздела отобразятся индивидуальные ошибки тегов, полученные в результате обработки данных выбранным элементом ML-модели.

[Topic 248079]

Выбор даты и интервала времени в разделе Временной срез

Kaspersky MLAD позволяет выбрать дату и временной интервал (масштаб) отображения поступающих данных.

Чтобы выбрать дату для отображения поступающих данных:

1. В основном меню выберите раздел Временной срез.
2. Нажмите на кнопку и в открывшемся окне выберите дату и время, для которых требуется отображать данные.
3. Нажмите на кнопку Применить.

   На графиках отобразятся значения тегов для выбранных даты и времени.

Чтобы выбрать интервал времени для отображения поступающих данных:

1. В основном меню выберите раздел Временной срез.
2. На открывшейся странице в раскрывающемся списке в верхней части страницы выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
   • 1, 5, 10, 15 и 30 минут;
   • 1, 3, 6 и 12 часов;
   • 1, 2, 15 и 30 дней;
   • 3 и 6 месяцев;
   • 1, 2 и 3 года.

   Если требуется, системный администратор может создать, изменить или удалить временные интервалы.

На странице отобразятся графики заданного пресета для выбранного интервала времени.

[Topic 248080]

Навигация по времени в разделе Временной срез

Kaspersky MLAD предоставляет возможность навигации по времени для удобного просмотра данных.

Чтобы использовать навигацию по времени при просмотре данных:

1. В основном меню выберите раздел Временной срез.
2. На открывшейся странице выберите интервал времени, за который требуется просмотреть данные.
3. С помощью кнопок и , расположенных в верхней части страницы, перемещайтесь по оси времени влево или вправо.

Сдвиг по оси времени на графике просмотра данных будет происходить на выбранный интервал времени.

Навигация по времени

[Topic 248081]

Настройка параметров отображения графиков в разделе Временной срез

Kaspersky MLAD позволяет настроить параметры отображения графиков пресетов в разделе Временной срез.

Чтобы настроить параметры отображения графиков пресетов:

1. В основном меню выберите раздел Временной срез.
2. На открывшейся странице нажмите на кнопку , которая расположена в верхней части экрана.

   Справа отобразится панель Параметры отображения графиков.

3. В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.

   По умолчанию параметр Высота графиков имеет значение 55 px.

4. Нажмите на кнопку Закрыть для возвращения к просмотру графиков.

Заданные параметры отображения графиков будут применены.

[Topic 248082]

Работа с событиями и паттернами

В разделе Процессор событий представлены данные о событиях, а также структуре

паттернов

Последовательность событий или других паттернов, на которые разбивается поток событий от объекта мониторинга.

Последовательность событий или других паттернов, на которые разбивается поток событий от объекта мониторинга.

Последовательность событий или других паттернов, на которые разбивается поток событий от объекта мониторинга.

В разделе Процессор событий вы можете просматривать историю полученных событий и историю регистрации новых и/или устойчиво повторяющихся паттернов. Вы также можете настраивать отображение параметров событий и параметры регистрации паттернов. На вкладке Мониторинг вы можете осуществлять мониторинг определенных событий, паттернов или значений параметров событий, а также обобщенных событий и паттернов, поступающих в процессор событий в потоке данных от объектов мониторинга.

Функциональность доступна после добавления лицензионного ключа.

В случае перезапуска Kaspersky MLAD восстанавливает состояние службы Event Processor и приостанавливает обработку данных, поступающих от коннектора CEF Connector. Эти данные временно сохраняются во внутренней очереди брокера сообщений программы. До восстановления службы Event Processor на вкладках раздела Процессор событий будет отображаться уведомление о том, что служба Event Processor остановлена. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления службы может занимать несколько минут.

Раздел Процессор событий

[Topic 247975]

О процессоре событий

Процессор событий в составе Kaspersky MLAD предназначен для выявления в потоке событий, поступающих от объектов мониторинга, закономерностей в виде повторяющихся событий и паттернов, а также для выявления новых событий и паттернов. Новые события и паттерны могут указывать на аномалию в работе объекта мониторинга.

Вы также можете сфокусировать внимание процессора события на общее поведение объекта мониторинга. Процессор событий будет регистрировать обобщенные события и паттерны, в составе которых будут отсутствовать обобщенные параметры событий.

[Topic 247976]

О событиях

Служба Event Processor обрабатывает данные, поступающие от объектов мониторинга и от службы Anomaly Detector, в виде событий. Событие – это набор значений из заранее заданного перечня параметров, описывающих то, что произошло на объекте мониторинга в определенный момент времени. Набор параметров событий зависит от объекта мониторинга и задается в конфигурационном файле для службы Event Processor.

Процессор событий предназначен для работы только с категориальными значениями параметров событий. Значения параметров событий преобразуются к строковому типу. Для работы с численными значениями данных телеметрии при обработке потока событий Kaspersky MLAD использует службу Anomaly Detector. Системный администратор может включить обработку инцидентов от службы Anomaly Detector при настройке параметров службы Event Processor.

Событие представляет собой явление, обособленное от других событий, и при этом могут существовать интервалы времени, в течение которых никаких событий не происходило. На регистрацию события могут повлиять такие факторы, как действия персонала, изменение режима работы устройства на предприятии или выполнение специалистом команд на АСУ ТП.

Примеры ситуаций, которые могут привести к регистрации событий в Kaspersky MLAD

Событие регистрируется службой Event Processor один раз. При поступлении потока событий процессор событий распознает ранее выявленные события. В случае обнаружения событий, которые не соответствуют ранее выявленным, процессор событий регистрирует новые события.

Вы можете просмотреть полученные события в виде графа или таблицы. Для просмотра событий требуется загрузить их в разделе Процессор событий → История событий. Параметры событий, указанные в конфигурационном файле для службы Event Processor, могут встречаться не во всех событиях, поступающих от объекта мониторинга. Таким образом, при просмотре полученных событий часть параметров может отсутствовать.

[Topic 247977]

О паттернах

В потоке событий, поступающих от объекта мониторинга, процессор событий выявляет закономерности в виде иерархии стабильных (устойчиво повторяющихся) паттернов. Такие закономерности могут быть представлены простыми паттернами (последовательностью событий) или составными паттернами (последовательностью паттернов). В свою очередь паттерны, образующие составной паттерн, называются вложенными.

Последовательность событий или паттернов считается повторяющейся, если составляющие ее элементы следуют в одном и том же порядке, при этом интервалы времени между аналогичными элементами в разных последовательностях отличаются друг от друга не более чем на некоторый максимально допустимый диапазон. Допустимый диапазон интервалов между элементами паттерна рассчитывается с учетом значения параметра Коэффициент, определяющий допустимую дисперсию длительности паттерна. Паттерны обусловлены сложившимися на предприятии практиками, регламентами или техническими особенностями производственного процесса.

Процессор событий представляет выявленные закономерности как послойную иерархию вложенных элементов (структуру паттерна) до уровня событий. События являются элементами первого слоя, простые паттерны – элементами второго слоя, составные паттерны – элементами третьего слоя и выше. Значения параметров события являются элементами нулевого слоя.

Паттерн регистрируется службой Event Processor один раз. При поступлении потока событий процессор событий распознает ранее выявленные паттерны. В случае обнаружения паттернов, которые не соответствуют ранее выявленным закономерностям, процессор событий регистрирует новые паттерны.

К новым паттернам будут относиться последовательности событий или паттернов как с нарушением порядка или состава вложенных паттернов (например, включение агрегата до того, как оператор появился на рабочем месте), так и со значительным изменением интервалов между событиями или вложенными паттернами при сохранении их последовательности (например, включение агрегата через слишком короткий или, наоборот, слишком длинный интервал времени после появления оператора на рабочем месте). Таким образом, процессор событий регистрирует паттерны с новой структурой.

Новые паттерны могут указывать на аномалию в работе объекта мониторинга. Вы можете просмотреть структуру нового паттерна для изучения ее отклонений от структуры ранее выявленных закономерностей.

Если вновь выявленная последовательность событий или паттернов начинает устойчиво повторяться, такая последовательность превращается в стабильный паттерн.

При необходимости служба Event Processor может регистрировать паттерны, в которых не являются важными значения одного или нескольких параметров событий (например, имя сотрудника, который включил агрегат). Такие паттерны называются обобщенными. Для регистрации обобщенных паттернов необходимо при настройке параметров конфигурации внимания задать Обобщенное внимание в качестве типа внимания. Вы также можете указать Обобщенный параметр в качестве типа условия при настройке параметров условий к предмету внимания. Параметры предмета и условий внимания, заданные в качестве обобщенных, не будут отображаться при просмотре структуры обобщенных паттернов на вкладке История паттернов.

[Topic 247978]

О механизме внимания

Поток событий, поступающих от объекта мониторинга, как правило, содержит множество несвязанных между собой событий. Служба Event Processor поддерживает механизм внимания, который позволяет выявлять паттерны на определенном подмножестве событий из всего потока.

Внимание – это специальная конфигурация процессора событий, которую требуется настроить для отслеживания событий и паттернов по отдельным подмножествам истории событий, а также для выявления общности в поведении объекта мониторинга.

Основой конфигурации внимания служат головы внимания, которые задают значение параметра предмета внимания и значения параметров условий к предмету внимания. Предмет внимания соответствует основному параметру события, по которому процессор событий будет регистрировать события и паттерны, а условия соответствуют дополнительным критериям регистрации событий и паттернов для других параметров событий. Голова внимания обрабатывает из всего потока входных событий только те события, которые удовлетворяют обозначенному предмету внимания и условиям. Процессор событий может обрабатывать поток событий для нескольких голов внимания одновременно.

Процессор событий может регистрировать обобщенные события и паттерны для отслеживания общего поведения по разным значениям параметра предмета внимания. Для этого при настройке параметров предмета внимания необходимо задать Обобщенное внимание в качестве типа внимания. Вы также можете указать Обобщенный параметр в качестве типа условия при настройке параметров условий к предмету внимания. Параметры предмета и условий внимания, заданные в качестве обобщенных, не будут отображаться при просмотре обобщенных событий или паттернов, но будут влиять на правила выделения этих обобщенных событий и паттернов из потока.

Вы можете настроить параметры конфигурации внимания в разделе Процессор событий.

[Topic 247979]

О режимах работы процессора событий

В Kaspersky MLAD предусмотрены следующие режимы работы службы Event Processor:

• Основной режим. В основном режиме работы процессор событий обрабатывает входящий поток событий в виде эпизодов. Эпизод – это последовательность событий из всего потока, ограниченная по времени и/или количеству событий. Эпизод считается сформированным при выполнении одного из следующих условий:
  • Время накопления эпизода достигло предела, заданного в параметре Интервал получения событий эпизода (сек.) службы Event Processor.
  • Количество накопленных событий достигло предела, заданного в параметре Размер эпизода в основном режиме (количество событий) службы Event Processor.

  По полученному в потоке событий эпизоду служба Event Processor выявляет новые и/или повторяющиеся (стабильные) события и паттерны по каждой из заданных голов внимания. Вы можете настроить головы внимания в разделе Процессор событий.

  При поступлении события, временная метка которого относится к ранее обработанному эпизоду, служба Event Processor не пересматривает структуру паттернов, выявленных при обработке этого эпизода. Служба Event Processor учитывает события, поступившие в Kaspersky MLAD с временной задержкой, при выявлении паттернов во время повторной обработки истории событий в режиме сна.

• Режим сна. Для улучшения качества выявленных паттернов и их структуры процессор событий может переходить в режим сна в соответствии с заданным расписанием. Обработка потока событий в онлайн-режиме приостанавливается, при этом Kaspersky MLAD накапливает поступающие события во внутреннем ограниченном буфере сервера для последующей обработки после перехода из режима сна в основной режим работы.

  В режиме сна процессор событий повторно анализирует последовательности событий, обработанные ранее в основном режиме работы. Для выявления более сложных структур паттернов в режиме сна процессор событий обрабатывает последовательности событий за более длительные интервалы времени, чем время накопления эпизода в основном режиме.

  В параметрах службы Event Processor вы можете настроить расписание режима сна (например, на время, когда поток событий наименее интенсивен), а также интервал времени, за который требуется передать события, проанализированные в основном режиме работы, на повторную обработку.

[Topic 247980]

О мониторах

Монитор – источник извещений о выявлении процессором событий паттернов, событий или значений параметров событий в соответствии с заданными критериями мониторинга. Критерии мониторинга определяют голову внимания, дополнительные фильтры на значения параметров событий, а также скользящий временной интервал и количество последовательных активаций монитора на скользящем временном интервале.

Вы можете создать мониторы для оповещения о выявлении следующих вхождений в потоке событий:

• Значения параметров событий. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся значений определенного параметра события. Например, если вы хотите отслеживать новых пользователей на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Значения параметров и настроить его на выявление новых значений по параметру Пользователь.
• События. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся событий. Вы также можете сфокусировать внимание процессора событий на определенном параметре событий. Например, если вы хотите отслеживать новые действия конкретного пользователя на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки События и в параметре события Пользователь указать имя пользователя, действия которого вы хотите отслеживать.
• Паттерны. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся паттернов. Например, если вы хотите отслеживать закономерности в действиях конкретного пользователя на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Паттерны, сфокусировать внимание процессора событий на параметре Пользователь и указать в этом параметре имя пользователя, закономерности в действиях которого вы хотите отслеживать.
• Похожие обобщенные события или паттерны. Вы можете создать монитор для оповещения о выявлении похожих обобщенных событий или паттернов. Если вы хотите отслеживать общие закономерности в действиях различных пользователей на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Похожие обобщенные, выбрать голову с обобщенным вниманием на параметре Пользователь, а также выбрать вариант Подписка на паттерны для параметра Подписка на события или паттерны.
• Уникальные обобщенные события или паттерны. Вы можете создать монитор для оповещения о выявлении уникальных обобщенных событий или паттернов. Например, если вы хотите отслеживать новые общие закономерности в действиях любого пользователя, то при создании монитора вам нужно выбрать тип подписки Уникальные обобщенные, выбрать голову с обобщенным вниманием на параметре Пользователь и условиями на дополнительные параметры, соответствующим ожиданиям в поведении разных пользователей, и выбрать вариант Подписка на паттерны для параметра Подписка на события или паттерны. Вам также нужно указать в параметре Скользящее окно (сек.) интервал времени, в течение которого процессор событий будет ожидать похожий обобщенный паттерн по другим пользователям. Если процессор событий не обнаружит такой паттерн, монитор отправит оповещение об активации.

Фильтры в составе критериев мониторинга могут задаваться нечетко. Например, вы можете создать монитор для отслеживания ситуаций, при которых какой-либо пользователь (отслеживание по всем значениям параметра Пользователь) ходил к серверу бухгалтерии (значение параметра Сервер) более десяти раз (значение поля Порог активации) за последние пять минут (значение скользящего временного интервала).

При обнаружении в потоке поступающих данных событий, паттернов и значений параметров событий, соответствующих критериям мониторинга, процессор событий активирует монитор. Kaspersky MLAD отображает информацию о количестве активаций монитора при его просмотре, а также отправляет во внешнюю систему оповещения об активации мониторов при достижении заданного порога на скользящем окне с помощью коннектора CEF Connector.

Созданные пользователем мониторы отображаются в разделе Процессор событий на вкладке Мониторинг.

[Topic 284059]

Настройка отображения параметров событий

Перед обработкой событий службой Event Processor требуется настроить отображение параметров событий.

Функциональность доступна после добавления лицензионного ключа.

Чтобы настроить отображение параметров событий:

1. В основном меню выберите раздел Процессор событий → Мониторинг.
2. На открывшейся странице нажмите на кнопку Настройка отображения фильтров.

   Справа отобразится панель Настройка отображения фильтров параметров событий.

3. Для настройки отображения фильтров параметров событий в блоке Фильтры на вкладках История событий и История паттернов установите флажки рядом с именами нужных параметров событий.

   По умолчанию в панели отображаются параметры событий от службы Anomaly Detector. Для отображения пользовательских параметров событий требуется загрузить конфигурационный файл службы Event Processor. По умолчанию выбраны все доступные параметры событий.

   Если включена функция Обрабатывать инциденты как события, то в процессор событий поступают события со следующими параметрами:

   • incident_detection_system – тип зарегистрированного инцидента.
   • incident_model_name – название используемой ML-модели.
   • incident_tag_name – название тега, поведение которого привело к регистрации инцидента.
   • incident_group_name – название группы инцидентов, в которую входит зарегистрированный инцидент.
   • incident_triggered_tag_value – значение тега, поведение которого привело к регистрации инцидента.
   • incident_id – идентификатор зарегистрированного инцидента.
   • incident_tag_id – идентификатор тега, поведение которого привело к регистрации инцидента.

   При необходимости вы можете изменить порядок отображения параметров событий в блоке Фильтры. Для этого нужно перетащить параметр события в нужное место в панели Настройка отображения фильтров параметров событий, удерживая за точки слева () от имени нужного параметра события.

4. Нажмите на кнопку Сохранить.

[Topic 248037]

Настройка параметров конфигурации внимания

Перед обработкой событий службой Event Processor требуется настроить параметры конфигурации внимания.

Основой конфигурации внимания служат головы внимания, которые задают значение параметра предмета внимания и значения параметров условий к предмету внимания. Предмет внимания соответствует основному параметру события, по которому процессор событий будет регистрировать события и паттерны, а условия соответствуют критериям регистрации событий и паттернов для других параметров событий. Голова внимания обрабатывает из всего потока входных событий только те события, которые удовлетворяют обозначенному предмету внимания и условиям.

Процессор событий может регистрировать обобщенные события и паттерны для отслеживания общего поведения по разным значениям параметра предмета внимания. Для этого при настройке параметров предмета внимания необходимо задать Обобщенное внимание в качестве типа внимания. Вы также можете указать Обобщенный параметр в качестве типа условия при настройке параметров условий к предмету внимания. Параметры предмета и условий внимания, заданные в качестве обобщенных, не будут отображаться в зарегистрированных событиях и паттернах, но будут влиять на правила выделения этих обобщенных событий и паттернов из потока

Все созданные головы внимания и информация о них отображается в панели Головы внимания. Для просмотра информации о головах внимания в панели Головы внимания необходимо нажать на кнопку Настройка конфигурации внимания.

[Topic 290575]

Добавление головы внимания

Вы можете создать несколько голов внимания и использовать разные головы внимания для разных мониторов одновременно.

Функциональность доступна после добавления лицензионного ключа.

Большое количество голов внимания может привести к снижению производительности процессора событий и замедлению работы основных служб Kaspersky MLAD (прием данных, обнаружение аномалий, работа веб-интерфейса). Для уточнения количества голов внимания рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.

Чтобы добавить голову внимания:

1. В основном меню выберите раздел Процессор событий → Мониторинг.
2. На открывшейся странице нажмите на кнопку Настройка конфигурации внимания.

   Справа отобразится панель Головы внимания.

3. Для добавления головы внимания нажмите на кнопку Добавить голову внимания.

   Справа отобразится панель Добавление головы внимания.

4. В поле Название введите название головы внимания.
5. Для использования головы внимания при обработке потока событий установите переключатель Состояние в положение Активна.
6. В блоке параметров Предмет внимания выполните следующие действия:
   1. В раскрывающемся списке Параметр события выберите основной параметр события, по которому требуется регистрировать события и паттерны.
   2. В раскрывающемся списке Тип внимания выберите одно из следующих значений:
      • Внимание. При регистрации событий и паттернов внимание процессора событий будет направлено на выбранный параметр события с учетом выбранного значения.
      • Обобщенное внимание. При регистрации событий и паттернов процессор событий обобщит выбранные значения по выбранному параметру события.

        При выборе этого типа внимания процессор событий будет регистрировать обобщенные паттерны, при просмотре которых не будет отображаться выбранный параметр события с выбранным значением. Процессор событий будет отслеживать каждое заданное значение параметра события отдельно.

   3. Выполните одно из следующих действий:
      • Если требуется включить во внимание все значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Все значения.

        При выборе варианта Все значения процессор событий будет отслеживать события и паттерны по каждому конкретному значения параметра события отдельно. Для обеспечения стабильной производительности процессора событий рекомендуется указать конкретные значения предмета события.

      • Если требуется включить во внимание конкретные значения параметра события или обобщить эти значения во внимании, в раскрывающемся списке Тип значения выберите Определенные значения и введите нужное значение в поле Значение. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.

        Если вы выбрали Обобщенное внимание в качестве типа внимания, выберите не менее двух значений параметра события.

      • Если требуется включить во внимание значения параметра события по шаблону или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Регулярное выражение и введите шаблон значения с помощью регулярного выражения в поле Значение.

        Для поиска событий и паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.

7. Если требуется обобщить остальные параметры событий, установите переключатель Обобщение параметров условий в положение Включено.

   Если в качестве типа внимания было выбрано обобщенное внимание, то при включенном переключателе процессор событий обобщит остальные параметры событий по всем их значениям. В таком случае процессор событий не зарегистрирует ни одного события или паттерна. Для того, чтобы процессор событий сформировал события или паттерны необходимо задать в блоке параметров Условия хотя бы один параметр события без обобщения по его значениям.

8. Если требуется уточнить критерии регистрации паттернов по дополнительным параметрам событий, в блоке параметров Условия выполните следующие действия:
   1. Нажмите на кнопку Добавить условие.
   2. В раскрывающемся списке Параметр события выберите дополнительный параметр события, по которому требуется уточнить выборку данных для регистрации событий и паттернов.
   3. В раскрывающемся списке Тип условия выберите одно из следующих значений:
      • Параметр. При регистрации событий и паттернов процессор событий будет учитывать значения выбранного параметра события с учетом выборки данных, полученных для основного параметра события.
      • Обобщенный параметр. При регистрации событий и паттернов внимание процессора событий обобщит значения выбранного параметра с учетом выборки данных, полученных для основного параметра события.

        При выборе этого типа условия процессор событий будет регистрировать паттерны, при просмотре которых не будет отображаться выбранный параметр события с выбранным значением.

        Это значение доступно, если для предмета внимания выбран тип Обобщенное внимание.

   4. Выполните одно из следующих действий:
      • Если требуется включить во внимание новые значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Новые значения.

        Элемент Новые значения доступен в следующих случаях:

        • В качестве типа условия выбран тип Параметр.
        • В качестве типа внимания выбран тип Внимание, переключатель Обобщение параметров условий выключен, а в качестве типа условия выбран тип Обобщенный параметр.
      • Если требуется включить во внимание все значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Все значения.

        Элемент Все значения доступен в следующих случаях:

        • Переключатель Обобщение параметров условий включен, а в качестве типа условия выбран тип Параметр.
        • Переключатель Обобщение параметров условий выключен, а в качестве типа условия выбран тип Обобщенный параметр.
      • Если требуется включить во внимание конкретные значения параметра события или обобщить эти значения во внимании, в раскрывающемся списке Тип значения выберите Определенные значения и введите нужное значение в поле Значение. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.
      • Если требуется включить во внимание значения параметра события по шаблону или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Регулярное выражение и введите шаблон значения с помощью регулярного выражения в поле Значение.

        Для поиска событий и паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.

   Вы можете задать более одного условия по дополнительным параметрам событий. При необходимости вы можете удалить ранее добавленное условие нажатием на кнопку  напротив строки с нужным условием.

   Заданные условия будут дополнительно применены к выборке данных, полученных для основного параметра события, заданного в блоке параметров Предмет внимания. Например, если был выбран тип Обобщенное внимание, то при включенном переключателе Обобщение параметров условий процессор событий будет регистрировать паттерны, в составе которых будут отображаться только те параметры событий, которые были заданы в блоке параметров Условия, с учетом их выбранных значений. Если переключатель выключен, то процессор событий будет регистрировать паттерны, в составе которых не будут отображаться обобщенный параметр, заданный в блоке параметров Предмет внимания. При этом будут учитываться значения параметров событий, заданные в блоке параметров Условия.

9. Нажмите на кнопку Сохранить.