Kaspersky Machine Learning for Anomaly Detection

Содержание

[Topic 247959]

О Kaspersky Machine Learning for Anomaly Detection

Система раннего обнаружения аномалий Kaspersky Machine Learning for Anomaly Detection (далее также Kaspersky MLAD, программа) – программное обеспечение, предназначенное для предотвращения сбоев, аварий или деградации промышленных установок, технологических процессов, сложных киберфизических систем. Анализируя данные телеметрии с помощью методов машинного обучения (искусственного интеллекта), Kaspersky MLAD выявляет признаки аномальной ситуации до того, как она будет обнаружена традиционными системами мониторинга.

Kaspersky MLAD обнаруживает аномалии в технологических процессах независимо от вызвавших их причин. Аномалии могут быть вызваны следующими причинами:

  • Физические (например, поломка оборудования или выход из строя датчиков).
  • Человеческий фактор (например, намеренные или ненамеренные, неверные действия оператора, настройка оборудования, смена режимов или установок или переход на ручное управление).
  • Кибератаки.

Основные возможности Kaspersky MLAD:

В этом разделе справки

Комплект поставки

Аппаратные и программные требования

Рекомендации по обеспечению безопасной работы

Устранение уязвимостей и установка критических обновлений

Разделение доступа к функциям программы

В начало

[Topic 247960]

Комплект поставки

Kaspersky MLAD поставляется в виде файла архива Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, который содержит следующие файлы:

  • установочный скрипт и все необходимые для установки системы файлы;
  • скрипты обновления, проверки и резервного копирования программы;
  • файлы с текстом Лицензионного соглашения на русском и английском языках;
  • файлы с информацией о программе (Release Notes) на русском и английском языках;
  • файл с информацией о стороннем коде legal_notices.txt на английском языке.

После того как вы распаковали архив, в директории legal будут расположены текстовые файлы license_ru.txt и license_en.txt, с помощью которых вы можете ознакомиться с Лицензионным соглашением. В Лицензионном соглашении указано, на каких условиях вы можете пользоваться программой.

В начало

[Topic 247961]

Аппаратные и программные требования

Аппаратные требования для каждого защищаемого объекта нужно уточнять с учетом применяемой модели, количества обрабатываемых тегов и событий, средней скорости получения данных (количества наблюдений в секунду) и объема хранимых данных. Чем больше объем обрабатываемых данных и сложность используемой ML-модели, тем больше аппаратных ресурсов потребуется для установки серверной части Kaspersky MLAD.

Требования к серверу Kaspersky MLAD

Для функционирования программы сервер Kaspersky MLAD должен удовлетворять следующим минимальным требованиям.

Список поддерживаемых процессоров:

  • процессор Intel Xeon E3 v3, v4, v5, v6;
  • процессор Intel Xeon E5 v3, v4;
  • процессор Intel Xeon E7 v3, v4;
  • масштабируемые процессоры Intel Xeon;
  • масштабируемые процессоры Intel Xeon 2-го и 3-го поколения;
  • процессор Intel Xeon E;
  • процессор Intel Xeon W;
  • процессор Intel Xeon D;
  • процессор Intel Core i5, i7 4-го поколения и выше;
  • процессор Intel Core i9;
  • процессор Intel Core M.

Минимальные аппаратные требования:

  • 8 ядер;
  • 32 ГБ оперативной памяти;
  • 200 ГБ свободного пространства на жестком диске (рекомендуется использовать SSD-диск).

    Если в Kaspersky MLAD будет поступать большой поток данных, требуется увеличить объем свободного пространства на жестком диске.

Вы можете установить Kaspersky MLAD на сервер с другим 64-битным процессором архитектуры x86 2013 года выпуска и позже. Процессор должен соответствовать вышеперечисленным минимальным аппаратным требованиям и поддерживать следующие расширения, необходимые для библиотеки TensorFlow 2.15.1:

  • Advanced Vector Extensions (avx);
  • Advanced Vector Extensions 2 (avx2).

Поддерживаемые операционные системы:

  • Ubuntu 22.04 LTS и выше.

До развертывания Kaspersky MLAD должно быть установлено следующее программное обеспечение:

  • docker 24.0.9 и выше;
  • docker compose 2.12.2 и выше.

Устанавливать программное обеспечение на сервер Kaspersky MLAD требуется с официального Docker-репозитория.

Для обновления и резервного копирования программы должна быть установлена утилита jq. Вы можете установить утилиту jq с помощью пакетного менеджера apt.

Требования к компьютеру пользователя

Для работы с веб-интерфейсом Kaspersky MLAD компьютер пользователя должен удовлетворять следующим минимальным требованиям:

  • процессор Intel Core i5;
  • 8 ГБ оперативной памяти;
  • 64-битная операционная система;
  • установленный браузер Google Chrome версии 107 и выше;
  • минимальное разрешение экрана монитора для правильного отображения веб-интерфейса – 1600х900.
В начало

[Topic 247962]

Рекомендации по обеспечению безопасной работы

Для обеспечения безопасной работы Kaspersky MLAD на предприятии рекомендуется ограничить и контролировать доступ к оборудованию, на котором работает программа.

Физическая безопасность оборудования

При внедрении Kaspersky MLAD рекомендуется принять следующие меры по обеспечению безопасной работы:

  • Ограничить доступ в помещение, в котором расположен сервер с установленной программой Kaspersky MLAD, а также к сетевому оборудованию выделенной сети. Доступ в помещение должен предоставляться только доверенными лицами, например персоналу, обладающему полномочиями по установке и настройке программы.
  • Обеспечить контроль физического доступа к оборудованию, на котором работает программа, с помощью технических средств или службы охраны.
  • Проводить мониторинг доступа в контролируемые помещения с помощью средств охранной сигнализации.
  • Осуществлять видеонаблюдение в контролируемых помещениях.

Информационная безопасность

Параметры ML-модели напрямую влияют на обнаружение аномалий, и поэтому изменять их могут только системные администраторы и пользователи с правами из группы прав Управление ML-моделями. История изменений доступна только в журналах программы, которые хранятся ограниченное время.

При использовании веб-интерфейса рекомендуется принять следующие меры по обеспечению информационной безопасности интранет-системы:

  • Обеспечить пользователям доступ к программе только через веб-интерфейс.
  • Установить сертификаты на компьютеры пользователей для авторизации сервера Kaspersky MLAD c браузером. Для использования доверенного сертификата вам нужно обратиться к квалифицированному техническому специалисту Заказчика, сотруднику АО "Лаборатория Касперского" или сертифицированному интегратору.
  • Обеспечить защиту трафика внутри интранет-системы.
  • Обеспечить защиту подключений к внешним сетям.
  • Использовать защищенное TLS-соединение для передачи данных.
  • Изменить имя и пароль первого пользователя программы с ролью системного администратора при установке программы.
  • Изменять пароль учетной записи в соответствии со сроком его действия. Срок действия пароля задается при настройке параметров безопасности программы. По умолчанию срок действия пароля составляет 180 дней.
  • Для подключений через веб-интерфейс использовать пароли, которые соответствуют следующим требованиям:
    • Не совпадают с предыдущими паролями учетной записи. Количество ранее использованных паролей, с которыми новый пароль не должен совпадать, задается при настройке параметров безопасности программы. По умолчанию пароль не должен совпадать с пятью предыдущими паролями.
    • Содержат не менее восьми символов.
    • Содержат одну или несколько прописных букв латинского алфавита.
    • Содержат одну или несколько строчных букв латинского алфавита.
    • Содержат одну или несколько цифр.
    • Содержат один или несколько следующих специальных символов: _ ! @ # $ % ^ & *.
  • Обеспечивать конфиденциальность и уникальность паролей. При угрозе компрометации пароля изменить пароль.
  • Установить ограничение времени жизни веб-сессии пользователя.
  • После окончания работы в браузере принудительно завершать сессию подключения к программе с помощью пункта Выход в веб-интерфейсе.
  • Периодически выполнять установку обновлений для операционной системы на сервере, на котором развернут Kaspersky MLAD.
  • Использовать разграничение прав доступа пользователей к функциям программы.

Безопасность данных

В процессе работы с Kaspersky MLAD рекомендуется принять следующие меры по обеспечению безопасности данных:

  • Выполнить настройку операционной системы и обеспечить доступ к файлам сервера, на котором установлен Kaspersky MLAD, согласно Рекомендациям по безопасной настройке операционных систем Linux, предоставляемых Федеральной службой по техническому и экспортному контролю (ФСТЭК) России.
  • Выполнять периодическое резервное копирование данных сервера с установленной программой Kaspersky MLAD согласно внутреннему регламенту компании.
  • Выполнять периодический контроль работоспособности интерфейса и служб программы. Особое внимание нужно уделять службе уведомлений и системе ведения журналов.
  • Выполнять проверку каналов связи на исправность и безопасность.
  • Выполнять периодический контроль работоспособности сервера:
    • контроль дисков по SMART;
    • наличие достаточного свободного места и памяти;
    • загруженность оперативной памяти.
  • Контролировать протоколы сервера на отсутствие проблем, используя систему мониторинга.
  • Хранить чувствительные данные в надежном хранилище.
В начало

[Topic 247974]

Устранение уязвимостей и установка критических обновлений

"Лаборатория Касперского" может выпускать обновления программы, направленные на устранение уязвимостей и недостатков безопасности (критические обновления). Срочные пакеты обновлений поставляются и устанавливаются в рамках действующего Договора об оказании технической поддержки. Уведомления о выпуске критических обновлений рассылаются по адресам электронной почты, указанным в действующем Договоре об оказании технической поддержки.

Рекомендуется, чтобы сотрудник, ответственный за эксплуатацию программы, также периодически (не реже одного раза в три месяца) проверял отсутствие обнаруженных уязвимостей в программе, используя веб-сайт "Лаборатории Касперского".

Вы можете сообщить об обнаруженных недостатках безопасности или уязвимостях программы по адресу электронной почты vulnerability@kaspersky.com, зашифровав письмо с помощью PGP-ключа. В письме предоставьте следующую информацию:

  • Контактную информацию.
  • Название продукта, его версию и тип операционной системы вашего устройства, на котором найдена уязвимость.
  • Подробное описание уязвимости.
  • Планируете ли вы распространять информацию об уязвимости третьей стороне.

    Не публикуйте информацию об уязвимости, пока она не исправлена специалистами "Лаборатории Касперского".

В начало

[Topic 254374]

Разделение доступа к функциям программы

В Kaspersky MLAD вы можете разграничить доступ пользователей к функциям программы в зависимости от задач пользователей, используя роли. Роль – это набор прав доступа к функциям программы, который вы можете назначить пользователю.

В зависимости от назначенной роли пользователям могут быть доступны следующие функции Kaspersky MLAD:

Доступные функции программы

Функциональная область

Системный администратор

Пользовательская роль

Управление лицензионными ключами:

Есть.

Отсутствует.

Управление учетными записями пользователей:

Есть.

Отсутствует.

Управление ролями:

Есть.

Отсутствует.

Просмотр прав пользователей

Есть.

Отсутствует.

Управление уведомлениями об инцидентах:

Есть.

Отсутствует.

Настройка параметров Kaspersky MLAD

Есть.

Отсутствует.

Управление активами:

Есть.

Отсутствует.

Управление ML-моделями:

Есть.

Есть. (по назначению)

Управление службами Kaspersky MLAD:

Есть.

Есть. (по назначению)

Работа с журналами программы

Есть.

Есть. (по назначению)

Всем пользователям программы доступны следующие права по умолчанию:

Вы также можете создать роль с правом Права на все действия. Пользователям, которым будет присвоена эта роль, будут доступны функции системного администратора.

Вы можете просмотреть доступные роли пользователей и их права доступа к функциям программы в разделе Роли в меню администратора.

Вы можете просмотреть права доступа к функциям программы для определенных пользователей в разделе Пользователи в меню администратора.

В начало

[Topic 247964]

Что нового

В Kaspersky Machine Learning for Anomaly Detection 5.0 появились следующие возможности и доработки:

  • Конструктор моделей – добавлена поддержка элементов ML-моделей на основе эллиптического конверта. Добавлена функциональность, позволяющая регистрировать инциденты при наблюдении аномального поведения в течение некоторого интервала времени. Добавлена функциональность, позволяющая копировать элементы ML-моделей и разметки. В дереве активов добавлено отображение статусов и состояний ML-моделей и их элементов. Добавлена функциональность, позволяющая выполнять поиск и фильтрацию по элементам дерева активов.
  • Пресеты – добавлена функциональность, позволяющая объединять теги пресета в графические области и управлять параметрами отображения графиков тегов в графической области.
  • Разделы Мониторинг и История – добавлена поддержка отображения графиков нескольких тегов в рамках одной графической области. Управление графическими областями и тегов в их составе осуществляется в разделе Пресеты.
  • Лицензирование – добавлена функциональность, позволяющая добавлять лицензионные ключи для разных типов лицензий в зависимости от необходимого набора функций.
  • Скрипты установки, обновления и резервного копирования программы – доработаны алгоритмы скриптов установки и обновления программы в соответствии с требованиями информационной безопасности. Добавлена функциональность, позволяющая переключаться между режимами управления состоянием Kaspersky MLAD с помощью скрипта установки. Функциональность резервного копирования программы и отката программы к предыдущей установленной версии обеспечивается с помощью скрипта резервного копирования.
  • Запуск и остановка программы – добавлена функциональность, позволяющая запускать и останавливать программу с помощью утилиты systemctl.
  • Учетные записи пользователей – в веб-интерфейсе добавлена возможность изменять адреса электронной почты для учетных записей пользователей.
  • Уведомления об инцидентах – в веб-интерфейсе добавлена возможность указать дополнительные адреса электронной почты для отправки уведомлений об инцидентах. Добавлена функциональность, позволяющая отправлять уведомления при регистрации определенных типов инцидентов: инцидентов, зарегистрированных определенными типами элементов ML-моделей или зарегистрированных детектором Limit Detector и/или службой Stream Processor. Добавлена функциональность, позволяющая исключить отправку уведомлений об инцидентах, зарегистрированных элементами неопубликованных ML-моделей.
  • Служба Event Processor – расширена функциональность механизма внимания. Добавлена функциональность, позволяющая отслеживать обобщенные события и паттерны. Улучшено отображение мониторов.
  • Служба Mail Notifier – добавлены новые параметры для настройки службы Mail Notifier.
  • Коннекторы HTTP Connector и OPC UA Connector – добавлены новые параметры для настройки коннектора HTTP Connector и коннектора OPC UA Connector.
  • Коннекторы MQTT Connector, AMQP Connector и CEF Connector – добавлена поддержка TLS-соединения по умолчанию, а также добавлена функциональность, позволяющая использовать рекомендуемые параметры TLS-соединения.
  • Коннектор WebSocket Connector – добавлена функциональность, позволяющая использовать рекомендуемые параметры TLS-соединения.
  • Push-сообщения – добавлена функциональность, позволяющая передавать сообщения между службами Kaspersky MLAD.

В начало

[Topic 247981]

Архитектура Kaspersky MLAD

Kaspersky MLAD устанавливается на сервере, который соответствует аппаратным и программным требованиям. Сервер Kaspersky MLAD осуществляет функции централизованного хранения информации о службах и коннекторах программы и предоставляет единый пользовательский веб-интерфейс для управлениями ими.

Доступ к отдельным службам и коннекторам программы не предусмотрен.

При установке Kaspersky MLAD все службы и коннекторы программы размещаются на одном сервере и взаимодействуют друг с другом через внутреннюю виртуальную сеть, изолированную от внешних систем.

Kaspersky MLAD включает в себя специально подготовленные ML-модели, а также следующие службы и коннекторы:

ML-модель

ML-модель – это модель, которая создается для конкретного объекта защиты на основе алгоритмов машинного обучения и/или диагностических правил с использованием данных телеметрии этого объекта. ML-модель обеспечивает обнаружение аномалий.

ML-модель может быть создана с помощью конструктора моделей или предоставлена в рамках Услуги построения модели и внедрения Kaspersky MLAD.

Службы Kaspersky MLAD

Службы Kaspersky MLAD – это набор основных служб программы, который поставляется на каждый объект мониторинга. Kaspersky MLAD включает в себя следующие службы:

  • Anomaly Detector. Обнаруживает аномалии на основе обработки данных с помощью ML-модели.
  • Event Processor. Выявляет паттерны и аномальные последовательности событий, используя методы машинного обучения на основе нейросемантической сети.
  • Stream Processor. Обрабатывает данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени, и приводит их к равноинтервальной временной сетке.
  • Trainer. Выполняет обучение ML-модели на основе данных телеметрии, полученных Kaspersky MLAD для конкретного объекта мониторинга.
  • Similar Anomaly. Выявляет и группирует схожие инциденты.
  • Message Broker. Выполняет обмен данными между службами Kaspersky MLAD.
  • Time Series Database. Осуществляет хранение временных рядов наблюдаемых значений тегов, артефактов, связанных с тегами, и артефактов элементов ML-моделей.
  • Keeper. Осуществляет маршрутизацию данных телеметрии, которые подлежат сохранению в базе данных.
  • Database. Используется для хранения всех конфигурационных параметров работы Kaspersky MLAD.
  • API Server. Обеспечивает работу внутренних интерфейсов Kaspersky MLAD.
  • Web Server. Обеспечивает работу веб-интерфейса Kaspersky MLAD.
  • Logger. Осуществляет хранение функциональных журналов работы Kaspersky MLAD.
  • Mail Notifier. Выполняет рассылку по электронной почте уведомлений о регистрации инцидентов.
  • Docker API Server. Обеспечивает взаимодействие с Docker.
  • Migrations. Обновляет сведения о параметрах работы Kaspersky MLAD в базе данных Database.
  • Push Server. Отправляет push-сообщения в Kaspersky MLAD.

Коннекторы

Коннекторы – это службы, которые обеспечивают обмен данными с внешними системами. Для каждого объекта защиты требуется выбрать один из следующих коннекторов:

  • KICS Connector. Обеспечивает взаимодействие с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.
  • OPC UA Connector. Обеспечивает получение тегов от систем АСУ ТП по протоколу, который описан спецификацией OPC Unified Architecture (Унифицированная архитектура OPC).
  • CEF Connector. Обеспечивает получение событий от внешних источников (промышленного интернета вещей, сетевых устройств и приложений) и отправку обратно сообщений в формате CEF (Common Event Format), зарегистрированных мониторами анализа событий.
  • MQTT Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).
  • AMQP Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).
  • WebSocket Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу WebSocket.
  • HTTP Connector. Обеспечивает получение данных телеметрии от систем АСУ ТП в виде CSV-файлов через POST-запросы по протоколу HTTP или HTTPS.

На рисунке ниже представлена схема взаимодействия служб Kaspersky MLAD.

Схема описывает взаимодействие Kaspersky MLAD с внешними системами и взаимодействие компонентов Kaspersky MLAD между собой.

Схема взаимодействия служб Kaspersky MLAD

В начало

[Topic 247982]

Типовые схемы развертывания

Этот раздел содержит описание стандартных схем развертывания Kaspersky MLAD в сети объекта мониторинга, а также описание особенностей интеграции Kaspersky MLAD с другими программами.

Kaspersky MLAD поддерживает следующие варианты установки:

  • Одиночная установка.
  • Установка с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.

Одиночная установка Kaspersky MLAD

Вы можете установить только Kaspersky MLAD, если планируете использовать в качестве поставщика данных следующие коннекторы:

  • OPC UA Connector;
  • MQTT Connector;
  • AMQP Connector;
  • CEF Connector;
  • WebSocket Connector;
  • HTTP Connector.

На рисунках ниже представлены примеры схем одиночной установки Kaspersky MLAD с использованием перечисленных выше коннекторов. Вы можете использовать любые конфигурации коннекторов, которые подходят для вашего объекта мониторинга.

Схема описывает поток данных от внешних систем при одиночной установке Kaspersky MLAD с использованием OPC UA-, MQTT-, AMQP-, HTTP-, WebSocket- и CEF-коннекторов.

Одиночная установка Kaspersky MLAD с использованием коннекторов: OPC UA Connector, MQTT Connector, AMQP Connector, HTTP Connector, WebSocket Connector, CEF Connector

Схема описывает поток данных от внешних систем при одиночной установке Kaspersky MLAD с использованием MQTT-, AMQP-, HTTP-, WebSocket- и CEF-коннекторов.

Одиночная установка Kaspersky MLAD с использованием коннекторов: MQTT Connector, AMQP Connector, HTTP Connector, WebSocket Connector, CEF Connector

Установка Kaspersky MLAD с Kaspersky Industrial CyberSecurity for Networks

Вы можете установить Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks, если планируете использовать в качестве поставщика данных Kaspersky Industrial CyberSecurity for Networks (см. рисунок ниже).

Kaspersky Machine Learning for Anomaly Detection совместим с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.

Схема описывает поток данных от внешних систем при установке Kaspersky MLAD с Kaspersky Industrial CyberSecurity for Networks.

Установка Kaspersky MLAD с Kaspersky Industrial CyberSecurity for Networks

Если вы хотите использовать этот вариант установки, сначала требуется установить Kaspersky Industrial CyberSecurity for Networks и добавить коннектор типа Generic. Для добавленного коннектора требуется создать файл свертки и указать в нем параметры подключения Kaspersky Industrial CyberSecurity for Networks к Kaspersky MLAD. Полученный файл свертки вам нужно загрузить в Kaspersky MLAD при настройке коннектора KICS Connector. Подробную информацию о создании и добавлении коннектора вы можете получить в разделе Добавление коннектора в справке Kaspersky Industrial CyberSecurity for Networks.

Компьютеры, на которых установлены Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks, должны находиться в одной сети.

В начало

[Topic 247983]

Схема потока данных телеметрии и событий

В Kaspersky MLAD обмен данными с внешними системами обеспечивается за счет коннекторов. Для получения данных телеметрии (тегов) и/или событий от внешних систем требуется настроить коннекторы HTTP Connector, MQTT Connector, AMQP Connector, OPC UA Connector, KICS Connector, CEF Connector и WebSocket Connector.

Если в программе настроена передача событий и инцидентов в сторонние системы, программа отправляет зарегистрированные события и инциденты в сторонние системы по выбору системного администратора. Системный администратор программы самостоятельно выбирает сторонние системы и типы событий и инцидентов для передачи в сторонние системы. Обработка и сохранение полученных данных в сторонней системе выполняется в соответствии с ее функциональностью и назначением.

Данные телеметрии объекта мониторинга проходят первичную обработку в службе Stream Processor, которая приводит полученные теги к равноинтервальной временной сетке. При обнаружении нарушений потока данных телеметрии, а также наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно, служба Stream Processor регистрирует инциденты.

Служба Stream Processor передает данные, приведенные к РИВС, в ML-модель службы Anomaly Detector. Если при обработке полученных данных элементы ML-моделей обнаруживают отклонения от нормального поведения объекта мониторинга, то служба Anomaly Detector регистрирует инциденты. При обнаружении схожих инцидентов служба Similar Anomaly формирует группы инцидентов.

Вы можете просмотреть зарегистрированные инциденты и группы инцидентов в разделе Инциденты. Kaspersky MLAD также отправляет уведомления об инцидентах на заданные адреса электронной почты и/или во внешние системы с помощью коннекторов.

События, поступившие в Kaspersky MLAD, проходят обработку в службе Event Processor. В качестве событий процессор событий также может обрабатывать инциденты, зарегистрированные службой Anomaly Detector. Процессор событий выявляет в потоке событий закономерности в виде повторяющихся событий и паттернов, а также новые события и паттерны. При активации мониторов служба Event Processor также отправляет оповещения о выявлении событий, паттернов и значений параметров событий в соответствии с заданными критериями мониторинга во внешние системы с помощью коннектора CEF Connector. Вы также можете просмотреть информацию о событиях, паттернах и мониторах в разделе Процессор событий.

На рисунке ниже показан поток данных телеметрии и событий в Kaspersky MLAD.

Схема показывает поток данных телеметрии и событий между внешними системами, коннекторами и службами программы.

Поток данных телеметрии и событий в Kaspersky MLAD

В начало

[Topic 247984]

Порты, используемые Kaspersky MLAD

В таблице ниже перечислены порты, которые должны быть открыты на серверах, на которых установлен Kaspersky MLAD.

Порт

Протокол

Описание

443

TCP (HTTPS)

Используется для подключения к веб-интерфейсу Kaspersky MLAD.

3001

TCP (HTTPS)

Используется для подключения к системе ведения журналов (Grafana).

4999

TCP (HTTP или HTTPS)

Используется для загрузки коннектором HTTP Connector CSV-файлов из внешних источников.

5518

TCP

Используется для подключения внешних источников событий к коннектору CEF Connector по умолчанию. Номер порта задается в конфигурационном файле .env.

В начало

[Topic 247986]

Установка программы

Этот раздел содержит пошаговое описание установки Kaspersky MLAD. При установке Kaspersky MLAD создает первого пользователя программы с ролью системного администратора.

Перед установкой необходимо убедиться в наличии требуемого объема свободного места на жестком диске, на котором будет установлена программа. Тома (volumes) службы Docker должны храниться на диске, на котором установлена программа. Если тома Docker хранятся на другом диске, необходимо их перенести, указав путь к месту хранения томов на жестком диске, на котором устанавливается программа, в конфигурационном файле Docker.

Для установки программы на сервере должна быть учетная запись пользователя с root-правами, от имени которого будет выполняться установка. Директория для установки Kaspersky MLAD должна быть пустой.

Установку Kaspersky MLAD выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Сервер Kaspersky MLAD и программное обеспечение, установленное на сервере, должны соответствовать аппаратным и программным требованиям.

Установка Kaspersky MLAD выполняется в соответствии с описанной процедурой установки программы. Установка и использование Kaspersky MLAD возможны только на одном сервере. Установка и использование разных служб и коннекторов на нескольких серверах невозможны.

Установка Kaspersky MLAD будет прервана, если целостность архива программы нарушена. Для получения корректного архива программы обратитесь к специалистам "Лаборатории Касперского".

Чтобы установить Kaspersky MLAD:

  1. Распакуйте архив Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, входящий в состав комплекта поставки:

    tar xf Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz

    После распаковки архива появится директория mlad-release-5.0.0-<номер сборки>.

  2. Перейдите в директорию mlad-release-5.0.0-<номер сборки>:

    cd mlad-release-5.0.0-<номер сборки>

  3. Запустите скрипт установки setup.sh:

    sudo ./setup.sh

  4. Следуйте указаниям мастера установки программы.

    Во время установки внимательно прочитайте Лицензионное соглашение. Согласие с условиями Лицензионного соглашения является обязательным условием для установки программы. Если вы не принимаете условия Лицензионного соглашения, установка программы будет прервана.

    С помощью мастера установки программы вы можете изменить имя и пароль первого пользователя программы с ролью системного администратора.

    По умолчанию программа устанавливается в директорию по умолчанию /opt/kaspersky/mlad. Во время установки вы можете указать другую директорию для установки Kaspersky MLAD.

Чтобы установить Kaspersky MLAD в неинтерактивном режиме:

  1. Распакуйте архив Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, входящий в состав комплекта поставки:

    tar xf Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz

  2. Перейдите в директорию mlad-release-5.0.0-<номер сборки>:

    cd mlad-release-5.0.0-<номер сборки>

  3. Запустите скрипт установки setup.sh со следующими ключами:

    sudo ./setup.sh -q -e accept -f <полный путь к директории для установки программы>

    где:

    -q означает, что программа будет установлена в неинтерактивном режиме. При установке программы в неинтерактивном режиме Kaspersky MLAD создает первого пользователя программы с ролью системного администратора и задает ему имя пользователя и пароль по умолчанию. Для получения имени и пароля пользователя, используемых по умолчанию, обратитесь к квалифицированному техническому специалисту Заказчика, сотруднику "Лаборатории Касперского" или сертифицированному интегратору.

    -e accept означает, что вы принимаете условия Лицензионного соглашения. Согласие с условиями Лицензионного соглашения является обязательным условием для установки программы. Если вы не указываете ключ -e accept, установка программы будет прервана.

    Прочитать текст Лицензионного соглашения можно в текстовых файлах license_ru.txt и license_en.txt, которые расположены в директории legal.

    -f <полный путь к директории для установки программы> означает, что программа будет установлена в указанную директорию. Если вы не указывает ключ -f, программа будет установлена в директорию по умолчанию /opt/kaspersky/mlad.

Программа будет установлена на сервер. После установки программы запустите ее.

До добавления лицензионного ключа часть функциональности будет недоступна.

В начало

[Topic 247987]

Обновление программы

Обновление программы выполняется с помощью скрипта обновления upgrade.sh. При обновлении Kaspersky MLAD будут сохранены все данные, загруженные, полученные и обработанные предыдущей версией Kaspersky MLAD: конфигурации тегов, пресеты, ML-модели и параметры Kaspersky MLAD.

Если требуется, при обновлении программы вы можете создать резервную копию предыдущей версии.

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться обновление, должна обладать root-правами.

Перед началом обновления убедитесь, что на жестком диске имеется свободное место:

  • Если обновление программы выполняется без выполнения резервного копирования, на жестком диске имеется свободное место в объеме, необходимом для установки Kaspersky MLAD.
  • Если с обновлением программы одновременно выполняется резервное копирование и резервная копия сохраняется на том же диске, на этом диске имеется не менее 50% свободного места от общего объема жесткого диска.
  • Если с обновлением программы одновременно выполняется резервное копирование и резервная копия сохраняется на другом диске, на диске для установки программы имеется свободное пространство в объеме, необходимом для установки Kaspersky MLAD, а на диске для хранения резервной копии имеется свободное пространство не менее объема занятого пространства на диске, на котором установлена программа.

Обновление Kaspersky MLAD возможно, начиная с версии программы 5.0.0-001.

Во время обновления программа будет выключена. Kaspersky MLAD также не будет принимать данные от источников данных и обрабатывать их.

Сервер Kaspersky MLAD и программное обеспечение, установленное на сервере, должны соответствовать аппаратным и программным требованиям.

Обновление Kaspersky MLAD выполняется для устранения недостатков безопасности и уязвимостей программы или при выпуске новых версий программы в рамках действующего Договора об оказании технической поддержки. Обновление программы выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Обновление Kaspersky MLAD будет прервано, если целостность архива программы нарушена. Для получения корректного архива программы обратитесь к специалистам "Лаборатории Касперского".

Чтобы обновить Kaspersky MLAD:

  1. Распакуйте архив mlad-5.0.0-<номер новой сборки>.tar.xz, входящий в состав комплекта поставки:

    tar xf mlad-5.0.0-<номер новой сборки>.tar.xz

  2. Перейдите в директорию с новой сборкой программы:

    cd mlad-release-5.0.0-<номер новой сборки>

  3. Запустите скрипт обновления программы upgrade.sh одним из следующих способов:
    • Если требуется выполнить резервное копирование предыдущей версии и сохранить резервную копию в директории, в которой установлен Kaspersky MLAD, выполните команду:

      sudo ./upgrade.sh -f <полный путь к сборке программы, которую необходимо обновить>

      Резервная копия будет создана в директории с именем mlad_backup-<номер версии>-<номер сборки>. Директория будет создана внутри директории, в которой установлена программа.

    • Если требуется выполнить резервное копирование предыдущей версии и сохранить резервную копию в другой директории, выполните команду:

      sudo ./upgrade.sh -b <полный путь к директории для хранения резервной копии> -f <полный путь к сборке программы, которую необходимо обновить>

    • Если не требуется выполнять резервное копирование при обновлении программы, выполните команду:

      sudo ./upgrade.sh -b nobackup -f <полный путь к сборке программы, которую необходимо обновить>

    Вы можете запустить скрипт upgrade.sh с ключом -h, если требуется отобразить краткое описание скрипта в интерфейсе обновления Kaspersky MLAD:

    sudo ./upgrade.sh -h

  4. Следуйте указаниям мастера обновления программы.

    Во время выполнения мастера обновления программы примите условия Лицензионного соглашения. Согласие с условиями Лицензионного соглашения является обязательным условием для обновления программы. Если вы не принимаете условия Лицензионного соглашения, обновление программы будет прервано.

    Прочитать текст Лицензионного соглашения можно в текстовых файлах license_ru.txt и license_en.txt, которые расположены в директории legal.

Чтобы обновить Kaspersky MLAD в неинтерактивном режиме:

  1. Распакуйте архив mlad-5.0.0-<номер новой сборки>.tar.xz, входящий в состав комплекта поставки:

    tar xf mlad-5.0.0-<номер новой сборки>.tar.xz

  2. Перейдите в директорию с новой сборкой программы:

    cd mlad-release-5.0.0-<номер новой сборки>

  3. Запустите скрипт обновления одни из следующих способов:
    • Если требуется выполнить резервное копирование предыдущей версии и сохранить резервную копию в директории, в которой установлен Kaspersky MLAD, выполните команду:

      sudo ./upgrade.sh -q -e accept -f <полный путь к сборке программы, которую необходимо обновить>

      Резервная копия будет создана в директории с именем mlad_backup-<номер версии>-<номер сборки>. Директория будет создана внутри директории, в которой установлена программа.

    • Если требуется выполнить резервное копирование предыдущей версии и сохранить резервную копию в другой директории, выполните команду:

      sudo ./upgrade.sh -q -e accept -b <полный путь к директории для хранения резервной копии> -f <полный путь к сборке программы, которую необходимо обновить>

    • Если не требуется выполнять резервное копирование при обновлении программы, выполните команду:

      sudo ./upgrade.sh -q -e accept -b nobackup -f <полный путь к сборке программы, которую необходимо обновить>

    где:

    -q означает, что программа будет обновлена в неинтерактивном режиме.

    -e accept означает, что вы принимаете условия Лицензионного соглашения. Согласие с условиями Лицензионного соглашения является обязательным условием для обновления программы. Если вы не указываете ключ -e accept, обновление программы будет прервано.

    Прочитать текст Лицензионного соглашения можно в текстовых файлах license_ru.txt и license_en.txt, которые расположены в директории legal.

    -b <полный путь к директории для хранения резервной копии> означает, что Kaspersky MLAD выполнит резервное копирование текущей версии программы и сохранит резервную копию в указанную директории.

    -b nobackup означает, что Kaspersky MLAD выполнит обновление программы без резервного копирования текущей версии программы.

    -f <полный путь к сборке программы, которую необходимо обновить> означает, что будет обновлена программа, установленная в указанной директории.

Kaspersky MLAD будет обновлен до версии, указанной в номере сборки. Все файлы программы будут расположены в директории, в которой установлен Kaspersky MLAD (по умолчанию – /opt/kaspersky/mlad).

В начало

[Topic 291566]

Проверка целостности файлов архива Kaspersky MLAD

Вы можете проверить целостность файлов архива Kaspersky MLAD, чтобы убедиться в отсутствии изменений в его содержимом до начала установки или обновления программы.

Проверка целостности осуществляется с помощью скрипта integrity.sh. В процессе работы скрипт последовательно проверяет контрольные суммы файлов из архива программы.

Чтобы проверить целостность файлов архива Kaspersky MLAD:

  1. Распакуйте архив Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, входящий в состав комплекта поставки:

    tar xf Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz

    После распаковки архива появится директория mlad-release-5.0.0-<номер сборки>.

  2. Перейдите в директорию mlad-release-5.0.0-<номер сборки>:

    cd mlad-release-5.0.0-<номер сборки>

  3. Запустите скрипт проверки целостности архива Kaspersky MLAD:

    ./integrity.sh

Результаты проверки целостности файлов архива программы на компьютере признаются успешными, если скрипт integrity.sh завершил работу с сообщением SUCCEEDED.

В начало

[Topic 247988]

Резервное копирование программы

Вы можете выполнять резервное копирование программы в соответствии с регламентом вашего предприятия. Если требуется, вы можете создать резервную копию Kaspersky MLAD при обновлении программы.

Резервное копирование программы выполняется с помощью скрипта резервного копирования backup.sh. При резервном копировании Kaspersky MLAD будут сохранены все данные, загруженные, полученные и обработанные Kaspersky MLAD: конфигурации тегов, пресеты, ML-модели и параметры Kaspersky MLAD.

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться резервное копирование, должна обладать root-правами.

Перед началом резервного копирования необходимо убедиться, что на жестком диске свободно не менее 50% объема диска при сохранении резервной копии на жесткий диск, на котором установлена программа. Если резервная копия сохраняется на другой диск, необходимо убедиться, что на этом диске имеется свободное место в объеме, необходимом для установки Kaspersky MLAD.

Резервное копирование Kaspersky MLAD возможно, начиная с версии программы 5.0.0-001.

Чтобы выполнить резервное копирование Kaspersky MLAD:

  1. Перейдите в директорию, в которой установлен Kaspersky MLAD:

    cd mlad-release-5.0.0-<номер сборки>

  2. Запустите скрипт резервного копирования backup.sh одним из следующих способов:
    • Если требуется сохранить резервную копию в директории, в которой установлена программа, выполните команду:

      sudo ./backup.sh -f <полный путь к директории, в которой установлена программа>

      Резервная копия будет создана в директории с именем mlad_backup-<номер версии>-<номер сборки>. Директория будет создана внутри директории, в которой установлена программа.

    • Если требуется сохранить резервную копию в другую директорию, выполните команду:

      sudo ./backup.sh -b <полный путь к директории для хранения резервной копии> -f <полный путь к директории, в которой установлена программа>

  3. Следуйте указаниям мастера резервного копирования программы.

Чтобы выполнить резервное копирование Kaspersky MLAD в неинтерактивном режиме:

  1. Перейдите в директорию, в которой установлен Kaspersky MLAD:

    cd mlad-release-5.0.0-<номер сборки>

  2. Запустите скрипт резервного копирования backup.sh выполните одно из следующих действий:
    • Если требуется сохранить резервную копию в директории, в которой установлена программа, выполните команду:

      sudo ./backup.sh -q -f <полный путь к директории, в которой установлена программа>

      Резервная копия будет создана в директории с именем mlad_backup-<номер версии>-<номер сборки>. Директория будет создана внутри директории, в которой установлена программа.

    • Если требуется сохранить резервную копию в другую директорию, выполните команду:

      sudo ./backup.sh -q -b <полный путь к директории для хранения резервной копии> -f <полный путь к директории, в которой установлена программа>

    где:

    -q означает, что резервное копирование программы будет выполнено в неинтерактивном режиме.

    -b <полный путь к директории для хранения резервной копии> означает, что Kaspersky MLAD сохранит резервную копию в указанной директории.

    -f <полный путь к директории, в которой установлена программа> означает, что будет выполнено резервное копирование программы, установленной в указанной директории.

В начало

[Topic 247989]

Откат программы к предыдущей установленной версии

Откат программы к предыдущей установленной версии выполняется с помощью скрипта резервного копирования backup.sh.

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться откат программы к предыдущей версии, должна обладать root-правами.

Откат Kaspersky MLAD возможен, начиная с версии программы 5.0.0-001.

Во время выполнения отката к предыдущей версии программа будет выключена. Kaspersky MLAD также не будет принимать данные от источников данных и обрабатывать их.

В результате выполнения отката Kaspersky MLAD к предыдущей установленной версии будут потеряны все данные, полученные и обработанные Kaspersky MLAD с момента обновления программы до момента отката к предыдущей версии. Рекомендуется проверить наличие полной резервной копии всех данных Kaspersky MLAD.

Чтобы откатить Kaspersky MLAD к предыдущей установленной версии:

  1. Перейдите в директорию, в которой находится резервная копия Kaspersky MLAD, до которой требуется выполнить откат программы:

    cd <директория с резервной копией программы>

  2. Для отката программы к предыдущей версии запустите скрипт резервного копирования backup.sh с ключом -r:

    sudo ./backup.sh -r -f <полный путь к директории, в которой установлена программа>

  3. Следуйте указаниям мастера резервного копирования программы.

Будет выполнен откат Kaspersky MLAD к предыдущей установленной версии.

В начало

[Topic 247990]

Сценарий восстановления Kaspersky MLAD из резервной копии

При необходимости, например, в случае неисправности сервера, на котором установлен Kaspersky MLAD, вы можете восстановить программу из резервной копии Kaspersky MLAD с помощью скрипта резервного копирования backup.sh.

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться восстановление программы, должна обладать root-правами.

Сценарий восстановления программы из ее резервной копии состоит из следующих этапов:

  1. Перенос резервной копии программы на сервер Kaspersky MLAD

    Скопируйте директорию с резервной копией программы на сервер, на котором выполняется восстановления программы.

  2. Восстановление Kaspersky MLAD

    Перейдите в директорию, в которой находится резервная копия Kaspersky MLAD, с помощью команды:

    cd <директория с резервной копией программы>

    Для восстановления программы из резервной копии запустите скрипт резервного копирования программы backup.sh с ключом -r:

    sudo ./backup.sh -r -f <полный путь к директории, в которой необходимо восстановить программу>

    Следуйте указаниям мастера резервного копирования программы.

В начало

[Topic 247991]

Подготовка к работе

Перед началом работы с Kaspersky MLAD требуется убедиться, что выполнены следующие действия:

  1. Описания тегов принимаемой телеметрии и активов иерархической структуры подготовлены для импорта в Kaspersky MLAD в виде файла формата XLSX. Файл создается квалифицированным техническим специалистом Заказчика, специалистом "Лаборатории Касперского" или сертифицированным интегратором.
  2. Подготовлен набор пресетов, необходимый для контроля поступления данных и оценки работоспособности Kaspersky MLAD. Описания пресетов подготовлены в виде файла в формате JSON. Файл создается квалифицированным техническим специалистом Заказчика, специалистом "Лаборатории Касперского" или сертифицированным интегратором.
  3. Источник данных телеметрии включен и настроен на отправку данных в Kaspersky MLAD.
  4. Сеть передачи данных подготовлена для доставки данных телеметрии от источника данных к серверу Kaspersky MLAD, сетевое оборудование надлежащим образом настроено, передача данных разрешена.
  5. Подготовлены конфигурационные параметры и/или файлы того коннектора, который будет использован в Kaspersky MLAD для приема данных телеметрии или событий от внешних систем. Коннектор должен быть настроен и активирован после запуска Kaspersky MLAD.
  6. Если ML-модели предоставляются в рамках Услуги построения модели и внедрения Kaspersky MLAD, ML-модели созданы и обучены на исторических данных телеметрии специалистом "Лаборатории Касперского" или сертифицированным интегратором. ML-модели подготовлены для импорта в Kaspersky MLAD в виде файлов формата TAR. Системному администратору Kaspersky MLAD переданы коды для активации ML-моделей. Коды для активации ML-моделей хранятся в надежном хранилище.
В начало

[Topic 247992]

Запуск и остановка Kaspersky MLAD

По умолчанию Kaspersky MLAD использует утилиту systemctl для запуска и остановки программы. В случае непредвиденного перезапуска сервера, на котором установлена программа, утилита systemctl автоматически запускает Kaspersky MLAD.

При необходимости вы можете использовать скрипты запуска и остановки программы. Для этого необходимо сменить режим управления состоянием программы.

Рекомендуется использовать утилиту systemctl для управления состоянием программы.

Запуск и остановка программы с помощью утилиты systemctl

Учетная запись пользователя, от имени которого будет выполняться запуск и установка, должна обладать root-правами.

Чтобы запустить программу с помощью утилиты systemctl,

В командной строке выполните команду:

sudo systemctl start mlad

Kaspersky MLAD будет запущен.

Чтобы остановить программу с помощью утилиты systemctl,

В командной строке выполните команду:

sudo systemctl stop mlad

Kaspersky MLAD будет остановлен.

При остановке программа запоминает статусы служб. При запуске программы работа служб будет восстановлена с прежними статусами.

При попытке запуска скриптов запуска и остановки в режиме управления с помощью утилиты systemctl отобразится сообщение об ошибке.

Запуск и остановка программы с помощью скриптов запуска и остановки

Для запуска и остановки программы с помощью скриптов запуска и остановки необходимо предварительно сменить режим управления состоянием программы.

Чтобы запустить программу:

  1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – /opt/kaspersky/mlad).
  2. В командной строке выполните команду:

    ./mlad-start.sh

Kaspersky MLAD будет запущен.

Чтобы остановить программу:

  1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – /opt/kaspersky/mlad).
  2. В командной строке выполните команду:

    ./mlad-stop.sh

Kaspersky MLAD будет остановлен.

При остановке программа запоминает статусы служб. При запуске программы работа служб будет восстановлена с прежними статусами.

При попытке использования утилиты systemctl в режиме управления с помощью скриптов запуска и остановки отобразится сообщение об ошибке.

В начало

[Topic 287614]

Переключение между режимами управления состоянием Kaspersky MLAD

Kaspersky MLAD поддерживает управление состоянием программы следующими способами:

  • C помощью утилиты systemctl (по умолчанию). В случае непредвиденного перезапуска сервера, на котором установлена программа, утилита автоматически запускает Kaspersky MLAD.

    Рекомендуется использовать утилиту systemctl для управления состоянием программы.

  • С помощью скриптов запуска и остановки.

При необходимости вы можете переключаться между режимами управления состоянием программы с помощью скрипта установки setup.sh.

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться переключение между режимами, должна обладать root-правами.

Чтобы изменить режим управления состоянием программы:

  1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – /opt/kaspersky/mlad).
  2. Для переключения между режимами управления состоянием программы запустите скрипт установки программы с ключом -s:

    sudo ./setup.sh -s

Kaspersky MLAD изменит режим управления состоянием программы. При попытке запуска скриптов запуска и остановки в режиме управления состоянием программы с помощью утилиты systemctl, а также при попытке использования утилиты systemctl в режиме управления состоянием программы с помощью скриптов запуска и остановки отобразится сообщение об ошибке.

В начало

[Topic 247993]

Обновление сертификатов Kaspersky MLAD

В Kaspersky MLAD используются следующие сертификаты:

  • сертификаты для подключения к Kaspersky MLAD через веб-интерфейс;
  • сертификаты для подключения коннекторов и служб.

Рекомендуется обновлять сертификаты в следующих случаях:

  • текущие сертификаты скомпрометированы;
  • закончился срок действия сертификатов;
  • требуется выполнить обновление сертификатов в соответствии с требованиями информационной безопасности на предприятии.

Обновление сертификата для подключения к Kaspersky MLAD через веб-интерфейс

По умолчанию для подключения к веб-интерфейсу Kaspersky MLAD использует самоподписанный сертификат, который автоматически генерируется на этапе установки программы. При использовании самоподписанного сертификата для подключения к веб-интерфейсу Kaspersky MLAD браузер будет отображать предупреждение о том, что сертификат безопасности или устанавливаемое соединение не является доверенным.

Если требуется использовать доверенные сертификаты для подключения к веб-интерфейсу Kaspersky MLAD, вы можете заменить самоподписанный сертификат сертификатом, полученным от аккредитованного центра сертификации, или пользовательским сертификатом, соответствующим стандартам безопасности вашей организации.

Kaspersky MLAD использует директорию <директория с установленной программой>/ssl/nginx/ для хранения сертификатов, обеспечивающих подключение к веб-интерфейсу.

Обновление сертификата для подключения к Kaspersky MLAD через веб-интерфейс выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Чтобы обновить сертификаты для подключения к Kaspersky MLAD через веб-интерфейс:

  1. Получите доверенный сертификат и ключ к этому сертификату для подключения к веб-интерфейсу Kaspersky MLAD.

    Сертификат требуется получить для IP-адреса и доменного имени сервера, на котором установлен Kaspersky MLAD.

  2. Перейдите в директорию, в которой находятся доверенный сертификат и ключ к этому сертификату.
  3. В командной строке выполните следующие команды:

    sudo chown root:root <новый сертификат.crt> <ключ к новому сертификату.key>
    sudo chmod 640 <новый сертификат.crt> <ключ к новому сертификату.key>
    sudo cp <новый сертификат.crt> <директория с установленной программой>/ssl/nginx/mlad_nginx.crt
    sudo cp <ключ к новому сертификату.key> <директория с установленной программой>/ssl/nginx/mlad_nginx.key

    Новый сертификат и его ключ будут сохранены в директории <директория с установленной программой>/ssl/nginx/ в виде файлов mlad_nginx.crt и mlad_nginx.key соответственно.

  4. Перейдите в директорию, в которой установлена программа, и перезапустите Kaspersky MLAD.

После перезапуска Kaspersky MLAD будет использовать новый сертификат для подключения к веб-интерфейсу.

Обновление сертификата для подключения коннекторов и служб

В Kaspersky MLAD вы можете использовать защищенное соединение для коннекторов OPC UA Connector, MQTT Connector, AMQP Connector, HTTP Connector и WebSocket Connector, а также службы Mail Notifier. Вы можете обновлять сертификаты для подключения этих коннекторов и службы Mail Notifier по защищенному соединению в разделе Системные параметры в меню администратора.

Для подключения коннекторов OPC UA Connector, MQTT Connector, AMQP Connector, HTTP Connector и WebSocket Connector, а также службы Mail Notifier по защищенному соединению рекомендуется использовать сертификаты, созданные по стандарту X.509, с длиной ключа к сертификату не менее 4 096 бит.

Сертификат для подключения коннектора KICS Connector содержится в файле свертки, который вы можете обновить в Kaspersky Industrial CyberSecurity for Networks. Обновленный файл свертки вы можете загрузить в Kaspersky MLAD при настройке коннектора KICS Connector. Подробную информацию о создании файла свертки вы можете получить в справке Kaspersky Industrial CyberSecurity for Networks.

Kaspersky Machine Learning for Anomaly Detection совместим с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.

В начало

[Topic 247994]

Первый запуск Kaspersky MLAD

В этом разделе приводится последовательность действий, которые требуется выполнить системному администратору при первом запуске Kaspersky MLAD, чтобы настроить работу с программой.

Сценарий первого запуска Kaspersky MLAD состоит из следующих этапов:

  1. Запуск Kaspersky MLAD

    Запустите Kaspersky MLAD. При запуске программы будут автоматически запущены следующие службы, необходимые для работы Kaspersky MLAD:

    • API Server;
    • Web Server;
    • Message Broker;
    • Keeper;
    • Time Series Database;
    • Database;
    • Logger;
    • Docker API Server;
    • Migrations;
    • Push Server.
  2. Подключение к веб-интерфейсу Kaspersky MLAD

    Откройте веб-интерфейс программы в поддерживаемом браузере и введите имя и пароль первого пользователя Kaspersky MLAD с ролью системного администратора, указанные при установке программы. Измените пароль для своей учетной записи. Для безопасного подключения к веб-интерфейсу Kaspersky MLAD рекомендуется установить доверенный сертификат.

    В разделе Системные параметры в меню администратора укажите имя объекта мониторинга.

  3. Загрузка конфигурации тегов и активов иерархической структуры в Kaspersky MLAD

    Для дальнейшей работы загрузите конфигурацию тегов и активов в Kaspersky MLAD. Конфигурация тегов и активов описывается в файле в формате XLSX. Пример описания конфигурации тегов и активов см. в Приложении.

  4. Настройка коннекторов

    Для работы с данными настройте коннекторы, используемые на вашем объекте мониторинга. Вы можете настроить следующие коннекторы:

  5. Настройка служб

    В разделе Системные параметры в меню администратора настройте службы, которые требуется использовать для вашего объекта мониторинга. В разделе Службы проверьте статусы служб и при необходимости запустите их. Например, для получения данных должны быть запущены необходимые коннекторы, а для правильного обнаружения аномалий должна быть запущена служба Anomaly Detector.

  6. Подключение к источнику данных

    Когда коннекторы настроены, запустите коннекторы, используемые для вашего объекта мониторинга. Перейдите в раздел Информационная панель и убедитесь, что данные поступают в Kaspersky MLAD в онлайн-режиме.

  7. Создание учетных записей для пользователей

    Создайте учетные записи для пользователей программы и назначьте им необходимые роли. Создайте уведомления об инцидентах для пользователей.

Kaspersky Machine Learning for Anomaly Detection подготовлен к работе, данные поступают и обрабатываются программой.

Пользователи могут приступать к работе с Kaspersky MLAD, используя веб-интерфейс.

В начало

[Topic 248049]

Удаление программы

Учетная запись пользователя в операционной системе сервера Kaspersky MLAD, от имени которого будет выполняться удаление программы, должна обладать root-правами.

Удаление Kaspersky MLAD выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

В результате удаления Kaspersky MLAD будут потеряны все данные Kaspersky MLAD, полученные, загруженные и обработанные с момента установки программы. Рекомендуется проверить наличие полной резервной копии всех данных Kaspersky MLAD. Вы можете выполнить резервное копирование при обновлении программы или с помощью скрипта резервного копирования backup.sh.

Чтобы удалить Kaspersky MLAD:

  1. Перейдите в директорию, в которой установлен Kaspersky MLAD (по умолчанию – /opt/kaspersky/mlad):

    cd mlad-release-5.0.0-<номер сборки>

  2. Запустите скрипт установки setup.sh с ключом -u:

    sudo ./setup.sh -u

  3. Следуйте указаниям мастера удаления программы.

    При подтверждении удаления установленных сертификатов мастер удалит директорию, в которой хранятся резервные копии.

Программа Kaspersky MLAD будет удалена.

В начало

[Topic 248053]

Веб-интерфейс Kaspersky MLAD

Работа с Kaspersky MLAD осуществляется через веб-интерфейс. В этом разделе приведено описание основных элементов веб-интерфейса Kaspersky MLAD.

Главное окно веб-интерфейса программы содержит следующие элементы:

  • основное меню в левой части окна веб-интерфейса программы;
  • рабочую область в центральной части окна веб-интерфейса программы.

Разделы основного меню доступны пользователям с правами доступа к соответствующим функциям программы. Доступ к функциям программы определяется списком прав, заданных для роли пользователя.

Системным администраторам доступно меню, предоставляющее возможность управлять лицензионными ключами, настраивать параметры программы, управлять ролями и учетными записями пользователей, настраивать отправку уведомлений об инцидентах, управлять активами и тегами.

В нижней части основного меню и меню администратора доступно меню пользователя, предоставляющее возможность выбирать язык веб-интерфейса, изменять пароль своей учетной записи, выходить из учетной записи, переходить на страницу системы ведения журналов для просмотра журналов программы, а также переходить между меню. Переход между основным меню и меню администратора осуществляется нажатием на одну из следующих кнопок:

  • Пиктограмма в виде двух горизонтальных бегунков эквалайзера. – для перехода в меню администратора.
  • Пиктограмма в виде четырех прямоугольников с округленными углами разных размеров. – для перехода в основное меню.

При необходимости вы можете свернуть или развернуть меню нажатием на Пиктограмма в виде двух открывающих угловых скобок. или Пиктограмма в виде двух закрывающих угловых скобок. соответственно в верхнем левом углу страницы.

Основное меню

В таблице ниже описаны разделы основного меню Kaspersky MLAD.

Разделы основного меню

Раздел

Описание

Пиктограмма в виде четырех прямугольников разных размеров. Информационная панель

Открывает раздел, который содержит информацию о последних зарегистрированных инцидентах, службах программы и их статусах.

Пиктограмма в виде компьютера с глазом на дисплее. Мониторинг

Открывает раздел, в котором отображаются данные, поступающие в систему в реальном времени. Вы также можете настраивать параметры отображения поступающих данных на графических областях.

Пиктограмма в виде циферблата. История

Открывает раздел, который содержит полную историю поступивших в систему данных и результаты их анализа ML-моделями. Вы также можете настраивать параметры отображения исторических данных на графических областях.

Пиктограмма в виде квадрата в квадратных скобках. Временной срез

Открывает раздел, который содержит информацию о значениях технологических параметров, полученных от датчиков в один и тот же момент времени. Вы также можете настраивать параметры отображения данных на графике.

Пиктограмма в виде лупы с молнией. Процессор событий

Открывает раздел, в котором вы можете просматривать информацию о полученных из внешних систем событиях и выявленных среди них паттернах, а также управлять мониторами для отслеживания определенных событий, паттернов или значений параметров событий.

Пиктограмма в виде сигнальной лампы. Инциденты

Открывает раздел, который содержит журнал зарегистрированных инцидентов. В рамках анализа инцидентов вы можете добавить статус, причину, экспертное заключение и замечание к инциденту или группе инцидентов.

Пиктограмма в виде окна компьютера с шестеренкой. Модели

Открывает раздел, который позволяет управлять используемыми в системе разметками, ML-моделями, элементами ML-моделей и шаблонами ML-моделей. Управление ML-моделями, элементами ML-моделей и шаблонами ML-моделей доступно системным администраторам и пользователям с правами из группы прав Управление ML-моделями. Управление разметками доступно всем пользователям.

Пиктограмма в виде звезды. Пресеты

Открывает раздел, в котором вы можете управлять пресетами и графическими областями в их составе.

Пиктограмма в виде двух коммутаторов. Службы

Открывает раздел, который позволяет просмотреть информацию о службах и их статусах, а также запускать, останавливать и перезапускать службы. Управление статусами служб доступно системным администраторам и пользователям с правом Управление статусами служб программы из группы прав Работа со службами программы.

Меню администратора

В таблице ниже описаны разделы меню администратора Kaspersky MLAD.

Разделы меню администратора

Раздел

Описание

Пиктограмма в виде медали с галочкой. Лицензирование

Открывает раздел, в котором вы можете управлять лицензионными ключами.

Пиктограмма в виде силуэтов трех пользователей. Пользователи

Открывает раздел, в котором вы можете управлять учетными записями пользователей.

Пиктограмма в виде силуэтов ребенка и родителя. Роли

Открывает раздел, в котором вы можете управлять ролями пользователей.

Пиктогрмма в виде замка. Права

Открывает раздел, который содержит информацию о правах пользователей.

Пиктограмма в виде восклицательного знака в рамке сообщения. Уведомления

Открывает раздел, в котором вы можете управлять условиями отправки уведомлений при регистрации инцидентов.

Пиктограмма в виде бегунков эквалайзера в квадрате. Системные параметры

Открывает раздел, в котором вы можете управлять параметрами Kaspersky MLAD.

Пиктограмма в виде термометра. Активы

Открывает раздел, в котором вы можете управлять активами и тегами.

Меню пользователя

В таблице ниже описаны элементы меню пользователя Kaspersky MLAD.

Элементы меню пользователя

Элемент меню

Описание

Пиктограмма в виде флага.

Позволяет выбрать язык локализации для веб-интерфейса Kaspersky MLAD. Доступны английский и русский языки.

Пиктограмма в виде книги.

Открывает справку Kaspersky MLAD в новой вкладке браузера.

Пиктограмма в виде буквы i в круге.

Открывает окно с краткой информацией о программе.

Пиктограмма в виде листа бумаги с текстом.

Осуществляет переход в систему ведения журналов (Grafana) в новой вкладке браузера.

Этот раздел доступен системным администраторам и пользователям с правом Работа с журналами программы.

Пиктограмма в виде двух горизонтальных бегунков эквалайзера.

Осуществляет переход в меню администратора из основного меню. В меню администратора вы можете управлять лицензионными ключами, параметрами Kaspersky MLAD, ролями и учетными данными пользователей, а также настраивать уведомления об инцидентах и управлять активами и тегами.

Меню администратора доступно только системным администраторам.

Пиктограмма в виде четырех прямоугольников с округленными углами разных размеров.

Осуществляет переход в основное меню из меню администратора. В основном меню вы можете управлять ML-моделями их элементами, разметками и шаблонами ML-моделей, управлять статусами служб, а также просматривать исторические данные и данные, поступающие в реальном времени, просматривать зарегистрированные инциденты, события и паттерны.

Пиктограмма в виде силуэта пользователя.

Позволяет изменить пароль учетной записи текущего пользователя и осуществить выход из учетной записи.

В начало

[Topic 248050]

Подключение к Kaspersky MLAD и завершение пользовательской сессии

Для подключения к веб-интерфейсу Kaspersky MLAD нужно использовать поддерживаемый браузер.

Если авторизованный пользователь не использует программу дольше, чем указано в параметре Период неактивности пользователя (мин), то Kaspersky MLAD автоматически завершает сессию подключения для этого пользователя. Для продолжения работы в программе потребуется повторная авторизация пользователя. Пользовательская сессия считается активной в следующих случаях:

  • Пользователь взаимодействует с элементами интерфейса программы (например, нажимает на кнопки, переходит в разделы меню программы).
  • Пользователь вводит значения параметров с помощью клавиатуры.

При выполнении любого из вышеперечисленных действий продлевает сессию пользователя на время, заданное в параметре Период неактивности пользователя (мин).

Пользователь может досрочно завершить свою пользовательскую сессию, выйдя из своей учетной записи.

При необходимости системный администратор может отозвать токены аутентификации для учетной записи пользователя. При отзыве токенов для пользователя будет завершена сессия работы в программе одновременно на всех устройствах, на которых он был авторизован.

Веб-адрес, имя пользователя и пароль для входа в программу требуется запросить у системного администратора Kaspersky MLAD.

В этом разделе справки

Подключение к веб-интерфейсу

Завершение сессии подключения к Kaspersky MLAD

В начало

[Topic 248051]

Подключение к веб-интерфейсу

Чтобы подключиться к Kaspersky MLAD через браузер:

  1. На компьютере откройте поддерживаемый браузер.
  2. В адресной строке браузера введите веб-адрес сервера Kaspersky MLAD, полученный от системного администратора Kaspersky MLAD.
  3. На открывшейся странице ввода учетных данных введите адрес электронной почты в качестве имени пользователя и пароль.

    При первом подключении к веб-интерфейсу в качестве системного администратора используйте указанные при установке программы имя и пароль первого пользователя с ролью системного администратора.

  4. Нажмите на кнопку Войти или на клавишу ENTER.

В окне браузера отобразится раздел Информационная панель.

При первом подключении пользователя к Kaspersky MLAD в браузере откроется окно изменения пароля. Если пропуск смены пароля разрешен в параметрах безопасности, вы можете пропустить изменение пароля нажатием на кнопку Пропустить и изменить его позже. При истечении срока действия пароля, заданного при настройке параметров безопасности, в браузере также откроется окно изменения пароля.

  • Новый пароль – новый пароль для учетной записи пользователя

    Новый пароль должен удовлетворять следующим требованиям:

  • Подтверждение пароля – подтвердите пароль для учетной записи пользователя.

Если вы закрыли окно браузера без завершения сессии подключения, сессия останется действующей до истечения времени, заданного администратором в параметре Период неактивности пользователя (мин) при настройке параметров безопасности. В течение этого времени программа предоставляет доступ к веб-интерфейсу Kaspersky MLAD без запроса учетных данных пользователя, если для подключения используются те же компьютер, браузер и учетная запись операционной системы. В случае неактивного использования программы дольше, чем указано в параметре Период неактивности пользователя (мин), Kaspersky MLAD завершает пользовательскую сессию.

В случае многократной неудачной авторизации Kaspersky MLAD заблокирует вашу учетную запись при достижении числа неудачных попыток авторизации на определенный период. Количество неудачных попыток авторизации и период блокировки учетной записи задаются при настройке параметров безопасности Kaspersky MLAD.

Страница ввода учетных данных содержит поля для ввода логина и пароля и кнопку "Войти".

Страница ввода учетных данных Kaspersky MLAD

В начало

[Topic 248052]

Завершение сессии подключения к Kaspersky MLAD

После окончания работы с Kaspersky MLAD в браузере требуется завершить сессию подключения к программе.

Чтобы завершить сессию подключения к программе,

в окне браузера в нижнем левом углу страницы веб-интерфейса Kaspersky MLAD нажмите на кнопку Пиктограмма в виде силуэта пользователя. и выберите пункт Выход из Kaspersky MLAD.

После завершения сессии подключения к программе в окне браузера отобразится страница ввода учетных данных.

В начало

[Topic 248062]

Изменение пароля учетной записи

Рекомендуется изменять пароль в следующих случаях:

  • выполнено первое подключение к Kaspersky MLAD после создания учетной записи в программе;
  • текущий пароль скомпрометирован;
  • истекает срок действия пароля в соответствии с требованиями информационной безопасности на предприятии.

Чтобы изменить пароль своей учетной записи:

  1. В нижнем левом углу страницы веб-интерфейса Kaspersky MLAD нажмите на кнопку Пиктограмма в виде силуэта пользователя. и выберите пункт Изменить пароль.

    В браузере откроется окно Изменение пароля.

  2. В поле Текущий пароль введите ваш текущий пароль.
  3. В полях Новый пароль и Подтверждение пароля введите новый пароль.

    Новый пароль должен удовлетворять следующим требованиям:

  4. Нажмите на кнопку Изменить.
В начало

[Topic 248061]

Выбор языка локализации веб-интерфейса Kaspersky MLAD

В Kaspersky MLAD доступны английский и русский языки для веб-интерфейса программы.

Чтобы изменить язык локализации веб-интерфейса программы:

  1. В левом нижнем углу страницы веб-интерфейса Kaspersky MLAD нажмите на кнопку Язык.
  2. Выберите нужный язык локализации: русский или английский.

В начало

[Topic 248055]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать программу.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с программой.

Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:

  • Во время установки или обновления Kaspersky MLAD.
  • Прочитав документ license_ru.txt. Этот документ включен в комплект поставки программы.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки или обновления программы. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку или обновление программы и не должны использовать программу.

В начало

[Topic 248056]

О лицензии

Лицензия – это ограниченное по времени право на использование программы, предоставляемое вам на основании Лицензионного соглашения.

Список доступных функций и срок использования программы зависят от лицензии, по которой используется программа.

Предусмотрены следующие типы лицензий:

  • Базовая – бесплатная лицензия.

    Этот тип лицензии не ограничен по времени. Вы можете использовать базовые функции программы до добавления лицензионного ключа или после истечения срока действия коммерческой лицензии.

  • Пробная – бесплатная лицензия, предназначенная для ознакомления с программой.

    По истечении срока действия пробной лицензии программа продолжает работу, но становятся недоступными следующие функции программы:

    • Обновление программы.
    • Выбор элемента ML-модели.
    • Работа с разметками, шаблонами ML-моделей и ML-моделями.
    • Работа с событиями и паттернами.
    • Работа с инцидентами и группами инцидентов.
    • Управление статусами служб Anomaly Detector, Trainer, Similar Anomaly, Event Processor и Stream Processor.

    Чтобы продолжить использование программы, вам нужно приобрести коммерческую лицензию.

    Пробная лицензия имеет небольшой срок действия. Вы можете использовать программу по пробной лицензии только в течение одного срока пробного использования.

    Если после истечения срока действия пробной лицензии вы добавили лицензионный ключ для действующей коммерческой лицензией без конструктора моделей, то ML-модели и элементы ML-моделей, созданные вручную во время пробного использования программы, станут недоступны для изменения, копирования и удаления. При добавлении лицензионного ключа для действующей коммерческой лицензией с конструктором моделей вы можете продолжить управлять ML-моделями и элементами ML-моделей, созданными вручную во время действия пробной лицензии.

  • Коммерческая – платная лицензия.

    Этот тип лицензии ограничен по времени.

    Для активации функциональности программы вам нужно добавить лицензионный ключ для действующей коммерческой лицензией. В Kaspersky MLAD предусмотрены следующие виды коммерческой лицензии:

    • Коммерческая лицензия без конструктора моделей.

      Если вам нужны все функции программы, кроме работы с ML-моделями, созданными вручную, копирования и удаления элементов ML-моделей, требуется приобрести коммерческую лицензию без конструктора моделей.

    • Коммерческая лицензия с конструктором моделей.

      Если вам нужны все функции программы, требуется приобрести коммерческую лицензию с конструктором моделей.

    По истечении срока действия коммерческой лицензии останутся доступными только базовые функции программы. Для продолжения работы Kaspersky MLAD вам нужно продлить срок действия коммерческой лицензии.

    Рекомендуется продлевать срок действия лицензии не позднее даты ее окончания, чтобы обеспечить непрерывную работу Kaspersky MLAD.

Услуги технической поддержки предоставляются при наличии действующего Договора об оказании технической поддержки. Объем предоставляемых услуг технической поддержки определяется действующим Договором об оказании технической поддержки.

См. также

О лицензионном сертификате

Доступная функциональность Kaspersky MLAD в зависимости от лицензии

В начало

[Topic 256669]

О лицензионном сертификате

Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа.

В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:

  • лицензионный ключ или номер заказа;
  • информация о пользователе, которому предоставляется лицензия;
  • информация о программе, которую можно активировать по предоставляемой лицензии;
  • ограничение на количество единиц лицензирования (например, тегов, по которым программа может получать данные телеметрии);
  • дата начала срока действия лицензии;
  • дата окончания срока действия лицензии или срок действия лицензии;
  • тип лицензии.

В начало

[Topic 256626]

О лицензионном ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать программу в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".

Вы можете добавить лицензионный ключ в программу, применив файл лицензионного ключа. Лицензионный ключ отображается в интерфейсе программы в виде уникальной буквенно-цифровой последовательности, после того как вы добавили его в программу.

Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы с программой требуется добавить другой лицензионный ключ.

Лицензионный ключ может быть активным и резервным.

Активный лицензионный ключ – лицензионный ключ, используемый в текущий момент для работы программы. В качестве активного может быть добавлен лицензионный ключ для пробной или коммерческой лицензии. В программе не может быть больше одного активного лицензионного ключа.

Резервный лицензионный ключ – лицензионный ключ, подтверждающий право на использование программы, но не используемый в текущий момент. Резервный лицензионный ключ автоматически становится активным, когда заканчивается срок действия лицензии, связанной с текущим активным лицензионным ключом, или в случае удаления активного лицензионного ключа. Резервный лицензионный ключ может быть добавлен только при наличии активного лицензионного ключа.

Лицензионный ключ для пробной лицензии может быть добавлен только в качестве активного лицензионного ключа. Лицензионный ключ для пробной лицензии не может быть добавлен в качестве резервного лицензионного ключа.

В начало

[Topic 256628]

О файле лицензионного ключа

Файл лицензионного ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего программу.

Вы получаете файл лицензионного ключа после приобретения Kaspersky MLAD или после заказа пробной версии Kaspersky MLAD. Способ получения файла лицензионного ключа определяется дистрибьютором "Лаборатории Касперского", у которого вы приобрели программу (например, файл лицензионного ключа может быть отправлен по указанному вами адресу электронной почты).

Вы также можете добавить в программу лицензионный ключ, полученный при приобретении Kaspersky MLAD предыдущей версии. Лицензионный ключ можно добавить в программу до даты окончания его срока годности.

Чтобы активировать программу с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно утерян, вы можете его восстановить. Для восстановления файла ключа вам нужно обратиться к продавцу лицензии.

В начало

[Topic 283362]

Доступная функциональность Kaspersky MLAD в зависимости от лицензии

В таблице ниже приведен набор доступных функций Kaspersky MLAD в зависимости от выбранной лицензии.

Функции

Базовая лицензия

Пробная лицензия

Коммерческая лицензия без конструктора моделей

Коммерческая лицензия с конструктором моделей

Базовые функции

Есть.

Есть.

Есть.

Есть.

Выбор элемента ML-модели в разделах Мониторинг, История и Временной срез

Отсутствует.

Есть.

Есть.

Есть.

Работа с событиями и паттернами

Отсутствует.

Есть.

Есть.

Есть.

Работа с инцидентами и группами инцидентов

Отсутствует.

Есть.

Есть.

Есть.

Работа с разметками

Отсутствует.

Есть.

Есть.

Есть.

Работа с импортированными ML-моделями

Отсутствует.

Есть.

Есть.

Есть.

Работа с ML-моделями, созданными вручную

Отсутствует.

Есть.

Отсутствует.

Есть.

Копирование ML-модели

Отсутствует.

Есть.

Есть.

Есть.

Копирование элемента ML-модели

Отсутствует.

Есть.

Отсутствует.

Есть.

Удаление ML-модели

Отсутствует.

Есть.

Есть.

Есть.

Удаление элемента ML-модели

Отсутствует.

Есть.

Отсутствует.

Есть.

Работа с шаблонами ML-моделей

Отсутствует.

Есть.

Есть.

Есть.

Обучение предиктивных элементов и элементов на основе эллиптического конверта

Отсутствует.

Есть.

Есть.

Есть.

Просмотр результатов обучения ML-модели

Отсутствует.

Есть.

Есть.

Есть.

Подготовка ML-модели к публикации

Отсутствует.

Есть.

Есть.

Есть.

Публикация ML-модели

Отсутствует.

Есть.

Есть.

Есть.

Запуск и остановка инференса ML-модели

Отсутствует.

Есть.

Есть.

Есть.

Управление статусами служб Anomaly Detector, Trainer, Similar Anomaly, Event Processor, Stream Processor

Отсутствует.

Есть.

Есть.

Есть.

В начало

[Topic 256641]

Добавление лицензионного ключа

Вы можете добавить лицензионный ключ в Kaspersky MLAD при подключении к программе через веб-интерфейс.

Добавлять лицензионный ключ может только системный администратор.

Чтобы добавить лицензионный ключ:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Лицензирование.
  3. Нажмите на кнопку Добавить лицензионный ключ.

    Кнопка недоступна, если активный и резервный лицензионные ключи уже добавлены в программу. Если требуется, вы можете удалить лицензионный ключ.

    Справа отобразится панель Добавление лицензионного ключа.

  4. Выберите файл лицензионного ключа в формате KEY.

    После выбора файла лицензионного ключа в панели Добавление лицензионного ключа отобразится информация о добавленном ключе.

    Если в программе отсутствовали лицензионные ключи и срок годности добавляемого лицензионного ключа уже начался, он автоматически будет добавлен в программу в качестве активного. Если срок годности добавляемого лицензионного ключа еще не начался и срок его годности не пересекается со сроком годности текущего активного лицензионного ключа, он будет добавлен в программу в качестве резервного.

  5. Если в программу был ранее добавлен лицензионный ключ, при необходимости выполните одно из следующих действий:
    • Если требуется загрузить ключ в качестве активного и в программе уже есть активный лицензионный ключ, в блоке параметров Статус лицензионного ключа выберите Активный лицензионный ключ.

      Предыдущий активный лицензионный ключ будет заменен и удален из программы.

    • Если требуется загрузить ключ в качестве активного и срок его годности пересекается со сроком годности ранее загруженного резервного ключа, в блоке параметров Статус лицензионного ключа выберите Активный лицензионный ключ и в блоке параметров Применить резервный ключ выберите один из следующих вариантов применения резервного ключа:
      • По окончании срока годности активного ключа. Резервный лицензионный ключ станет активным после окончания срока годности активного лицензионного ключа.
      • В момент начала срока годности резервного ключа. Резервный ключ станет активным в момент начала срока его годности. Предыдущий активный лицензионный ключ будет удален из программы. Вы можете использовать удаленный лицензионный ключ на другом объекте мониторинга до окончания срока годности этого ключа.
    • Если требуется загрузить ключ в качестве резервного и срок его годности пересекается со сроком годности ранее загруженного активного ключа, в блоке параметров Статус лицензионного ключа выберите Резервный лицензионный ключ и в блоке параметров Применить резервный ключ выберите один из следующих вариантов применения резервного ключа:
      • По окончании срока годности активного ключа. Резервный лицензионный ключ станет активным после окончания срока годности текущего активного лицензионного ключа.
      • В момент начала срока годности резервного ключа. Резервный ключ станет активным в момент начала срока его годности. Предыдущий активный лицензионный ключ будет удален из программы.

        Невозможно добавить лицензионный ключ в качестве резервного, если срок его годности заканчивается раньше текущего активного лицензионного ключа.

  6. Нажмите на кнопку Добавить.

Лицензионный ключ будет загружен в программу.

В начало

[Topic 256658]

Просмотр информации о добавленном лицензионном ключе

При подключении к Kaspersky MLAD вы можете просматривать информацию о добавленном лицензионном ключе. За 30 дней до окончания срока годности лицензионного ключа в веб-интерфейсе программы отображается уведомление с информацией о количестве дней, оставшемся до окончания срока годности ключа.

Чтобы просмотреть информацию о лицензионном ключе:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Лицензирование.

Для добавленного лицензионного ключа отображается следующая информация:

  • Информация о количестве дней до окончания срока его годности.
  • Название программы – информация о программе, которая будет активирована после добавления лицензионного ключа.
  • Статус лицензионного ключа – информация о статусе ключа: активный или резервный.
  • Номер лицензии – номер заказа.
  • Ключ – уникальная буквенно-цифровая последовательность.
  • Наименование компании – наименование компании, для которой была приобретена лицензия.
  • Дата активации – дата первого добавления лицензионного ключа в программу.
  • Ключ действителен до – дата окончания срока годности лицензионного ключа.
  • Функциональность – информация о количестве доступных тегов, а также возможности использовать ML-модели и/или управлять ML-моделями и их элементами.
В начало

[Topic 256652]

Удаление лицензионного ключа

При подключении к программе через веб-интерфейс вы можете удалить добавленный лицензионный ключ из программы (например, если требуется заменить этот лицензионный ключ на другой). После удаления лицензионного ключа вам будут доступны только базовые функции программы.

После удаления лицензионного ключа вы продолжите получать данные по тегам с помощью коннекторов, а также сможете просмотреть данные по тегам в разделах Мониторинг и История. В свою очередь ML-модели перестанут обрабатывать данные по тегам, а также формировать инциденты и артефакты. Просмотр сформированных ранее артефактов станет недоступным. Вы также не сможете использовать созданные ранее ML-модели.

Недоступная функциональность снова активируется при следующем добавлении лицензионного ключа.

Перед удалением активного лицензионного ключа рекомендуется добавить в программу резервный лицензионный ключ. При удалении активного лицензионного ключа ранее добавленный резервный лицензионный ключ станет активным. Срок действия лицензии будет продлен в соответствии со сроком годности добавленного лицензионного ключа.

Если вы удалили лицензионный ключ до окончания срока его годности, вы можете повторно добавить его в программу с сохранением исходной даты окончания срока действия лицензии.

Удалять лицензионный ключ может только системный администратор.

Чтобы удалить лицензионный ключ:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Лицензирование.
  3. В правом верхнем углу карточки нужного лицензионного ключа нажмите на кнопку Пиктограмма в виде корзины..

    Откроется окно с запросом подтверждения.

  4. Подтвердите удаление лицензионного ключа.

Лицензионный ключ будет удален из программы.

В начало

[Topic 248057]

Обработка и хранение данных в Kaspersky MLAD

Этот раздел содержит информацию о предоставлении данных и о директориях для хранения данных.

В этом разделе справки

О предоставлении данных

Директории для хранения данных программы

В начало

[Topic 248058]

О предоставлении данных

Программа не передает пользовательские данные в "Лабораторию Касперского". Пользовательские данные обрабатываются на компьютерах, на которых установлена программа.

Данные, передаваемые во внешние системы

Данные передаются во внешние системы по защищенному каналу связи.

Если настроена отправка уведомлений о регистрации инцидентов по почте, программа передает следующие данные на SMTP-сервер:

  • идентификатор ;
  • дату и время регистрации инцидента;
  • название , элемент которой зарегистрировал инцидент;
  • название элемента ML-модели, который зарегистрировал инцидент;
  • статус зарегистрированного инцидента;
  • причину зарегистрированного инцидента;
  • экспертное заключение к зарегистрированному инциденту;
  • имя ;
  • описание топ-тега;
  • значение топ-тега в момент регистрации инцидента и его единицу измерения;
  • название , зарегистрировавшего инцидент;
  • значение элемента ML-модели в момент регистрации инцидента;
  • значение порога блокировки, превышенное в момент регистрации инцидента;
  • ссылку для перехода в раздел История в момент начала инцидента.

Если настроена отправка уведомлений о регистрации инцидентов через коннекторы MQTT Connector, AMQP Connector, WebSocket Connector и/или KICS Connector, программа передает следующие данные на MQTT-брокер, AMQP-брокер, WebSocket-сервер и/или в Kaspersky Industrial CyberSecurity for Networks:

  • идентификатор инцидента;
  • дату и время регистрации инцидента;
  • дату и время завершения инцидента;
  • название и уникальный идентификатор (UUID) ML-модели, зарегистрировавшей инцидент;
  • уникальный идентификатор (UUID) элемента ML-модели;
  • идентификатор и описание топ-тега;
  • название детектора, зарегистрировавшего инцидент;
  • ссылку для перехода в раздел История в момент начала инцидента;
  • значение артефакта элемента ML-модели в момент регистрации инцидента (при наличии);
  • значение порога блокировки, превышенное в момент регистрации инцидента (при наличии);
  • значение топ-тега в момент регистрации инцидента;
  • статус инцидента;
  • комментарий к инциденту (при наличии);
  • идентификатор группы инцидентов (при наличии);
  • название группы инцидента (при наличии);
  • экспертное заключение (при наличии);
  • идентификаторы релевантных тегов;
  • причину инцидента (при наличии).

Если настроена отправка уведомлений о регистрации инцидентов через коннектор CEF Connector, программа передает следующие данные в SIEM-систему:

  • имя поставщика программы;
  • название программы;
  • версию Kaspersky MLAD;
  • идентификатор подписи программы;
  • дату и время регистрации инцидента;
  • дату и время завершения инцидента;
  • название детектора, зарегистрировавшего инцидент;
  • название ML-модели, зарегистрировавшей инцидент;
  • ссылку для перехода в раздел История в момент начала инцидента;
  • описание топ-тега;
  • комментарий к инциденту (при наличии);
  • название группы инцидента (при наличии);
  • значение топ-тега в момент регистрации инцидента;
  • идентификатор группы инцидентов (при наличии);
  • идентификатор инцидента;
  • идентификатор топ-тега.

Если настроена отправка зарегистрированных

через CEF Connector, программа передает следующие данные в SIEM-систему:

  • имя поставщика программы;
  • название программы;
  • версию Kaspersky MLAD;
  • идентификатор подписи программы;
  • дату и время регистрации события;
  • название , который зарегистрировал событие;
  • идентификатор монитора;
  • тип элемента, который вызвал активацию монитора;
  • название головы внимания (при наличии);
  • название дочерней головы внимания (при наличии);
  • скользящее окно монитора, за время которого ведется учет количества активаций;
  • порог активаций, при достижении которого монитор отправляет оповещение во внешнюю систему;
  • количество активаций на скользящем окне;
  • информацию, является ли обнаруженный элемент новым для программы;
  • содержимое элемента, вызвавшего последнюю активацию монитора;
  • идентификатор элемента, который вызвал активацию монитора.

Если настроена отправка журналов событий информационной безопасности, программа передает следующие данные на syslog-сервер:

  • имя поставщика программы;
  • название программы;
  • версию Kaspersky MLAD;
  • идентификатор подписи программы;
  • идентификатор события ИБ;
  • дату и время события ИБ;
  • тип события ИБ;
  • уточнение типа события ИБ;
  • уровень важности события ИБ;
  • имя пользователя, действия которого привели к записи события ИБ;
  • IP-адрес компьютера, с которого пользователем были произведены действия, записанные в журналы событий ИБ;
  • результат события ИБ;
  • краткое содержание события ИБ;
  • подробное описание события ИБ.

Данные, обрабатываемые локально на сервере Kaspersky MLAD

Для выполнения своих основных функций программа может принимать, хранить и обрабатывать следующую информацию:

  • Информацию о полных резервных копиях программы, если выполнялось резервное копирование или обновление программы. Информация о полных резервных копиях программы хранится на сервере Kaspersky MLAD до их удаления пользователем.
  • Информацию о резервных копиях томов (volumes) Docker, которые создаются во время удаления программы. Информация о резервных копиях томов Docker хранится на сервере Kaspersky MLAD до их удаления пользователем.
  • Файлы с текстом Лицензионного соглашения текущей установленной версии программы.
  • Файл legal_notices.txt с информацией о стороннем коде.
  • Сертификаты для подключения к программе через веб-интерфейс.
  • Сертификаты и ключи к сертификатам для шифрования соединения коннекторов и служб Kaspersky MLAD с внешними системами.
  • Публичные ключи для проверки цифровой подписи дистрибутива. Публичные ключи хранятся на сервере Kaspersky MLAD до их удаления пользователем.
  • Данные об учетных записях пользователей: идентификатор учетной записи, фамилию, имя, отчество, адрес электронной почты, состояние учетной записи (активна или заблокирована), пароль.

    В качестве фамилии, имени и отчества пользователя могут быть указаны значения, не идентифицирующие пользователя как физическое лицо (например, цех и должность). Информация, указанная в полях Фамилия, Имя и Отчество пользователей при создании учетных записей, хранится в открытом виде и программой не обрабатывается.

    Адреса электронной почты, указанные при создании учетных записей, используются в качестве имен пользователей при подключении пользователей к веб-интерфейсу программы. Имена пользователей указываются в журналах событий информационной безопасности. Адреса электронной почты используются для отправки уведомлений о зарегистрированных инцидентах.

    Адреса электронной почты пользователей хранятся в открытом виде.

    Kaspersky MLAD не хранит пароли пользователей в открытом виде. Для хранения паролей используется алгоритм расчета хеш-суммы scrypt. Kaspersky MLAD добавляет соль к паролю для предотвращения его декодирования. Пароли пользователей не записываются в журналы программы.

    Данные об учетных записях пользователей вводит системный администратор в меню администратора.

  • Данные о ролях и назначенных для этих ролей прав: идентификатор роли, название роли, состояние роли (активна или неактивна), список назначенных прав, дату и время создания роли, дата и время изменения роли.

    Данные о ролях вводит системный администратор в меню администратора.

  • Данные об об инцидентах: идентификатор уведомления, название уведомления, информацию, включена ли отправка уведомлений об инцидентах только для опубликованных ML-моделей, состояние уведомления (активно или неактивно), язык уведомления, адреса электронной почты для отправки уведомлений, типы инцидентов, по которым отправляются уведомления.

    Данные об уведомлениях вводит системный администратор в меню администратора.

  • Информацию о загруженных в Kaspersky MLAD лицензионных ключах.
  • Данные о параметрах Kaspersky MLAD:
    • Основные параметры программы: имя объекта мониторинга, URL- и IP-адреса для формирования ссылки на инциденты в уведомлениях об инцидентах, интервал получения данных из службы Message Broker, интервал получения статистических данных об инцидентах из базы данных, часовой пояс объекта мониторинга.
    • Параметры безопасности программы: количество попыток авторизации, период блокировки пользователя, период неактивности пользователя, информацию, является ли смена пароля при первом подключении обязательной, количество паролей пользователя, хранящихся в истории, срок действия пароля, минимальную длину пароля, информацию, требуется ли использование в пароле прописных, строчных букв латинского алфавита, цифр и/или специальных символов (_!@#$%^&*), объем и время хранения журналов событий информационной безопасности.
    • Параметры службы Anomaly Detector: информацию, требуется ли использовать детекторы Limit Detector, Forecaster, XGBoost и/или Rule Detector, информацию, требуется ли пропускать разрывы в данных, максимальное количество запрашиваемых записей из службы Message Broker, количество сообщений, отправляемых в одном блоке в службу Message Broker.
    • Параметры службы Keeper: информацию, требуется ли сохранять значения всех , время ожидания получения значений тегов, инцидентов и метрик.
    • Параметры службы Mail Notifier: адрес электронной почты отправителя уведомлений, адрес и порт SMTP-сервера, имя пользователя и пароль для подключения к SMTP-серверу, информацию, требуется ли использовать TLS-соединение, сертификат и ключ к сертификату SMTP-сервера.
    • Параметры службы Similar Anomaly: минимальное и максимальное количество инцидентов для группы, максимальное расстояние между схожими инцидентами.
    • Параметры службы Stream Processor: период равноинтервальной сетки, конфигурационный файл с параметрами службы Stream Processor.

      В конфигурационном файле службы Stream Processor хранятся идентификаторы тегов, которые обрабатываются службой, и значения параметров обработки тегов.

      Значения параметров обработки тегов задаются специалистами "Лаборатории Касперского" индивидуально для каждого объекта мониторинга.

    • Параметры коннектора HTTP Connector: размер записываемого блока, максимальный размер загружаемого файла, информацию, требуется ли использовать TLS-соединение и рекомендуемые параметры TLS-соединения, сертификат и ключ к сертификату HTTPS-сервера, корневой сертификат для проверки подписи сертификата клиента, информацию, требуется ли масштабировать полученные значения тегов.
    • Параметры коннектора MQTT Connector: информацию, требуется ли использовать TLS-соединение и рекомендуемые параметры TLS-соединения, адрес и порт MQTT-брокера, имя пользователя и пароль для подключения к MQTT-брокеру, корневой сертификат, сертификат клиента и ключ к сертификату клиента, список подписок MQTT для получения тегов, для публикации сообщений, формат обработки поступающих данных, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов.

      В конфигурационном файле коннектора MQTT Connector хранятся идентификаторы, имена, описания, типы и единицы измерения тегов.

    • Параметры коннектора AMQP Connector: информацию, требуется ли использовать TLS-соединение и рекомендуемые параметры TLS-соединения, адрес и порт AMQP-брокера, имя пользователя и пароль для подключения к AMQP-брокеру, корневой сертификат, сертификат клиента и ключ к сертификату клиента, виртуальный узел AMQP, имена точек обмена AMQP для получения значений тегов и для публикации сообщений, список подписок и очередь для получения значений тегов, для публикации сообщений, формат обработки поступающих данных, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов.

      В конфигурационном файле коннектора AMQP Connector хранятся идентификаторы, имена, описания, типы и единицы измерения тегов.

    • Параметры коннектора OPC UA Connector: адрес подключения, время ожидания подключения к серверу OPC UA, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов, политику безопасности соединения, режим безопасности сообщений, имя пользователя и пароль для подключения к серверу, сертификат клиентского приложения, закрытый ключ к сертификату клиентского приложения, пароль для закрытого ключа к сертификату клиентского приложения, корневой сертификат, интервал исторических данных, начало и окончание периода исторических данных, размер блока исторических данных, отправляемых сервером OPC UA, размер блока исторических данных, отправляемых в службу Message Broker.
    • Параметры коннектора KICS Connector: файл свертки для коннектора KICS Connector, пароль для коннектора KICS Connector, информацию, требуется ли отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks, частоту тегов, информацию, требуется ли масштабировать полученные значения тегов.
    • Параметры коннектора CEF Connector: информацию, требуется ли получать события для службы Event Processor, информацию, требуется ли отправлять зарегистрированные инциденты и/или события в SIEM-систему, IP-адрес и порт для отправки событий и инцидентов в SIEM-системы, информацию, требуется ли отправлять журналы событий ИБ на syslog-сервер, транспортный протокол для отправки событий ИБ на syslog-сервер, адрес и порт syslog-сервер для отправки событий ИБ, информацию, требуется ли использовать защищенное TLS-соединение и рекомендуемые параметры TLS-соединения, сертификат и ключ к сертификату сервера, корневой сертификат для проверки подписи сертификата клиента, сертификат и ключ к сертификату клиента, корневой сертификат для проверки подписи сертификата сервера.
    • Параметры коннектора WebSocket Connector: URL-адрес WebSocket-сервера, корневой сертификат, сертификат клиентского приложения и ключ к сертификату клиентского приложения, формат обработки поступающих данных, конфигурационный файл коннектора, информацию, требуется ли масштабировать полученные значения тегов, информацию, требуется ли отправлять инциденты, информацию, требуется ли использовать рекомендуемые параметры TLS-соединения.
    • Параметры службы Event Processor: конфигурационный файл службы, информацию, требуется ли обрабатывать инциденты как события, максимальное количество слоев сети, коэффициент, определяющий допустимую дисперсию длительности паттерна, интервал получения событий эпизода, размера эпизода в основном режиме, способ сохранения состояния службы Event Processor, периодичность создания резервных копий компонента, резервную копию состояния службы Event Processor, размер эпизода в режиме сна, режим отправки оповещений при активации монитора в режиме сна, периодичность и продолжительность режима сна, интервал истории событий для обработки в режиме сна.
    • Параметры статуса инцидентов: идентификатор статуса инцидента, названия статуса инцидента на русском и английском языке, порядковый номер сортировки, информацию, требуется ли отображать зарегистрированные инциденты с этим статусом.
    • Параметры причины инцидентов: идентификатор причины инцидента, название причины инцидента, порядковый номер сортировки.
    • Параметры службы ведения журналов: уровни ведения журналов служб и коннекторов программы.
    • Параметры временных интервалов для графиков в разделах Мониторинг, История и Временной срез: идентификатор временного интервала, названия временного интервала на русском и английском языке, порядковый номер сортировки, идентификатор пользователя, который создал временной интервал, идентификатор пользователя, который последним изменил временной интервал, значение временного интервала.
    • Параметры отображения пунктов основного меню и меню администратора: информацию, требуется ли отображать пункты основного меню и меню администратора в веб-интерфейсе программы.

    Параметры Kaspersky MLAD задает системный администратор в меню администратора.

  • Данные об и тегах: имя актива, идентификатор актива, значок актива, идентификатор родительского актива, описание и тип актива, идентификатор и название типа актива, названия и значения специальных параметров типа актива, описание типа актива, идентификатор и имя тега, альтернативное имя тега, значок тега, описание тега, тип тега, единицу измерения тега, верхние и нижние пороги блокировки, сигнализации и достоверности измерений, комментарий к тегу, координаты расположения датчика объекта мониторинга в пространстве по осям абсцисс, ординат и аппликат, имя устройства, от которого поступают теги из внешней системы, параметры смещения и множителя, с помощью которых выполняется перерасчет полученных от коннекторов значений тегов.

    Данные об активах и тегах вводит системный администратор в меню администратора.

  • Данные о : название пресета, идентификатор пресета, значок пресета, имена и идентификаторы тегов, входящих в пресет, название и описание , режим масштабирования оси, верхнюю и нижнюю границы отображения значений тегов, дополнительные пороговые линии, информацию о тегах, входящих в состав графической области, информацию, требуется ли настроить выражение для раздела Временной срез, подписи осей абсцисс и ординат, название выражения для расчета значений тегов, выражения для расчета значений тегов, цвет графика для пресета в разделе Временной срез.

    Данные может ввести любой пользователь в разделе Пресеты.

  • Информацию о количестве поступивших в секунду наблюдений по тегам и событий. Данные рассчитывает программа на основании данных, полученных от внешних систем.
  • Информацию о значениях тегов и событий, поступивших в систему. Данные поступают от внешних систем, для которых пользователь настроил получение данных.
  • Информацию о сформированных артефактах. Данные рассчитывает программа на основании данных, полученных от внешних систем.
  • Информацию о статусах служб программы: название и текущий статус службы. Программа отображает статус службы, полученный из соответствующих компонентов.
  • Данные о зарегистрированных инцидентах и группах инцидентов: идентификатор инцидента, дату и время регистрации инцидента, имя и идентификатор топ-тега, причину инцидента, название детектора, зарегистрировавшего инцидент, название группы инцидентов, статус инцидента, название ML-модели, элемент ML-модели, значение артефакта элемента ML-модели, пороговое значение, значение топ-тега, пороги блокировки, описание и единицы измерения тега, тип инцидента, дату и время формирования наблюдения, время, на которое формирование наблюдения отстает от поступления этого наблюдения в программе или опережает его, экспертное заключение к инциденту и к группе, комментарий к инциденту, название и идентификатор группы инцидентов, количество инцидентов в группе, дату и время создания группы инцидентов, статус зарегистрированных инцидентов в группе, идентификаторы релевантных тегов, порог блокировки, который был достигнут при регистрации инцидента.

    Программа формирует эти данные в результате анализа полученных данных и на основании параметров, заданных пользователем.

  • Параметры отображения графиков в разделах Мониторинг и История: высоту графиков, пресет для перехода в раздел История (только при настройке параметров отображения графика в разделе Мониторинг), информацию, требуется ли отображать график наблюдений в выбранном цвете, цвет графиков наблюдений, информацию, требуется ли отображать график прогнозов в выбранном цвете, цвет графиков прогнозов, информацию, требуется ли отображать на графиках имена и описания тегов, прогнозируемое значение тега и/или индивидуальную ошибку тега, информацию, требуется ли отображать индикаторы для всех инцидентов на графиках, информацию, требуется ли отображать на графиках пороги блокировки и/или дополнительные пороговые линии, элемент ML-модели, используемый для формирования прогнозируемых значений, пресеты, временные интервалы, дату и время для отображения графиков.

    Данные может ввести любой пользователь в разделах Мониторинг и История.

  • Параметры отображения графиков в разделе Временной срез: высоту графиков, элемент ML-модели, используемый для формирования прогнозируемых значений, пресеты, временные интервалы, дату и время для отображения графиков.

    Данные может ввести любой пользователь в разделе Временной срез.

  • Параметры обработки и отображения данных для процессора событий: идентификатор, название и состояние головы внимания, параметры предмета внимания (индивидуальны для каждого объекта мониторинга), информацию, требуется ли обобщать параметры условий, параметры условий головы внимания (индивидуальны для каждого объекта мониторинга).

    Если в параметрах службы Event Processor включен переключатель Обрабатывать инциденты как события, то программа хранит и обрабатывает следующие данные:

    • название детектора;
    • название используемой ML-модели;
    • имя и идентификатор топ-тега;
    • название группы инцидентов, в которую входит зарегистрированный инцидент;
    • значение топ-тега;
    • идентификатор инцидента.

    Данные для процессора событий может ввести любой пользователь в разделе Процессор событий.

  • Данные о мониторинге событий и паттернов в процессоре событий: название и идентификатор монитора, состояние монитора, количество зарегистрированных активаций на скользящем окне, дату и время последней активации, размер списка активаций, параметр, определяющий что отслеживает монитор, скользящее окно, порог активации, голову внимания, параметр предмета внимания, информацию, отслеживает ли монитор события или паттерны при обобщенном предмете внимания, тип активации, имена параметров события, за значениями которых наблюдает монитор, типы фильтров, типы значений, которые отслеживает монитор, значения параметров событий, которые отслеживает монитор, идентификатор значения параметра события, события или паттерна, обнаружение которого привело к активации монитора, дату и время обнаружения события в потоке событий, временной интервал между текущим событием и предыдущим событием в потоке событий на скользящем окне, количество повторений события в потоке событий на скользящем окне, количество параметров события, для которых поступили значения от объекта мониторинга, дату и время последнего обнаружения события в потоке событий на скользящем окне, параметр предмета внимания и его значение, вызвавшее активацию монитора, дату и время активации монитора, параметры события, поступившего от объекта мониторинга, количество событий, входящих в состав паттерна, который вызвал активацию монитора, общее количество повторений паттерна в потоке событий, идентификатор обобщенного события, идентификатор обобщенного паттерна, количество активаций монитора обобщенным событием или паттерном, количество событий в составе обобщенного паттерна, количество значений параметра предмета внимания, обнаружение которых вызвало активацию монитора, временной интервал между первым и последним событием в обнаруженном обобщенном паттерне, обнаруженное обобщенное событие, обнаруженный обобщенный паттерн, значения параметров предмета внимания, обнаружение которых вызвало активацию монитора.

    Программа формирует данные в результате анализа полученных данных и параметров, заданных пользователем в разделе Процессор событий.

  • Данные о регистрации паттернов в процессоре событий: идентификатор паттерна, дату и время последнего обнаружения паттерна на интервале, количество обнаружений паттерна в потоке событий объекта мониторинга за заданный период, количество событий в составе паттерна, дату и время последнего обнаружения паттерна в потоке событий или в режиме сна, дату и время начала и окончания периода загрузки паттернов, тип паттерна, голову внимания, значения параметров события, по которым регистрируются паттерны, параметры шаблона, по которым регистрируются паттерны (индивидуальны для каждого объекта мониторинга), идентификатор вложенного паттерна, дату и время окончания вложенного паттерна в последовательности паттернов, количество обнаружений вложенного паттерна, количество событий в составе вложенного паттерна, временной интервал между вложенным паттерном и паттерном, выявленным в последовательности паттернов на текущем слое до вложенного паттерна, дату и время последнего обнаружения вложенного паттерна в последовательности паттернов на текущем слое, идентификаторы событий, входящих в состав паттерна, дату и время обнаружения события в структуре паттерна, временной интервал между выбранным событием и предыдущим событием, количество повторений события в структуре выбранного паттерна, количество параметров события, для которых поступили значения от объекта мониторинга, дату и время последнего обнаружения события в потоке событий.

    Программа формирует данные в результате анализа данных и параметров, заданных пользователем в разделе Процессор событий.

  • Информация о ML-моделях и их параметрах: идентификатор (ID) и уникальный идентификатор (UUID) ML-модели, название, описание, статус и состояние ML-модели, имя пользователя, который последним изменил ML-модель, дату и время последнего изменения ML-модели, имя пользователя, который создал ML-модель, дату и время создания или загрузки ML-модели, названия и идентификаторы входящих в нее элементов, интервал времени и для проведения .

    Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.

  • Информацию об элементах ML-моделей и их параметрах:
    • Общие параметры для всех типов элементов ML-моделей: идентификатор, название и описание элемента ML-модели, статус и состояние элемента ML-модели, интервал времени, при достижении которого регистрируется повторный инцидент, интервал времени, в течение которого не регистрируются повторные инциденты, интервал наблюдения за аномалией, доля длительности аномалии в интервале, причину и статус инцидента, цвет точек-индикаторов для инцидентов, экспертное заключение.
    • Основные параметры предиктивных элементов ML-моделей: архитектуру элемента, шаг сетки в секундах, имена и идентификаторы входных тегов, имена и идентификаторы выходных тегов, порог регистрации инцидентов, степенной показатель суммарной ошибки прогноза, коэффициент сглаживания суммарной ошибки прогноза, количество шагов входного окна для входных значений, количество шагов, на которое смещается начало выходного окна относительно начала входного окна, количество шагов выходного окна.
    • Параметры нейросетевого элемента с Dense-архитектурой: множители для вычисления количества нейронов на слоях, активации на слоях, коэффициент регуляризации для предотвращения переобучения элемента ML-модели.
    • Параметры нейросетевого элемента с RNN-архитектурой: количество -нейронов на слоях, количество распределенных по времени нейронов на слоях декодирующего блока, информацию, требуется ли восстанавливать данные, принимаемые на вход сети, коэффициент регуляризации для предотвращения переобучения элемента ML-модели.
    • Параметры нейросетевого элемента с CNN-архитектурой: размер фильтров на слоях, количество фильтров на слоях, коэффициент регуляризации для предотвращения переобучения элемента ML-модели, размер окна выборки максимума, количество нейронов на слоях декодирующего блока, информацию, требуется ли восстанавливать данные, принимаемые на вход сети.
    • Параметры нейросетевого элемента с TCN-архитектурой: коэффициент регуляризации для предотвращения переобучения элемента ML-модели, размер фильтров, количество слоев в остаточном блоке, количество фильтров на слоях, расширения на слоях, тип слоя перед выходным, размер пакета, функцию активации.
    • Параметры нейросетевого элемента с Transformer-архитектурой: коэффициент регуляризации в кодирующем блоке, количество голов внимания, количество кодирующих блоков, множители для вычисления количества нейронов на слоях декодирующего блока.
    • Параметры обучения предиктивного элемента: интервал времени для обучения, названия и идентификаторы разметок для обучения, максимальную продолжительность обучения, соотношение обучающей и валидационной выборок, максимальное количество эпох для обучения, количество эпох, в течение которых должны отсутствовать валидационные потери при ранней остановке обучение, разрешение графиков для отображения результатов обучения, размер пакета данных для обучения, количество блоков, режим инференса, режим обучения, режим автоматического разделения данных на блоки, используемый объем памяти для обучения, информацию, требуется ли инициализировать веса модели значениями из результатов предыдущего обучения и/или перемешивать данные, значение для инициализации генератора псевдослучайных чисел, коэффициент скорости обучения, алгоритм оптимизации обучения, алгоритм оптимизации потерь.
    • Информацию о результатах обучения предиктивного элемента: очередь обучения (идентификаторы и названия элементов ML-модели, которые ожидают очереди на обучение), статус обучения, название и идентификаторы обучающихся элементов, количество блоков, на которые разбиты данные для обучения, имя пользователя, который запустил обучения элемента, продолжительность обучения, дату и время начала и окончания обучения, продолжительность интервалов времени данных в обучающей выборке, количество узлов , входящий в обучающую выборку, ошибки обучения и валидации, прогноз обученной ML-модели на обучающей выборке.
    • Параметры элементов на основе диагностических правил: информацию, требуется ли интерпретировать невозможность оценки условия как выполнение правила, параметры фильтрации по времени: тип интервала, годы, дни, дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданным правилом; параметры условия на поведение тегов: тег, для которого добавлено условие, поведение тега, условие выполнения правила, количество шагов РИВС, пороговое значение тега, минимальное количество срабатываний правила для регистрации инцидента, значение уклона тренда, интервал времени между соседними оценками тренда, значение порога изменений, направление изменения значений тега, значение тега, максимальное отклонение тега от указанного значения, направление изменения разброса значения тега, информацию, используется ли в правиле пауза и параметры паузы: минимальный и максимальный интервалы ожидания, используемые групповой и логический операторы.
    • Параметры элементов на основе эллиптического конверта: порог регистрации инцидентов, шаг сетки в секундах, имена и идентификаторы входных тегов, которые необходимо включить в ML-модель.
    • Параметры обучения элемента на основе эллиптического конверта: интервал времени для обучения, названия и идентификаторы разметок для обучения, долю выборки для оценки среднего и ковариации, долю выбросов в выборке, значение для инициализации генератора псевдослучайных чисел, разрешение графиков для отображения результатов обучения, информацию, предполагается ли, что значения тегов центрированы.
    • Информацию о результатах обучения элемента на основе эллиптического конверта: очередь обучения (идентификаторы и названия элементов ML-модели, которые ожидают очереди на обучение), статус обучения, название и идентификаторы обучающихся элементов, имя пользователя, который запустил обучения элемента, продолжительность обучения, дату и время начала и окончания обучения, продолжительность интервалов времени данных в обучающей выборке, количество узлов РИВС, входящий в обучающую выборку, степень отклонения тегов, значения тегов, распределение значений тегов и корреляция тегов.

    Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.

  • Информацию о разметках: идентификатор, название и описание разметки, интервал, с которым рассчитываются данные на РИВС, цвет разметки, способ появления разметки в программе, информацию, используется ли разметка в качестве основного индикатора инференса, параметры фильтрации по времени: тип интервала, годы, дни, дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными условиями разметки; параметры условия на поведение тегов: тег, для которого добавлено условие, поведение тега, условие выполнения правила, количество шагов РИВС, пороговое значение тега, минимальное количество срабатываний правила для регистрации инцидента, значение уклона тренда, интервал времени между соседними оценками тренда, значение порога изменений, направление изменения значений тега, значение тега, максимальное отклонение тега от указанного значения, направление изменения разброса значения тега, информацию, используется ли в правиле пауза и параметры паузы: минимальный и максимальный интервалы ожидания, используемые групповой и логический операторы.

    Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.

  • Журналы событий информационной безопасности: идентификатор событий ИБ, дату и время события ИБ, тип события ИБ, уточнение типа события ИБ, уровень важности события ИБ, имя пользователя, действия которого привели к записи события ИБ, IP-адрес компьютера, с которого пользователем были произведены действия, записанные в журналы событий ИБ, результат события ИБ, краткое содержание события ИБ, подробное описание события ИБ.

    IP-адреса компьютеров, с которых было выполнено подключение к веб-интерфейсу программы, указываются в журналах событий информационной безопасности.

    Данные формируются Kaspersky MLAD автоматически.

    Kaspersky MLAD хранит журналы событий ИБ в течении времени, заданном в параметре Время хранения журналов событий информационной безопасности (сут) при настройке параметров безопасности. Программа удаляет ранние записи журналов событий ИБ при превышении объема для хранения события ИБ, заданного в параметре Объем журналов событий информационной безопасности (МБ).

  • Журналы контейнеров Kaspersky MLAD: дату и время события, уровень важности события, название контейнера, для которого зарегистрировано событие, описание события.

    Данные формируются Kaspersky MLAD автоматически.

    Kaspersky MLAD хранит журналы контейнеров в течение двух дней.

Система ведения журналов (Grafana) не передает пользовательские данные в "Лабораторию Касперского" или на сторонние серверы. Вы можете ознакомиться с порядком хранения и обработки данных в системе ведения журналов в руководстве пользователя системы ведения журналов Grafana.

Данные, обрабатываемые на компьютерах пользователей

При работе с веб-интерфейсом Kaspersky MLAD в файлах cookie браузера пользователя хранятся следующие данные:

  • Индивидуальные токены JSON Web Token для поддержки пользовательской сессии подключения к веб-интерфейсу программы. Индивидуальный токен хранится в файлах cookie браузера пользователя в течение периода неактивности пользователя, заданного при настройке параметров безопасности.
  • Идентификатор запущенной сессии Grafana, если пользователь переходил к просмотру журналов программы. Идентификатор сессии Grafana хранится в файлах cookie браузера пользователя в течение 30 дней.

В браузере пользователя хранятся данные, которые используются для отображения веб-интерфейса: последний использованный язык локализации веб-интерфейса программы, последний использованный вариант отображения основного меню (скрытое или развернутое отображение), последние использованные значения временного интервала, пресета, даты и времени, элементы ML-моделей и параметры отображения графиков в разделах Мониторинг, История и Временной срез, последние использованные параметры нумерации страниц, последние заданные фильтры для отображения данных в разделе Процессор событий, последние использованные значения статуса и причины инцидентов в разделе Инциденты, информация о пресетах Теги инцидента #<идентификатор инцидента>, сформированных для зарегистрированного инцидента, информация о текущей установленной версии Kaspersky MLAD. Эти данные хранятся в браузере бессрочно. Вы можете самостоятельно удалить эти данные из локального хранилища браузера.

При экспорте инцидентов программа сохраняет на компьютер пользователя файл формата XLSX со следующими данными:

  • именем объекта мониторинга;
  • периодом, за который были выгружены инциденты;
  • идентификаторами зарегистрированных инцидентов;
  • датами и временем зарегистрированных инцидентов;
  • статусами зарегистрированных инцидентов;
  • названиями групп, в которые входят зарегистрированные инциденты;
  • именами и идентификаторами топ-тегов, оказавших наибольшее влияние на регистрацию инцидентов;
  • значениями топ-тегов;
  • единицами измерения топ-тегов;
  • описаниями топ-тегов;
  • названиями ML-моделей, зарегистрировавших инциденты;
  • названиями детекторов, зарегистрировавших инциденты.

При экспорте журналов событий информационной безопасности из системы ведения журналов Grafana программа сохраняет на компьютер пользователя файл формата CSV со следующими данными:

  • идентификаторами событий ИБ;
  • датами и временем событий ИБ;
  • типами событий ИБ;
  • уточнениями типов событий ИБ;
  • уровнями важности событий ИБ;
  • именами пользователей, действия которых привели к записи событий ИБ;
  • IP-адресами компьютеров, с которых пользователями были произведены действия, записанные в журналы событий ИБ;
  • результатами событий ИБ;
  • краткими содержаниями событий ИБ;
  • подробными описаниями событий ИБ.

При экспорте журналов контейнеров из системы ведения журналов Grafana программа сохраняет на компьютер пользователя файл формата CSV со следующими данными:

  • датами и временем событий;
  • уровнями важности событий;
  • именем контейнера, для которого зарегистрированы события;
  • описаниями событий.

При экспорте конфигурации активов и тегов программа сохраняет на компьютер пользователя файл формата XLSX со следующими данными:

  • идентификатором типа актива;
  • уникальным названием типа актива;
  • названием специальных параметров для типа актива (при наличии);
  • описанием типа актива (при наличии);
  • идентификатором актива;
  • именем актива;
  • уникальным именем актива в рамках его родительского актива;
  • описанием актива (при наличии);
  • именем родительского актива, к которому относится актив (при наличии);
  • идентификатором родительского актива (при наличии);
  • названиями специальных параметров актива (при наличии);
  • значениями специальных параметров актива (при наличии);
  • идентификатором тега;
  • уникальным именем тега;
  • уникальным альтернативным именем тега (при наличии);
  • описанием тега;
  • именем родительского актива, к которому относится тег (при наличии);
  • идентификатором родительского актива;
  • типом тега (при наличии);
  • единицей измерения тега;
  • нижним и верхним порогами блокировки (при наличии);
  • нижним и верхним порогами сигнализации (при наличии);
  • нижним и верхним порогами достоверности измерений (при наличии);
  • нижней и верхней границами отображения значений тега на графиках (при наличии);
  • выражением, по которому требуется рассчитать значение тега из значения, переданного в Kaspersky MLAD;
  • комментарием к тегу;
  • координатами расположения датчика объекта мониторинга по осям абсцисс, ординат и аппликат (при наличии);
  • значением смещения, которое необходимо добавить к значению тега, полученному от коннектора;
  • значением множителя, на которое необходимо умножить значение тега, полученное от коннектора.

При экспорте пресетов программа сохраняет на компьютер пользователя файл формата JSON со следующими данными:

  • названием пресета;
  • идентификатором пресета;
  • порядковым номером отображения пресета в разделе Пресеты;
  • списком идентификаторов тегов, входящих в состав пресета;
  • названием значка пресета;
  • названием CSS-класса для отображения значка пресета;
  • информацией, требуется ли отображать пресет в разделе Временной срез;
  • параметрами графической области в составе пресета:
    • названием графической области;
    • описанием графической области;
    • порядковым номером отображения графической области в пресета в разделах Мониторинг, История и Пресеты;
    • верхней и нижней границами отображения значений тегов в графической области;
    • параметрами дополнительных пороговых линий:
      • идентификатором дополнительной пороговой линии;
      • пороговым значением;
      • цветом дополнительной пороговой линии.
    • режимом масштабирования оси;
    • способом масштабирования графика в режиме единой оси;
    • списком идентификаторов тегов, входящих в состав графической области;
    • идентификатором графической области;
    • идентификатором пресета, к которому относится графическая область.
  • при использовании пресета для отображения данных в разделе Временной срез программа сохраняет следующие данные:
    • подпись по оси абсцисс на графике в разделе Временной срез;
    • название выражения, по которому рассчитываются значения тегов;
    • подпись по оси ординат на графике в разделе Временной срез;
    • выражение, по которому рассчитываются значения тегов;
    • цвет графика для пресета в разделе Временной срез.

При экспорте параметров Kaspersky MLAD программа сохраняет на компьютер пользователя конфигурационные файлы со следующими данными:

  • Файл с параметрами статусов инцидентов, содержащий следующие данные:
    • идентификатор статуса инцидента;
    • название статуса инцидента на русском языке;
    • название статуса инцидента на английском языке;
    • порядковый номер статуса инцидента для сортировки;
    • информацию, требуется ли отображать зарегистрированные инциденты с этим статусом.
  • Файл с параметрами причин инцидентов, содержащий следующие данные:
    • идентификатор причины инцидента;
    • название причины инцидента;
    • порядковый номер причины инцидента для сортировки.
  • Файл с параметрами временных интервалов отображения данных на графиках Мониторинг, История и Временной срез, содержащий следующие данные:
    • идентификатор временного интервала;
    • название временного интервала на русском языке;
    • название временного интервала на английском языке;
    • порядковый номер временного интервала для сортировки;
    • идентификатор пользователя, который создал временный интервал;
    • идентификатор пользователя, который последним изменил временной интервал;
    • значение временного интервала в миллисекундах.
  • Параметры служб и коннекторов Kaspersky MLAD:
    • идентификаторы параметров;
    • названия параметров в базе данных Kaspersky MLAD;
    • типы введенных значений;
    • введенные или выбранные значения;
    • название блока параметров, к которому относится текущий параметр;
    • порядковый номер отображения параметра в текущем разделе;
    • требования к значению параметра.
  • Конфигурационный файл службы Stream Processor, содержащий следующие данные:
    • идентификаторы тегов, которые обрабатываются службой Stream Processor;
    • значения параметров обработки тегов.

      Значения параметров обработки тегов задаются специалистами "Лаборатории Касперского" индивидуально для каждого объекта мониторинга.

  • Конфигурационные файлы коннекторов MQTT Connector, AMQP Connector и WebSocket Connector, содержащие следующие данные:
    • идентификаторы тегов, полученные с помощью коннектора MQTT Connector, AMQP Connector или WebSocket Connector;
    • единицы измерения временной метки тегов;
    • тип получаемых данных;
    • формат шаблона для декодирования типа получаемых данных.
  • Конфигурационный файл коннектора OPC UA Connector, содержащий следующие данные:
    • идентификатор тега;
    • имя актива, к которому относится тег;
    • тип данных, которые передаются в значении тега.
  • Конфигурационный файл службы Event Processor, содержащий следующие данные:
    • правила соответствия параметров событий, полученных коннектором CEF Connector, с именами параметров событий для обработки в службе Event Processor;
    • список обрабатываемых параметров событий;
    • время и масштаб времени для обработки событий;
    • порядок и взаимосвязь параметров событий для их отображения на графе отношений в разделе История событий.
  • Файл свертки для коннектора KICS Connector, содержащий следующие данные:
    • В зашифрованном виде открытый ключ сертификата сервера Kaspersky Industrial CyberSecurity for Networks, сертификат, выданный сервером Kaspersky Industrial CyberSecurity for Networks для коннектора KICS Connector (с закрытым ключом).

      Содержимое файла зашифровано с помощью пароля, который был указан при добавлении коннектора KICS Connector или при создании нового файла свертки для этого коннектора.

    • Конфигурационные данные для коннектора KICS Connector: имя пользователя, под которым Kaspersky MLAD будет подключаться к серверу Kaspersky Industrial CyberSecurity for Networks, идентификатор коннектора KICS Connector, адрес сервера Kaspersky Industrial CyberSecurity for Networks для подключения.
В начало

[Topic 248059]

Директории для хранения данных программы

Kaspersky MLAD использует для хранения данных следующие директории и их поддиректории:

  • Директории программы (по умолчанию /opt/kaspersky/mlad):
    • . – корневая директория программы. Используется для хранения конфигурационных файлов, журналов установки и обновления Kaspersky MLAD, скриптов для установки, обновления, запуска и остановки Kaspersky MLAD, подписи дистрибутива. Также в корне директории программы хранятся примечания к текущему выпуску Kaspersky MLAD (Release Notes).
    • ./configs – директория для хранения конфигурационных файлов Kaspersky MLAD. Директория содержит поддиректорию logger, в которой хранятся конфигурационные файлы службы Logger.
    • ./data – директория для хранения данных, которые загружаются с использованием коннектора HTTP Connector.
    • ./legal – директория для хранения текста Лицензионного соглашения, метки о дате его принятия пользователем, а также файла legal_notices.txt, в котором содержится информация о стороннем коде.
    • ./ssl – директория для хранения скрипта генерации самоподписанного сертификата, обеспечивающего HTTPS-соединение с браузером пользователя Kaspersky MLAD.
    • ./ssl/tokens – директория для хранения ключа JWT (JSON Web Token).
    • ./ssl/nginx – директория для хранения сертификатов, обеспечивающих HTTPS-соединение с браузером пользователя Kaspersky MLAD.
    • ./ssl/public_cert – директория для хранения публичных ключей для проверки цифровой подписи дистрибутива.
    • ./mlad_backup-<номер версии>-<номер сборки> – директория для хранения резервных копий Kaspersky MLAD по умолчанию. Резервная копия Kaspersky MLAD может быть создана с помощью скрипта резервного копирования backup.sh или в процессе обновления программы с помощью скрипта обновления upgrade.sh. При выполнении резервного копирования программы вы можете указать другую директорию для хранения резервной копии. Содержимое повторяет структуру корневой директории, в которую установлен Kaspersky MLAD, а также содержит следующие поддиректории:
      • ./containers_backup – директория для хранения архива с резервной копией контейнеров служб Kaspersky MLAD.
      • ./volumes_backup – директория для хранения архива с резервной копией томов (volumes) Docker.
    • ./volumes_backup_<дата удаления> – директория для хранения резервных копий томов (volumes) Docker, которые создаются во время удаления Kaspersky MLAD.
  • Директория /var/lib/docker/volumes/:
    • ./<имя директории программы>_postgres-volume – директория для хранения файлов базы данных Postgres.
    • ./<имя директории программы>_inflxdb-volume – директория для хранения файлов службы Time Series Database.
    • ./<имя директории программы>_logger-volume – директория для хранения файлов подсистемы ведения журналов.
    • ./<имя директории программы>_webstatic-volume – директория для хранения статических данных веб-интерфейса программы.
  • /etc/hosts – служебный файл, описывающий соответствие IP-адресов и имен хостов внешних серверов.

Изменить файлы программы может администратор программы или пользователь, от имени которого распакован архив, содержащий установочный скрипт и все необходимые для установки Kaspersky MLAD файлы.

Удаление или изменение любого файла Kaspersky MLAD может привести к нарушению работоспособности программы.

В начало

[Topic 247985]

Задачи системного администратора

Этот раздел содержит описание задач системного администратора, выполняемых в меню администратора программы.

В этом разделе справки

Управление учетными записями пользователей

Управление ролями

Управление уведомлениями об инцидентах

Настройка параметров Kaspersky MLAD

Управление активами и тегами

В начало

[Topic 248038]

Управление учетными записями пользователей

Для того чтобы обеспечить безопасную работу пользователей с Kaspersky MLAD, вам нужно создать учетную запись для каждого пользователя.

Управление учетными записями пользователей Kaspersky MLAD доступно системным администраторам.

Все созданные учетные записи пользователей и информация о них отображаются в таблице разделе Пользователи в меню администратора.

  • ID – идентификатор пользователя.
  • Фамилия – фамилия пользователя.
  • Имя – имя пользователя.
  • Отчество – отчество пользователя.
  • Адрес электронной почты – адрес электронной почты пользователя.
  • Состояние – параметр, описывающий состояние блокировки учетной записи пользователя. Если пользователь заблокирован, в столбце Состояние отображается красная точка со значением Не активен. Заблокированный пользователь не может авторизоваться в Kaspersky MLAD и использовать программу. Если пользователь разблокирован, в столбце Состояние отображается зеленая точка со значением Активен.
  • Действие – кнопка, позволяющая изменять учетную запись пользователя.

При установке программы создается специальная системная учетная запись User System, которая не предназначена для использования персоналом при работе с Kaspersky MLAD. Подключение к веб-интерфейсу программы с помощью этой учетной записи невозможно. Для уточнения возможности изменения ее параметров рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.

При необходимости вы можете изменять учетные записи пользователей. Kaspersky MLAD не позволяет удалять учетные записи пользователей. Если вы хотите запретить доступ к веб-интерфейсу Kaspersky MLAD для определенной учетной записи, рекомендуется заблокировать ее. Позже вы можете разблокировать эту учетную запись, если потребуется. Вы также можете разблокировать учетную запись, заблокированную при достижении количества неудачных попыток авторизации этого пользователя до истечения периода блокировки. Вы можете указать количество неудачных попыток авторизации и период блокировки учетной записи при настройке параметров безопасности Kaspersky MLAD.

Рядом с каждой учетной записью находится вертикальное меню Пиктограмма в виде трех точек, расположенных вертикально., позволяющее отзывать токены аутентификации или просматривать список прав для определенной учетной записи пользователя.

Окно раздела "Пользователи" содержит таблицу с учетными записями пользователей.

Раздел Пользователи

В этом разделе

Создание учетной записи пользователя

Изменение учетной записи пользователя

Отзыв токенов аутентификации для учетной записи пользователя

Просмотр прав доступа для учетной записи пользователя

В начало

[Topic 248039]

Создание учетной записи пользователя

Управление учетными записями пользователей Kaspersky MLAD доступно системным администраторам.

Чтобы создать учетную запись пользователя:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Пользователи.
  3. Нажмите на кнопку Добавить пользователя.

    Справа отобразится панель Добавление пользователя.

  4. В поле Фамилия введите фамилию пользователя.
  5. В поле Имя введите имя пользователя.
  6. Если требуется, в поле Отчество введите отчество пользователя.
  7. В поле Адрес электронной почты укажите адрес электронной почты пользователя.
  8. В поле Пароль введите пароль для учетной записи пользователя.

    Пароль должен удовлетворять следующим требованиям:

  9. В поле Подтверждение пароля подтвердите пароль для учетной записи пользователя.
  10. Нажмите на кнопку Сохранить.

Информация о новом пользователе отобразится в таблице. Если требуется, вы можете изменять учетные записи пользователей и отзывать их токены аутентификации

При создании учетной записи вы не можете присвоить роль пользователю. Вы можете присвоить пользователю роль только при изменении учетной записи.

В начало

[Topic 248040]

Изменение учетной записи пользователя

Управление учетными записями пользователей Kaspersky MLAD доступно системным администраторам.

При изменении учетной записи пользователя вы можете присвоить пользователю нужную роль. Вы также можете заблокировать или разблокировать учетную запись пользователя.

При блокировке пользователя Kaspersky MLAD автоматически отзывает токены аутентификации у учетной записи и завершает пользовательскую сессию. Заблокированный пользователь не может авторизоваться в Kaspersky MLAD и использовать программу.

При изменении пароля для какой-либо учетной записи Kaspersky MLAD также автоматически отзывает токены аутентификации и завершает пользовательскую сессию пользователя, для которого был изменен пароль. Пользователь, для которого был изменен пароль, может подключиться к веб-интерфейсу, используя новый пароль.

Чтобы изменить учетную запись пользователя:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Пользователи.
  3. В строке той учетной записи, которую вы хотите изменить, нажмите на кнопку Изменить.

    Справа отобразится панель Изменение пользователя.

  4. Если требуется, введите новую фамилию, имя и/или отчество пользователя.
  5. В поле Роли присвойте роль для учетной записи пользователя, установив соответствующий флажок.
  6. Если требуется, укажите новый адрес электронной почты пользователя.
  7. Если требуется изменить пароль, в полях Пароль и Подтверждение пароля введите новый пароль.

    Новый пароль должен удовлетворять следующим требованиям:

  8. Если требуется заблокировать или разблокировать учетную запись пользователя, выполните одно из следующих действий:
    • Если требуется разблокировать учетную запись пользователя, установите переключатель Состояние в положение Активен.
    • Если требуется заблокировать учетную запись пользователя, установите переключатель Состояние в положение Не активен.

    Kaspersky MLAD не позволяет удалять учетные записи пользователей. Если вы хотите запретить доступ к Kaspersky MLAD для определенной учетной записи, рекомендуется заблокировать ее.

  9. Нажмите на кнопку Сохранить.

Измененная информация о пользователе отобразится в таблице.

В начало

[Topic 248042]

Отзыв токенов аутентификации для учетной записи пользователя

Управление учетными записями пользователей Kaspersky MLAD доступно системным администраторам.

После подключения пользователя к веб-интерфейсу внутри Kaspersky MLAD создается индивидуальный токен, позволяющий сохранять авторизацию пользователя в программе между сессиями подключения к веб-интерфейсу программы, в том числе связанными с перезапуском браузера. Если пользователь авторизовался на нескольких устройствах, для каждой пользовательской сессии создается свой токен.

При необходимости в любой момент вы можете отозвать токены для учетной записи пользователя. В результате для пользователя, чьи токены вы отозвали, будет завершена сессия подключения к программе одновременно на всех устройствах, на которых он был авторизован. Отзыв токенов может быть полезен в случае, если требуется принудительно завершить сессии подключения к программе для определенного пользователя. После отзыва токенов пользователь может снова авторизоваться и продолжить использовать Kaspersky MLAD.

Чтобы отозвать токены для учетной записи пользователя:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Пользователи.
  3. Рядом с учетной записью, для которой требуется отозвать токены, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных вертикально. и выберите пункт Отозвать токены.
  4. В открывшемся окне подтвердите отзыв токенов аутентификации.

Токены для учетной записи пользователя будет отозваны, пользовательская сессия будет завершена.

В начало

[Topic 248043]

Просмотр прав доступа для учетной записи пользователя

Управление учетными записями пользователей Kaspersky MLAD доступно системным администраторам.

В разделе Пользователи вы можете просмотреть список прав для определенной учетной записи пользователя.

Чтобы просмотреть права доступа для учетной записи пользователя:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Пользователи.
  3. Рядом с учетной записью, для которой требуется просмотреть список прав доступа, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных вертикально. и выберите пункт Список прав.

На странице откроется окно с информацией о роли и правах доступа выбранной учетной записи.

В начало

[Topic 251420]

Управление ролями

В Kaspersky MLAD вы можете разграничить доступ пользователей к функциям программы в зависимости от задач пользователей, используя типовые роли.

Управление ролями доступно системным администраторам.

Роль – это набор прав доступа к функциям программы, который вы можете назначить пользователю.

Для доступа к функциям программы могут использоваться учетные записи со следующими ролями:

  • Роль системного администратора – создается автоматически при установке программы. Роль системного администратора автоматически присваивается первому пользователю, созданному во время установки Kaspersky MLAD. Пользователь с ролью системного администратора имеет доступ ко всем функциям программы. Роль системного администратора не может быть изменена или удалена.
  • Пользовательская роль – создается вручную в разделе Роли. Доступ к функциям программы зависит от списка прав, предоставленных для пользовательской роли. Количество пользовательских ролей не ограничено.

В разделе Роли отображается таблица с информацией о всех созданных ролях.

  • ID – идентификатор роли пользователя.
  • Роль – название роли пользователя.
  • Состояние – параметр, описывающий состояние роли. Если роль используется, в столбце Состояние отображается зеленая точка со значением Активна. Если роль не используется, в столбце Состояние отображается красная точка со значением Не активна. Если роль не активна, то функции программы, связанные с правами роли, недоступны пользователю, которому назначена эта роль.
  • Права – кнопка, позволяющая просмотреть список прав роли пользователя в Kaspersky MLAD.
  • Создана – дата и время создания роли пользователя.
  • Обновлена – дата и время обновления роли пользователя.

В этом разделе

Создание роли

Изменение роли

Удаление роли

Просмотр прав доступа для роли

В начало

[Topic 251532]

Создание роли

Управление ролями доступно системным администраторам.

Вы можете создавать пользовательские роли и выбирать для них права доступа к функциям программы. После создания активной роли она станет доступной для назначения пользователям программы.

Чтобы создать роль:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Роли.
  3. Нажмите на кнопку Создать.

    Справа отобразится панель Создание роли.

  4. В поле Название роли укажите нужное название роли.

    Вы можете ввести не более 30 символов.

  5. Если требуется, в поле Описание роли укажите описание роли.
  6. Для предоставления прав доступа роли выполните следующие действия:
    1. Нажмите на кнопку Выбрать права.

      Справа отобразится панель Предоставление прав для роли.

    2. В списке прав выберите права доступа к функциям программы, которые вы хотите предоставить роли.

      При выборе пункта Права на все действия роли будут доступны все функции системного администратора.

    3. Нажмите на кнопку Сохранить.
  7. Выполните одно из следующих действий:
    • Если требуется использовать роль для пользователей программы, установите переключатель Состояние в положение Активна.
    • Если требуется выключить использование роли для пользователей программы, установить переключатель Состояние в положение Не активна.

      Если роль не активна, то функции программы, связанные с правами роли, недоступны пользователю, которому назначена эта роль.

  8. Нажмите на кнопку Сохранить.
В начало

[Topic 251534]

Изменение роли

Управление ролями доступно системным администраторам.

Чтобы изменить роль:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Роли.
  3. Установите флажок рядом с ролью, которую вы хотите изменить.
  4. Нажмите на кнопку Изменить.

    Справа отобразится панель Изменение роли.

  5. Измените параметры роли. Описание параметров см. в инструкции по созданию роли.
  6. Нажмите на кнопку Сохранить.
В начало

[Topic 251535]

Удаление роли

Управление ролями доступно системным администраторам.

При удалении пользовательской роли, которая назначена пользователям Kaspersky MLAD, у пользователей будут отозваны права доступа к функциям программы, связанные с этой ролью.

Вы не можете удалить роль системного администратора.

Чтобы удалить роль:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Роли.
  3. Установите флажки рядом с названиями ролей, которые вы хотите удалить.
  4. Нажмите на кнопку Удалить.
  5. В открывшемся окне подтвердите удаление ролей.
В начало

[Topic 251536]

Просмотр прав доступа для роли

Управление ролями доступно системным администраторам.

В разделе Роли вы можете просмотреть список прав доступа к функциям программы для пользователей с определенной ролью.

Чтобы просмотреть права доступа для роли:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Роли.
  3. Нажмите на кнопку Список прав рядом с ролью, для которой требуется просмотреть список прав.

    На странице откроется окно с информацией о правах доступа к функциям программы для выбранной роли.

В начало

[Topic 248044]

Управление уведомлениями об инцидентах

Вы можете создавать уведомления, которые Kaspersky MLAD будет отправлять пользователям об инцидентах, зарегистрированных в результате обработки данных телеметрии или работы ML-модели. Уведомления отправляются по адресам электронной почты, указанным в созданных уведомлениях. При необходимости вы можете изменять и удалять уведомления об инцидентах для пользователей Kaspersky MLAD.

Управление уведомлениями об инцидентах доступно системным администраторам.

Предварительно требуется настроить и запустить службу Mail Notifier.

Все созданные уведомления об инцидентах и информация о них отображается в разделе Уведомления в меню администратора. Если требуется, вы можете изменять количество уведомлений, отображаемых на одной странице.

  • Название уведомления – название уведомления об инцидентах.
  • Типы инцидентов – типы инцидентов, уведомления о которых получает пользователь. Вы можете получать уведомления о следующих типах инцидентах:
    • Предиктивные элементы – инциденты, зарегистрированные предиктивными элементами ML-моделей.
    • Диагностические правила – инциденты, зарегистрированные диагностическими правилами ML-моделей.
    • Эллиптические конверты – инциденты, зарегистрированные эллиптическими конвертами ML-моделей.
    • Limit Detector – инциденты, зарегистрированные при достижении тегом верхнего или нижнего порога блокировки.
    • Stream Processor – инциденты, зарегистрированные при обнаружении потери данных или наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно.
  • Состояние – признак, указывающий, используется ли это уведомление.
  • Действия – кнопки, позволяющие изменить или удалить уведомление об инцидентах.

Окно раздела "Уведомления" содержит таблицу с уведомлениями об инцидентах.

Раздел Уведомления

В этом разделе

Создание уведомления об инцидентах

Изменение уведомления об инцидентах

Удаление уведомления об инцидентах

В начало

[Topic 248045]

Создание уведомления об инцидентах

Управление уведомлениями об инцидентах доступно системным администраторам.

Вы можете создавать уведомления об инцидентах, зарегистрированных при обработке данных телеметрии и/или в результате работы ML-модели.

Чтобы создать уведомление пользователя об инцидентах:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Уведомления.
  3. На открывшейся странице нажмите на кнопку Создать.

    Откроется окно Создание уведомления.

  4. В поле Название введите название уведомления.
  5. Для включения отправки уведомлений установите переключатель Состояние в положение Активировано.
  6. В поле Язык уведомления выберите язык, на котором будут приходить уведомления об инцидентах.

    По умолчанию для уведомлений об инцидентах используется текущий язык локализации веб-интерфейса Kaspersky MLAD. Доступны английский и русский языки.

  7. В раскрывающемся списке Пользовательские адреса электронной почты выберите адреса электронной почты пользователей, созданных в программе, которым требуется отправлять уведомления.
  8. В поле Дополнительные адреса электронной почты укажите через точку с запятой дополнительные адреса электронной почты, на которые вы хотите отправлять уведомления об инцидентах.
  9. Для отправки уведомлений об инцидентах, зарегистрированных ML-моделями, выполните следующие действия:
    1. Если вы хотите настроить отправку уведомлений об инцидентах, зарегистрированных предиктивными элементами ML-моделей, установите флажок Предиктивные элементы.
    2. Если вы хотите настроить отправку уведомлений об инцидентах, зарегистрированных диагностическими правилами ML-моделей, установите флажок Правила.
    3. Если вы хотите настроить отправку уведомлений об инцидентах, зарегистрированных эллиптическими конвертами ML-моделей, установите флажок Эллиптические конверты.
    4. Выберите одну или несколько ML-моделей, по которым требуется отправлять уведомления.

      Для выбора всех ML-моделей в составе актива установите флажок рядом с именем нужного актива.

  10. Для включения отправки уведомлений об инцидентах, зарегистрированных только опубликованными ML-моделями, установите переключатель Отправлять уведомления об инцидентах только для опубликованных моделей в положение Активировано.
  11. Для отправки уведомлений об инцидентах по тегам, выполните следующие действия:
    1. Если вы хотите настроить отправку уведомлений о достижении тегом верхнего или нижнего порога блокировки, установите флажок Limit Detector.
    2. Если вы хотите настроить отправку уведомлений о прекращении или прерывании входного потока данных определенного тега, об обнаружении наблюдений, поступивших слишком рано или поздно, установите флажок Stream Processor.
    3. Выберите один или несколько тегов, по которым требуется отправлять уведомления.

      Для выбора всех тегов в составе актива установите флажок рядом с именем нужного актива.

  12. Нажмите на кнопку Сохранить.

Информация о новом уведомлении отобразится в таблице. Если требуется, вы можете изменять или удалять уведомления.

Для каждого инцидента, зарегистрированного по выбранным ML-моделям и/или тегам, будет отправляться отдельное уведомление на указанные адреса электронной почты.

В начало

[Topic 248046]

Изменение уведомления об инцидентах

Управление уведомлениями об инцидентах доступно системным администраторам.

Чтобы изменить уведомление об инцидентах:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Уведомления.
  3. Нажмите на кнопку Пиктограмма в виде карандаша. рядом с уведомлением, которое вы хотите изменить.
  4. Если требуется, измените параметры уведомления об инцидентах. Описание параметров см. в инструкции по созданию уведомления об инцидентах.
  5. Нажмите на кнопку Сохранить для сохранения изменений.

Для каждого инцидента, зарегистрированного по выбранным ML-моделям и/или тегам, будет отправляться отдельное уведомление на указанные адреса электронной почты.

Измененная информация об уведомлении отобразится в таблице. Если требуется, вы можете удалять уведомления.

В начало

[Topic 248048]

Удаление уведомления об инцидентах

Управление уведомлениями об инцидентах доступно системным администраторам.

Чтобы удалить уведомление об инцидентах:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Уведомления.
  3. Нажмите на кнопку Пиктограмма в виде корзины. рядом с уведомлением, которые вы хотите удалить.
  4. В открывшемся окне подтвердите удаление уведомления.

Информация об уведомлении будет удалена из таблицы.

Kaspersky MLAD позволяет временно выключить отправку уведомлений вместо удаления их конфигураций. Информация об уведомлениях сохраняется в разделе Уведомления. Вы можете включить отправку уведомлений в любое время. Включить или выключить отправку уведомлений вы можете при изменении соответствующего уведомления об инцидентах.

В начало

[Topic 247995]

Настройка параметров Kaspersky MLAD

Этот раздел содержит инструкции по настройке параметров служб и коннекторов Kaspersky MLAD, а также по настройке параметров безопасности, уровней ведения журналов служб программы, параметров отображения меню программы и по управлению типовыми статусами и причинами инцидентов.

В этом разделе

Настройка основных параметров Kaspersky MLAD

Настройка параметров безопасности Kaspersky MLAD

Настройка службы Anomaly Detector

Настройка службы Keeper

Настройка службы Mail Notifier

Настройка службы Similar Anomaly

Настройка службы Stream Processor

Настройка коннектора HTTP Connector

Настройка коннектора MQTT Connector

Настройка коннектора AMQP Connector

Настройка коннектора OPC UA Connector

Настройка коннектора KICS Connector

Настройка коннектора CEF Connector

Настройка коннектора WebSocket Connector

Настройка службы Event Processor

Настройка статусов и причин инцидентов

Настройка ведения журналов служб Kaspersky MLAD

Настройка временных интервалов отображения данных

Настройка отображения пунктов меню Kaspersky MLAD

Экспорт и импорт параметров Kaspersky MLAD

В начало

[Topic 247996]

Настройка основных параметров Kaspersky MLAD

Kaspersky MLAD позволяет указать название объекта мониторинга, веб-адрес и IP-адрес для подключения пользователей к веб-интерфейсу программы, а также периодичность получения новых данных от объекта мониторинга. Название объекта мониторинга будет отображаться в правом верхнем углу каждого раздела веб-интерфейса Kaspersky MLAD.

Работы по настройке основных параметров Kaspersky MLAD могут выполнять системные администраторы.

Чтобы настроить основные параметры Kaspersky MLAD:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыОсновные.

    Справа отобразится список параметров.

  3. В поле Имя объекта мониторинга укажите имя объекта мониторинга.
  4. В поле URL-адрес для уведомлений об инцидентах укажите URL-адрес для формирования ссылки на инциденты в уведомлениях об инцидентах, отправляемых по электронной почте.

    Если задан параметр IP-адрес для уведомлений об инцидентах, то для формирования ссылки используется заданный IP-адрес.

  5. В поле IP-адрес для уведомлений об инцидентах укажите IP-адрес для формирования ссылки на инциденты в уведомлениях об инцидентах, отправляемых по электронной почте.
  6. В поле Интервал получения данных из службы Message Broker (мс) укажите интервал обновления данных телеметрии в веб-интерфейсе программы.

    Чем больше указанное значение параметра, тем реже происходит обновление данных. По умолчанию этот параметр имеет значение 500.

  7. В поле Интервал получения статистических данных об инцидентах из базы данных (мс) укажите интервал обновления в веб-интерфейсе программы данных о зарегистрированных программой инцидентах.

    По умолчанию этот параметр имеет значение 5000.

  8. В раскрывающемся списке Часовой пояс объекта мониторинга выберите нужный часовой пояс компьютера, на котором установлен Kaspersky MLAD.

    Данные на графиках в разделах программы отображаются в выбранном часовом поясе.

  9. Нажмите на кнопку Сохранить.
В начало

[Topic 247997]

Настройка параметров безопасности Kaspersky MLAD

Kaspersky MLAD позволяет указать условия временной блокировки учетных записей пользователей, период неактивности пользователя в соответствии с политикой безопасности на предприятии, а также параметры хранения журналов событий информационной безопасности (далее также "события ИБ") в базе данных Kaspersky MLAD. Запись журналов событий информационной безопасности в базу данных ведется автоматически. Если требуется, вы можете указать параметры внешней системы, в которую требуется отправлять журналы событий ИБ.

Работы по настройке параметров безопасности Kaspersky MLAD могут выполнять системные администраторы.

Чтобы настроить основные параметры Kaspersky MLAD:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыБезопасность.

    Справа отобразится список параметров.

  3. В блоке параметров Параметры авторизации выполните следующие действия:
    1. В поле Количество попыток авторизации укажите количество неудачных попыток авторизации, при достижении которого Kaspersky MLAD временно заблокирует учетную запись пользователя.

      По умолчанию этот параметр имеет значение 3.

    2. В поле Период блокировки пользователя (сек.) укажите время в секундах, в течение которого учетная запись пользователя будет заблокирована после достижения заданного количества неудачных попыток авторизации.

      По умолчанию этот параметр имеет значение 120.

    3. В поле Период неактивности пользователя (мин) укажите допустимую продолжительность неактивной пользовательской сессии в минутах.

      При достижении заданного периода Kaspersky MLAD автоматически завершает сессию неактивного пользователя. По умолчанию этот параметр имеет значение 1440.

    4. Если требуется запретить пользователям пропускать смену пароля при первом подключении к веб-интерфейсу программы, включите переключатель Требовать обязательную смену пароля при первом подключении.

      По умолчанию этот переключатель выключен.

  4. В блоке параметров Политика паролей выполните следующие действия:
    1. В поле Количество паролей пользователя, хранящихся в истории укажите количество последних паролей пользователя, которые хранятся в программе.

      Вы можете указать значение начиная с 1. По умолчанию этот параметр имеет значение 5.

      При изменении пароля пользователя новый пароль не должен соответствовать паролям, хранящимся в Kaspersky MLAD. Программа хранит пароли в зашифрованном виде.

    2. В поле Срок действия пароля (сут) укажите количество дней, в течение которых пользователь может использовать свой пароль для подключения к программе без его изменения.

      По умолчанию этот параметр имеет значение 180.

    3. В поле Минимальная длина пароля укажите минимальное количество символов, которое должны содержать пароли пользователей.

      Вы можете указать значение в диапазоне от 8 до 128. По умолчанию этот параметр имеет значение 8.

    4. Если в соответствии с политикой безопасности пароли пользователей должны содержать прописные буквы латинского алфавита, включите переключатель Требовать использование прописных букв латинского алфавита (A-Z).

      По умолчанию этот переключатель включен.

    5. Если в соответствии с политикой безопасности пароли пользователей должны содержать строчные буквы латинского алфавита, включите переключатель Требовать использование строчных букв латинского алфавита (a-z).

      По умолчанию этот переключатель включен.

    6. Если в соответствии с политикой безопасности пароли пользователей должны содержать цифры, включите переключатель Требовать использование цифр (0-9).

      По умолчанию этот переключатель включен.

    7. Если в соответствии с политикой безопасности пароли пользователей должны содержать специальные символы, включите переключатель Требовать использование специальных символов (_!@#$%^&*).

      По умолчанию этот переключатель включен.

  5. В блоке параметров Параметры хранения журналов событий информационной безопасности выполните следующие действия:
    1. В поле Объем журналов событий информационной безопасности (МБ) задайте ограничение занимаемого объема в мегабайтах для хранения журналов событий ИБ в базе данных.

      При незаполненном поле Kaspersky MLAD хранит все журналы событий ИБ в течение срока, заданного в параметре Время хранения журналов событий информационной безопасности (сут). По умолчанию для этого параметра значение не установлено.

      При превышении заданного объема журналов событий ИБ в базе данных Kaspersky MLAD удаляет наиболее ранние записи.

    2. В поле Время хранения журналов событий информационной безопасности (сут) укажите количество дней для хранения журналов событий ИБ в базе данных.

      По умолчанию этот параметр имеет значение 100.

  6. Нажмите на кнопку Сохранить.
В начало

[Topic 247998]

Настройка службы Anomaly Detector

Вы можете настроить процесс обнаружения аномалий с учетом особенностей вашего объекта мониторинга, включив или выключив обнаружение аномалий определенного типа в параметрах службы Anomaly Detector.

Работы по настройке службы Anomaly Detector могут выполнять системные администраторы.

Чтобы настроить параметры службы Anomaly Detector:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыAnomaly Detector.

    Справа отобразится список параметров.

  3. С помощью переключателя Использовать детектор Limit Detector включите или выключите использование детектора Limit Detector.

    Детектор Limit Detector регистрирует инциденты при обнаружении превышений верхнего или нижнего порогов блокировки, заданных для тега.

  4. С помощью переключателя Использовать детектор Forecaster включите или выключите обнаружение аномалий предиктивными элементами ML-модели.

    Предиктивные элементы ML-модели регистрируют инциденты при обнаружении расхождений между наблюдаемыми и прогнозируемыми значениями тегов.

  5. С помощью переключателя Использовать детектор XGBoost включите или выключите использование детектора XGBoost.
  6. С помощью переключателя Использовать детектор Rule Detector включите или выключите обнаружение аномалий элементами ML-модели на основе диагностических правил.

    Диагностические правила регистрируют инциденты при достижении значения, полученного в результате выполнения диагностического правила, установленного порога.

  7. С помощью переключателя Пропускать разрывы в данных включите или выключите функцию пропуска разрывов в поступающем потоке данных.

    Если переключатель включен, при инференсе ML-модели ее элементы не формируют артефакты, когда по тегам элемента ML-модели не поступают данные в течение времени, большего чем период РИВС, заданный в параметре Шаг сетки (сек.) этого элемента.

  8. В поле Максимальное количество запрашиваемых записей из службы Message Broker введите количество записей, которое требуется запрашивать от службы Message Broker для последующей обработки в Anomaly Detector.

    Чем больше заданное значение, тем реже служба Anomaly Detector запрашивает записи у службы Message Broker. Значение зависит от количества данных телеметрии, которые поступают в Kaspersky MLAD в реальном времени.

  9. В поле Количество сообщений, отправляемых в одном блоке в службу Message Broker введите количество инцидентов, которое требуется отправлять в службу Message Broker за один раз.
  10. Нажмите на кнопку Сохранить.
В начало

[Topic 247999]

Настройка службы Keeper

Kaspersky MLAD использует службу Keeper для маршрутизации данных телеметрии, которые подлежат сохранению в базе данных. Вы можете настроить параметры, определяющие скорость получения данных от коннекторов и внешних источников данных, а также объем данных, подлежащих сохранению в базе Kaspersky MLAD.

Работы по настройке параметров маршрутизации данных Kaspersky MLAD могут выполнять системные администраторы.

Чтобы настроить параметры службы Keeper:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыKeeper.

    Справа отобразится список параметров.

  3. Выполните одно из следующих действий:
    • Если требуется сохранять в базе данных значения как известных, так и неизвестных программе тегов, поступающих от внешних источников, включите переключатель Сохранять значения всех тегов.
    • Если требуется сохранять значения только известных программе тегов, выключите переключатель Сохранять значения всех тегов.
  4. В поле Время ожидания получения значений тегов (мс) введите максимальное время ожидания в миллисекундах для получения значений тегов.

    Чем больше заданное значение, тем реже служба Keeper получает значения тегов и записывает их в базу данных. Рекомендуется указать значение, соответствующее частоте получения данных телеметрии от объекта мониторинга.

  5. В поле Время ожидания получения инцидентов (мс) введите максимальное время ожидания в миллисекундах для получения инцидентов.

    Чем больше заданное значение, тем реже служба Keeper получает сведения об инцидентах и записывает их в базу данных. Рекомендуется указать значение, соответствующее частоте регистрации инцидентов.

  6. В поле Время ожидания получения метрик (мс) введите максимальное время ожидания в миллисекундах для получения метрик.

    Чем больше заданное значение, тем реже служба Keeper получает метрики (количество полученных наблюдений по тегам, количество событий и количество сформированных артефактов) и записывает их в базу данных. Рекомендуется указать значение, соответствующее частоте получения метрик от коннектора CEF Connector.

  7. Нажмите на кнопку Сохранить.
В начало

[Topic 248000]

Настройка службы Mail Notifier

Kaspersky MLAD использует службу Mail Notifier для уведомления пользователей о регистрации программой инцидентов.

Работы по настройке службы Mail Notifier могут выполнять системные администраторы.

Настройка службы Mail Notifier не является обязательной и необходима, если вы хотите получать по электронной почте уведомления о регистрации инцидентов. Предварительно в сети объекта мониторинга требуется настроить SMTP-сервер.

Чтобы настроить службу Mail Notifier:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыMail Notifier.

    Справа отобразится список параметров.

  3. В поле Адрес электронной почты отправителя уведомлений укажите адрес электронной почты, с которой будут приходить уведомления об инцидентах.
  4. В поле Адрес SMTP-сервера укажите IP-адрес SMTP-сервера.
  5. В поле Порт SMTP-сервера укажите порт SMTP-сервера.
  6. В поле Имя пользователя для SMTP-сервера укажите имя пользователя для подключения к SMTP-серверу.
  7. В поле Пароль для SMTP-сервера укажите пароль для подключения к SMTP-серверу.
  8. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения.

    По умолчанию использование защищенного TLS-соединения выключено.

    Во избежание компрометации отправляемых данных рекомендуется включить использование защищенного TLS-соединения. Рекомендуется использовать защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

  9. Если вы используете защищенное TLS-соединение, выполните следующие действия:
    1. Загрузите сертификат SMTP-сервера с помощью кнопки Обзор под параметром Сертификат SMTP-сервера.
    2. Загрузите ключ к файлу сертификата SMTP-сервера с помощью кнопки Обзор под параметром Ключ к сертификату SMTP-сервера.

    Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.
    Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку Пиктограмма в виде корзины. в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток. в соответствующем поле.

  10. Нажмите на кнопку Сохранить.
В начало

[Topic 248001]

Настройка службы Similar Anomaly

Kaspersky MLAD использует службу Similar Anomaly для выявления схожих инцидентов и объединения их в группы. В группах вы можете просматривать похожие инциденты, которые были зарегистрированы в разное время.

Работы по настройке службы Similar Anomaly могут выполнять системные администраторы.

Чтобы настроить параметры службы Similar Anomaly:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыSimilar Anomaly.

    Справа отобразится список параметров службы.

  3. В поле Минимальное количество инцидентов для группы введите минимальное количество похожих инцидентов для формирования группы.
  4. В поле Максимальное количество инцидентов для группы введите максимальное количество инцидентов, которое может входить в одну группу.

    Чем больше указанное значение, тем большее количество инцидентов может быть отнесено программой к одной группе.

  5. В поле Максимальное расстояние между схожими инцидентами введите максимальное расстояние, на которое могут отставать друг от друга схожие инциденты.

    Вы можете указать значение в диапазоне от 0 до 1.

  6. Нажмите на кнопку Сохранить.
В начало

[Topic 248002]

Настройка службы Stream Processor

Служба Stream Processor собирает данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени (входной поток), и приводит их к РИВС (выходной поток). На основе накопленных данных служба Stream Processor определяет значения тегов в выходном потоке данных. После преобразования данных в выходной поток служба Stream Processor передает данные на обработку в ML-модель.

При преобразовании поступающих данных телеметрии служба Stream Processor учитывает возможные потери данных (например, в случае временного отключения сети объекта мониторинга) и обрабатывает наблюдения, поступившие в Kaspersky MLAD слишком рано или поздно. В таких случаях служба Stream Processor формирует инциденты и/или передает значения тегов по умолчанию в выходной поток данных.

Служба Stream Processor также может вычислять производные теги на основе поступающих данных телеметрии (например, для вычисления скользящего среднего или среднего значения группы тегов).

Конфигурационный файл службы Stream Processor для загрузки поставляется специалистами "Лаборатории Касперского" или сертифицированным интегратором.

Работы по настройке службы Stream Processor могут выполнять системные администраторы.

Чтобы настроить параметры службы Stream Processor:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыStream Processor.
  3. В поле Период равноинтервальной сетки (сек.) укажите период в секундах, с которым служба Stream Processor будет обрабатывать поступающие данные телеметрии.

  4. С помощью кнопки Обзор под параметром Конфигурационный файл добавьте файл, который содержит параметры конфигурации для службы Stream Processor.

    Если требуется удалить файл конфигурации для службы Stream Processor, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить файл конфигурации на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  5. Нажмите на кнопку Сохранить.
В начало

[Topic 248003]

Настройка коннектора HTTP Connector

Kaspersky MLAD использует коннектор HTTP Connector для получения данных из CSV-файлов путем загрузки данных методом POST. Вы можете загружать данные через порт 4999 по протоколу HTTP или HTTPS, указав нужный протокол в запросе.

В Kaspersky MLAD загрузка файлов сертификатов и файла ключа возможна только в формате DER или PEM. Если требуется, вы можете изменить формат файлов сертификатов и ключа к сертификату, используя утилиту OpenSSL. Например, для изменения формата файла сертификата с P12 на PEM в консоли выполните команду:

openssl pkcs12 -in <имя сертификата>.p12 -clcerts -nokeys -out <имя сертификата>.pem

Работы по настройке коннектора HTTP Connector могут выполнять системные администраторы.

Чтобы настроить работу коннектора HTTP Connector:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыHTTP Connector.

    Справа отобразится список параметров.

  3. В поле Размер записываемого блока (количество тегов) укажите количество значений тегов, которое единовременно записывается в службу Message Broker.

    Указанное значение влияет на количество итераций для записи значений тегов из CSV-файла в службу Message Broker в зависимости от общего количества наблюдений по тегам, полученным с помощью коннектора HTTP Connector.

  4. В поле Максимальный размер загружаемого файла (MБ) укажите максимальный размер файла в мегабайтах, передаваемого в коннектор HTTP Connector.

    При попытке загрузить CSV-файл большего размера файл не будет передан в коннектор HTTP Connector.

  5. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения.

    По умолчанию использование защищенного TLS-соединения включено.

    Во избежание компрометации получаемых и/или отправляемых данных рекомендуется оставить включенным использование защищенного TLS-соединения.

  6. Если вы используете защищенное TLS-соединение, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

    По умолчанию использование рекомендуемых параметров TLS-соединения включено.

    При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

  7. Если вы используете защищенное TLS-соединение, выполните следующие действия:
    1. Добавьте сертификат HTTPS-сервера и ключ к сертификату с помощью кнопки Обзор под параметрами Сертификат HTTPS-сервера и Закрытый ключ к сертификату HTTPS-сервера.

      Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.

    2. Если используются сертификаты клиента, то добавьте корневой сертификат для проверки подписи сертификата клиента с помощью кнопки Обзор под параметром Сертификат CA для проверки подписи сертификата клиента.

    Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку Пиктограмма в виде корзины. в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток. в соответствующем поле.

  8. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

    По умолчанию конвертация полученных значений тегов выключена.

  9. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные из CSV-файлов с помощью коннектора HTTP Connector.

Пример отправки CSV-файла в коннектор HTTP Connector через curl по протоколу HTTP методом POST на порт 4999 сервера Kaspersky MLAD:

curl -F "file=@<имя файла>.csv" -X POST "http://<IP-адрес или доменное имя сервера Kaspersky MLAD>:4999/upload"

Коннектор HTTP Connector принимает CSV-файлы со следующими полями:

timestamp;tag_name;value

где:

  • timestamp – временная метка в формате %Y-%m-%dT%H:%M:%S.
  • tag_name – имя тега.
  • value – значение тега.

    Если значение тега содержит дробную часть, используйте точку при отделении целой и дробной частей.

В начало

[Topic 248004]

Настройка коннектора MQTT Connector

Kaspersky MLAD использует коннектор MQTT Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).

Работы по настройке коннектора MQTT Connector могут выполнять системные администраторы.

Чтобы настроить работу коннектора MQTT Connector:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыMQTT Connector.

    Справа отобразится список параметров.

  3. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения.

    По умолчанию использование защищенного TLS-соединения включено.

    Во избежание компрометации получаемых и/или отправляемых данных рекомендуется оставить использование защищенного TLS-соединения включенным.

  4. Если вы используете защищенное TLS-соединение, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

    По умолчанию использование рекомендуемых параметров TLS-соединения включено.

    При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

  5. В поле MQTT-брокер (адрес:порт) укажите имя хоста и порт внешнего MQTT-брокера, с которым будет взаимодействовать коннектор MQTT Connector.

    По умолчанию этот параметр имеет значение mqtt_broker:1883.

  6. В поле Имя пользователя для MQTT-соединения укажите имя пользователя для подключения к MQTT-брокеру.
  7. В поле Пароль для MQTT-соединения укажите пароль пользователя для подключения к MQTT-брокеру.
  8. Если вы используете защищенное TLS-соединение и на MQTT-брокере установлен самоподписанный сертификат, добавьте корневой сертификат для MQTT-брокера с помощью кнопки Обзор под параметром Сертификат CA.

    Если требуется удалить файл сертификата, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить файл сертификата на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  9. Если вы используете защищенное TLS-соединение и на MQTT-брокере включена аутентификация клиента, выполните следующие действия:
    1. Добавьте сертификат клиента с помощью кнопки Обзор под параметром Сертификат клиента.
    2. Добавьте ключ к сертификату клиента с помощью кнопки Обзор под параметром Ключ к сертификату клиента.

    Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.
    Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку Пиктограмма в виде корзины. в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток. в соответствующем поле.

  10. В поле Список подписок MQTT для получения тегов введите название списка подписок MQTT, от которых коннектор MQTT Connector будет получать значения тегов.

    По умолчанию этот параметр имеет значение tags.

  11. В поле Топик MQTT для публикации сообщений укажите название топика, в котором коннектор MQTT Connector будет публиковать сообщения о регистрации инцидента.

    Если значение этого параметра не установлено, то отправка сообщений не производится.

    По умолчанию для этого параметра значение не установлено.

  12. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться сообщения об инцидентах.

    Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

    По умолчанию этот параметр имеет значение JSONBatch.

    Если вы затрудняетесь с выбором формата данных, обратитесь к специалистам "Лаборатории Касперского" или сертифицированному интегратору.

    Если вам не подходит ни один из форматов данных и сообщений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

  13. Если вы выбрали формат данных Topic, то добавьте конфигурационный файл, содержащий параметры коннектора для этого формата данных, с помощью кнопки Обзор под параметром Конфигурационный файл коннектора.

    Если требуется удалить файл сертификата, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить файл сертификата на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  14. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

    По умолчанию конвертация полученных значений тегов выключена.

  15. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу MQTT.

В начало

[Topic 248005]

Настройка коннектора AMQP Connector

Kaspersky MLAD использует коннектор AMQP Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).

Работы по настройке коннектора AMQP Connector могут выполнять системные администраторы.

Чтобы настроить работу коннектора AMQP Connector:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыAMQP Connector.

    Справа отобразится список параметров.

  3. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения.

    По умолчанию использование защищенного TLS-соединения включено.

    Во избежание компрометации получаемых и/или отправляемых данных рекомендуется оставить использование защищенного TLS-соединения включенным.

  4. Если вы используете защищенное TLS-соединение, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

    По умолчанию использование рекомендуемых параметров TLS-соединения включено.

    При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

  5. В поле AMQP-брокер (адрес:порт) укажите имя хоста и порт внешнего AMQP-брокера, с которым будет взаимодействовать коннектор AMQP Connector.

    По умолчанию этот параметр имеет значение rabbitmq:5672.

  6. В поле Имя пользователя для AMQP-соединения укажите имя пользователя для подключения к AMQP-брокеру.
  7. В поле Пароль для AMQP-соединения укажите пароль пользователя для подключения к AMQP-брокеру.
  8. Если вы используете защищенное TLS-соединение и на AMQP-брокере установлен самоподписанный сертификат, добавьте корневой сертификат для AMQP-брокера с помощью кнопки Обзор под параметром Сертификат CA.

    Загрузка сертификата возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить файл сертификата на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  9. Если вы используете защищенное TLS-соединение и на AMQP-брокере включена аутентификация клиента, выполните следующие действия:
    1. Добавьте сертификат клиента с помощью кнопки Обзор под параметром Сертификат клиента.
    2. Добавьте ключ к сертификату клиента с помощью кнопки Обзор под параметром Ключ к сертификату клиента.

    Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.
    Загрузка сертификата и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку Пиктограмма в виде корзины. в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток. в соответствующем поле.

  10. В поле Виртуальный узел AMQP укажите виртуальный узел для установки соединения между коннектором AMQP Connector и внешним AMQP-брокером.

    По умолчанию этот параметр имеет значение /.

  11. В поле Имя точки обмена (exchange) AMQP для получения значений тегов укажите имя точки обмена для получения значений тегов от внешнего AMQP-брокера.

    Если значение для этого параметра не установлено, то получение значений тегов через коннектор AMQP Connector не происходит.

    По умолчанию для этого параметра значение не установлено.

  12. В поле Список подписок AMQP для получения значений тегов укажите название списка подписок, от которых коннектор AMQP Connector будет получать значения тегов.

    По умолчанию этот параметр имеет значение #.

  13. Если требуется, в поле Очередь AMQP для получения значений тегов укажите название очереди для коннектора AMQP Connector.
  14. В поле Имя точки обмена (exchange) AMQP для публикации сообщений укажите имя точки обмена для отправки сообщений о регистрации инцидентов.

    Если значение для этого параметра не установлено, то отправка сообщений не происходит. Вы можете указать то же имя, которое указали в пункте 10 этой инструкции.

    По умолчанию для этого параметра значение не установлено.

  15. В поле Топик AMQP для публикации сообщений укажите название топика, в котором коннектор AMQP Connector будет публиковать сообщения о регистрации инцидента.

    По умолчанию этот параметр имеет значение alert.

  16. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться сообщения об инцидентах.

    Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

    По умолчанию этот параметр имеет значение JSONBatch.

    Если вы затрудняетесь с выбором формата данных, обратитесь к специалистам "Лаборатории Касперского" или сертифицированному интегратору.

    Если вам не подходит ни один из форматов данных и сообщений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

  17. Если вы выбрали формат данных Topic, то добавьте конфигурационный файл, содержащий параметры коннектора для этого формата данных, с помощью кнопки Обзор под параметром Конфигурационный файл коннектора.

    Если требуется удалить конфигурационный файл коннектора, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  18. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

    По умолчанию конвертация полученных значений тегов выключена.

  19. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу AMQP.

В начало

[Topic 248006]

Настройка коннектора OPC UA Connector

Kaspersky MLAD использует коннектор OPC UA Connector для получения данных по протоколу, который описан спецификацией OPC Unified Architecture (унифицированная архитектура OPC).

Работы по настройке коннектора OPC UA Connector могут выполнять системные администраторы.

Чтобы настроить работу коннектора OPC UA Connector:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыOPC UA Connector.

    Справа отобразится список параметров.

  3. В поле Точка подключения укажите адрес подключения.

    Например, opc.tcp://10.0.0.0:8001/freeopcua/server/.

  4. В поле Время ожидания подключения к OPC UA-серверу (сек.) укажите время в секундах, в течение которого коннектор OPC UA Connector будет пытаться установить соединение с OPC UA-сервером.
  5. С помощью кнопки Обзор под параметром Конфигурационный файл добавьте файл, содержащий параметры коннектора OPC UA Connector.

    Если требуется удалить конфигурационный файл коннектора, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  6. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

    По умолчанию конвертация полученных значений тегов выключена.

  7. В раскрывающемся списке Политика безопасности соединения выберите алгоритм шифрования сообщений.

    Для выбора доступны следующие варианты: Отсутствует, Basic256, Basic128Rsa15, Basic256Sha256, Aes128Sha256RsaOaep.

  8. В раскрывающемся списке Режим безопасности сообщений выберите одно из следующий значений:
    1. Если требуется не подписывать и не шифровать сообщения, выберите Отсутствует.
    2. Если требуется подписывать сообщения, выберите Подписывать сообщения.
    3. Если требуется подписывать и шифрования сообщения, выберите Подписывать и шифровать сообщения.
  9. В поле Имя пользователя укажите имя пользователя для подключения к OPC UA-серверу.
  10. В поле Пароль укажите пароль для подключения к OPC UA-серверу.
  11. Если требуется использовать защищенное соединение и на OPC UA-сервере включена аутентификация клиента, выполните следующие действия:
    1. Добавьте сертификат клиентского приложения с помощью кнопки Обзор под параметром Сертификат клиента.
    2. Добавьте закрытый ключ к сертификату клиентского приложения с помощью кнопки Обзор под параметром Закрытый ключ клиента.
    3. В поле Пароль для закрытого ключа клиента укажите пароль, который будет использован для снятия блокировки закрытого ключа.

    Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.
    Загрузка сертификата и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку Пиктограмма в виде корзины. в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток. в соответствующем поле.

  12. Если требуется использовать защищенное соединение и на OPC UA-сервере установлен самоподписанный сертификат, добавьте корневой сертификат OPC UA-сервера с помощью кнопки Обзор под параметром Сертификат CA OPC UA-сервера.

    Если требуется удалить файл сертификата, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить файл сертификата на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  13. В поле Интервал исторических данных (сек.) укажите время в секундах, за которое коннектор OPC UA Connector запрашивает исторические данные, хранящиеся на OPC UA-сервере.

    Укажите значение 0, если не требуется загружать исторические данные. Укажите значение -1, если требуется загрузить все исторические данные.

    Если заданы параметры Начало периода исторических данных и Окончание периода исторических данных, исторические данные загружаются согласно заданному периоду.

  14. В поле Начало периода исторических данных выберите дату и время начала периода, за который требуется загрузить данные с OPC UA-сервера.
  15. В поле Окончание периода исторических данных выберите дату и время окончания периода, за который требуется загрузить данные с OPC UA-сервера.
  16. В поле Размер блока исторических данных, отправляемых OPC UA-сервером (параметр numvalues) укажите количество значений тегов, которое будет передаваться в блоке исторических данных коннектору OPC UA Connector от OPC UA-сервера.

    Заданное значение влияет на количество итераций для передачи исторических данных в коннектор OPC UA Connector в зависимости от общего количества наблюдений по тегам, полученным от OPC UA-сервера.

  17. В поле Размер блока исторических данных, отправляемых в службу Message Broker укажите количество тегов, которое будет передаваться в блоке исторических данных от коннектора OPC UA Connector в службу Message Broker.

    Заданное значение влияет на количество итераций для передачи исторических данных в службу Message Broker в зависимости от общего количества наблюдений по тегам, полученным с помощью коннектора OPC UA Connector.

  18. Нажмите на кнопку Сохранить.
В начало

[Topic 248007]

Настройка коннектора KICS Connector

Kaspersky MLAD использует коннектор KICS Connector для получения данных от Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше и отправки обратно сообщений о регистрации инцидентов.

Предварительно в Kaspersky Industrial CyberSecurity for Networks требуется создать и добавить коннектор для интеграции с Kaspersky MLAD. Подробную информацию о создании и добавлении коннектора вы можете получить в разделе Добавление коннектора в справке Kaspersky Industrial CyberSecurity for Networks.

Работы по интеграции с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше могут выполнять системные администраторы.

Чтобы настроить коннектор KICS Connector:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыKICS Connector.

    Справа отобразится список параметров.

  3. С помощью кнопки Обзор под параметром Файл свертки для коннектора KICS Connector (zip) добавьте файл, содержащий параметры настройки взаимодействия Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks.

    Подробную информацию о создании файла свертки вы можете получить в справке Kaspersky Industrial CyberSecurity for Networks. Созданный файл свертки требуется сохранить на компьютере, на котором установлен Kaspersky MLAD.

    Если требуется удалить файл свертки, в поле Файл свертки для коннектора KICS Connector (zip) нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить файл свертки на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  4. В поле Пароль для коннектора KICS Connector введите пароль, который вы указали при добавлении коннектора в Kaspersky Industrial CyberSecurity for Networks.
  5. С помощью переключателя Отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks включите или выключите отправку сообщений о регистрации инцидентов в Kaspersky Industrial CyberSecurity for Networks.
  6. В поле Частота семплирования значений тегов (Гц) укажите частоту в герцах, с которой требуется получать значения тегов из Kaspersky Industrial CyberSecurity for Networks.

    Укажите в этом поле значение 0, если не требуется использовать семплирование.

  7. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

    По умолчанию конвертация полученных значений тегов выключена.

  8. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные из Kaspersky Industrial CyberSecurity for Networks и отправлять обратно сообщения о регистрации инцидентов.

В начало

[Topic 248008]

Настройка коннектора CEF Connector

Kaspersky MLAD использует коннектор CEF Connector для получения данных от внешних источников событий (промышленного интернета вещей, сетевых устройств и приложений) и отправки во внешнюю систему сообщений о регистрации инцидентов.

Вы также можете использовать коннектор CEF Connector для отправки журналов событий информационной безопасности Kaspersky MLAD во внешнюю систему. Запись журналов событий ИБ в базу данных Kaspersky MLAD ведется автоматически.

Для получения событий от внешних источников с помощью коннектора CEF Connector требуется настроить службу Event Processor.
Перед настройкой параметров коннектора CEF Connector в веб-интерфейсе Kaspersky MLAD для получения событий в файле .env требуется указать IP-адрес и номер порта, по которому будет осуществляться подключение внешнего источника событий к коннектору CEF Connector. Изменение параметров конфигурационного файла выполняет только квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Работы по настройке коннектора CEF Connector могут выполнять системные администраторы.

Чтобы настроить коннектор CEF Connector:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыCEF Connector.

    Справа отобразится список параметров.

  3. С помощью переключателя Получать события для службы Event Processor включите или выключите использование коннектора CEF Connector для получения событий из внешней системы.
  4. С помощью переключателя Отправлять зарегистрированные инциденты в SIEM-систему включите или выключите отправку во внешнюю систему сообщений об инцидентах, зарегистрированных программой.
  5. С помощью переключателя Отправлять зарегистрированные события в SIEM-систему включите или выключите отправку во внешнюю систему сообщений о событиях, зарегистрированных службой Event Processor.
  6. В поле IP-адрес для отправки событий и инцидентов в SIEM-систему укажите IP-адрес для подключения внешней системы к коннектору CEF Connector и отправки событий, обработанных службой Event Processor, и инцидентов.
  7. В поле Порт для отправки событий и инцидентов в SIEM-систему укажите номер порта для подключения внешней системы к коннектору CEF Connector и отправки событий, обработанных службой Event Processor, и инцидентов.
  8. Если требуется отправлять журналы событий ИБ Kaspersky MLAD во внешнюю систему, включите переключатель Отправлять журналы событий информационной безопасности на syslog-сервер и выполните следующие действия:
    1. В раскрывающемся списке Транспортный протокол для отправки событий информационной безопасности на syslog-сервер выберите протокол, который требуется использовать для отправки журналов событий ИБ.

      Kaspersky MLAD поддерживает протоколы TCP и UDP для отправки журналов событий ИБ во внешнюю систему.

    2. В поле Адрес syslog-сервера для отправки событий информационной безопасности укажите IP-адрес или имя хоста внешней системы, в которую требуется отправлять журналы событий ИБ.
    3. В поле Порт syslog-сервера для отправки событий информационной безопасности укажите номер порта внешней системы, в которую требуется отправлять журналы событий ИБ.
  9. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения при использовании Kaspersky MLAD в качестве клиента.

    По умолчанию использование защищенного TLS-соединения включено.

    Во избежание компрометации получаемых и/или отправляемых данных рекомендуется оставить включенным использование защищенного TLS-соединения.

  10. Если вы включили использование защищенного TLS-соединения, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

    При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

  11. Если требуется использовать защищенное TLS-соединение для серверной части коннектора CEF Connector, выполните следующие действия:
    1. Добавьте сертификат сервера и ключ к сертификату с помощью кнопки Обзор под параметрами Сертификат сервера и Закрытый ключ к сертификату сервера.

      Рекомендуется использовать сертификат с длиной ключа к сертификату не менее 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.

    2. Если используются сертификаты клиента, добавьте корневой сертификат для проверки подписи сертификата клиента с помощью кнопки Обзор под параметром Сертификат CA для проверки подписи сертификата клиента.

    Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку Пиктограмма в виде корзины. в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток. в соответствующем поле.

  12. Если требуется использовать защищенное TLS-соединение для серверной части коннектора CEF Connector, при необходимости выполните следующие действия:
    1. Добавьте сертификат клиента и ключ к сертификату с помощью кнопки Обзор под параметрами Сертификат клиента и Закрытый ключ к сертификату клиента.

      Рекомендуется использовать сертификат с длиной ключа к сертификату не менее 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.

    2. Если используются сертификаты сервера, добавьте корневой сертификат для проверки подписи сертификата сервера с помощью кнопки Обзор под параметром Сертификат CA для проверки подписи сертификата сервера.

    Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку Пиктограмма в виде корзины. в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток. в соответствующем поле.

  13. Нажмите на кнопку Сохранить.
В начало

[Topic 248009]

Настройка коннектора WebSocket Connector

Kaspersky MLAD использует коннектор WebSocket Connector для получения данных и отправки сообщений о регистрации инцидентов по протоколу WebSocket.

Работы по настройке коннектора WebSocket Connector могут выполнять системные администраторы. Описанная в этом разделе инструкция приведена для ознакомительных целей.

Чтобы настроить коннектор WebSocket Connector:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыWebSocket Connector.

    Справа отобразится список параметров.

  3. В поле URL-адрес WebSocket-сервера укажите веб-адрес WebSocket-сервера, с которым будет взаимодействовать коннектор WebSocket Connector.

    Укажите веб-адрес в формате WebSocket-протокол://адрес:порт/.

  4. Если требуется использовать защищенное соединение и на WebSocket-сервере установлен самоподписанный сертификат, добавьте корневой сертификат для WebSocket-сервера с помощью кнопки Обзор под параметром Сертификат CA.

    Если требуется удалить файл сертификата, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить файл сертификата на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  5. Если требуется использовать защищенное соединение и на WebSocket-сервере включена аутентификация клиента, выполните следующие действия:
    1. Добавьте сертификат клиентского приложения WebSocket с помощью кнопки Обзор под параметром Сертификат клиента.
    2. Добавьте ключ к сертификату клиентского приложения WebSocket с помощью кнопки Обзор под параметром Ключ к сертификату клиента.

    Рекомендуется использовать сертификат с длиной ключа к сертификату 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку Пиктограмма в виде корзины. в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток. в соответствующем поле.

  6. В раскрывающемся списке Формат данных выберите формат, в котором будут поступать данные от внешних систем, а также в котором будут отправляться сообщения об инцидентах.

    Для выбора доступны следующие варианты: JSONBatch, Topic, SmartHome, KISG.

    По умолчанию этот параметр имеет значение JSONBatch.

    Если вы затрудняетесь с выбором формата данных, обратитесь к специалистам "Лаборатории Касперского" или сертифицированному интегратору.

    Если вам не подходит ни один из форматов данных и сообщений об инцидентах, вы можете обратиться к специалистам "Лаборатории Касперского" для добавления нужного формата.

  7. Если вы выбрали формат данных Topic, то добавьте конфигурационный файл, содержащий параметры коннектора для этого формата данных, с помощью кнопки Обзор под параметром Конфигурационный файл коннектора.

    Если требуется удалить конфигурационный файл коннектора, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить конфигурационный файл коннектора на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  8. С помощью переключателя Масштабировать полученные значения тегов включите или выключите конвертацию значений тегов с учетом параметров Смещение и Множитель, заданных при создании тега.

    По умолчанию конвертация полученных значений тегов выключена.

  9. С помощью переключателя Отправлять инциденты включите или выключите отправку сообщений о зарегистрированных в Kaspersky MLAD инцидентах на WebSocket-сервер.
  10. Если вы используете защищенное TLS-соединение, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

    По умолчанию использование рекомендуемых параметров TLS-соединения включено.

    При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

  11. Нажмите на кнопку Сохранить.

Kaspersky MLAD будет получать данные и отправлять сообщения о регистрации инцидентов по протоколу WebSocket.

В начало

[Topic 248010]

Настройка службы Event Processor

Kaspersky MLAD использует службу Event Processor для выявления паттернов и аномальных последовательностей событий и паттернов. Вы можете настроить параметры службы Event Processor.

В случае перезапуска Kaspersky MLAD повторно задавать параметры службы Event Processor не нужно. Kaspersky MLAD восстанавливает состояние службы Event Processor из базы данных или файла в битовом формате. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления может занимать несколько минут. До момента восстановления состояния службы Event Processor в разделе Процессор событий не будут выполняться запросы и обновляться данные, а также в это время не будут обрабатываться данные, поступающие от коннектора CEF Connector. Эти данные временно сохраняются в очереди сообщений системы и обрабатываются после восстановления состояния службы Event Processor.

Для работы службы Event Processor может потребоваться большой объем оперативной памяти на сервере, на котором установлен Kaspersky MLAD. Объем используемой оперативной памяти зависит от интенсивности потока событий и объема обрабатываемой истории событий. Также на объем используемой оперативной памяти влияет правильность настройки параметров службы Event Processor.

Работы по настройке службы Event Processor могут выполнять системные администраторы.

Чтобы настроить параметры службы Event Processor:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыEvent Processor.

    Справа отобразится список параметров службы.

  3. В блоке Основной режим выполните следующие действия:
    1. С помощью кнопки Обзор под параметром Конфигурационный файл процессора событий добавьте файл, который содержит параметры конфигурации для службы Event Processor.

      Файл конфигурации создается квалифицированным техническим специалистом Заказчика, сотрудником "Лаборатории Касперского" или сертифицированным интегратором.

      Если требуется удалить файл конфигурации для службы Event Processor, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить файл конфигурации на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

      Изменение файла конфигурации службы Event Processor приводит к полной потере данных службы.

    2. Если требуется обрабатывать инциденты, зарегистрированные службой Anomaly Detector, включите переключатель Обрабатывать инциденты как события.
    3. В поле Максимальное количество слоев сети укажите количество слоев нейросемантической сети, которое будет использоваться.

      По умолчанию количество слоев сети для событийных данных, имеющих в основе определенную структуру, составляет десять слоев. В большинстве случаев нейросемантической сети в основе процессора событий достаточно десяти слоев для иерархического представления данных. Для выявления протяженных по времени паттернов периодических процессов может потребоваться увеличение значения параметра Максимальное количество слоев сети.

    4. В поле Коэффициент, определяющий допустимую дисперсию длительности паттерна укажите коэффициент, с помощью которого будет определяться допустимая дисперсия интервалов между элементами в одном паттерне.

      Если фактическая величина дисперсии меньше либо равна указанной, то выявленные последовательности событий будут относиться к одному паттерну.

    5. В поле Интервал получения событий эпизода (сек.) укажите интервал времени в секундах, за который служба Event Processor формирует эпизод из поступающих на обработку событий.

      Если скорость получения событий составляет около 1000 событий в секунду, то рекомендуется указывать такое значение периода получения новых событий, чтобы за указанный период поступало количество событий, близкое к значению, которое указано в поле Размер эпизода в основном режиме (количество событий). Если скорость получения событий гораздо ниже, то период получения новых событий следует выставлять, исходя из баланса операционной актуальности обработки событий.

    6. В поле Размер эпизода в основном режиме (количество событий) укажите максимальное количество событий в эпизоде для последующей обработки службой Event Processor.

      Если скорость получения событий составляет около 1000 событий в секунду, то в этом поле рекомендуется указывать значение равное 4096.

    7. В раскрывающемся списке Способ сохранения состояния службы Event Processor выберите один из следующих способов сохранения состояния службы Event Processor:
      • Таблица базы данных – Kaspersky MLAD сохраняет результат обработки каждого эпизода в таблице базы данных.
      • Файл в битовом формате – Kaspersky MLAD сохраняет состояние службы Event Processor с частотой, заданной в поле Периодичность создания резервных копий компонента. Программа сохраняет состояние службы в файле, указанном в поле Файл, содержащий резервную копию состояния компонента.

        Сохранение состояния службы Event Processor в файл в битовом формате рекомендуется использовать для отладки и настройки параметров программы сотрудниками "Лаборатории Касперского" в процессе выполнения работ по внедрению Kaspersky MLAD.

      По умолчанию служба Event Processor сохраняет результаты обработки потока событий в таблице базы данных.

      Изменение способа сохранения состояния службы Event Processor приводит к полной потере данных службы.

    8. Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, в поле Периодичность создания резервных копий компонента укажите период (в днях, часах и минутах), через который будет выполняться резервное копирование службы Event Processor.
    9. Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, добавьте файл, который содержит резервную копию службы Event Processor. с помощью кнопки Обзор под параметром Файл, содержащий резервную копию состояния компонента.

      Файл будет использован, если понадобится восстановить состояние службы Event Processor. Восстановление состояния службы Event Processor выполняют специалисты "Лаборатории Касперского" в рамках расширенной технической поддержки.

      Если требуется удалить файл, содержащий резервную копию службы Event Processor, нажмите на кнопку Пиктограмма в виде корзины.. Если требуется сохранить файл, содержащий резервную копию службы, на компьютере, нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток..

  4. В блоке Режим сна выполните следующие действия:
    1. В поле Размер эпизода в режиме сна (количество событий) укажите количество событий для формирования эпизода в режиме сна.

      Служба Event Processor формирует эпизоды на основе истории событий, поступивших на повторную обработку за интервал времени, заданный в поле Интервал истории событий для обработки в режиме сна.

    2. В поле Отправка оповещений при активации монитора в режиме сна выберите одно из следующих значений:
      • Отправлять оповещения об активации монитора любым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
      • Не отправлять оповещения об активациях монитора – Kaspersky MLAD не отправляет оповещений об активации монитора в режиме сна.
      • Отправлять оповещения об активации монитора новым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна новых паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
      • Отправлять оповещения об активации монитора ранее зарегистрированным паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна стабильных паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
    3. В поле Периодичность режима сна укажите, как часто (в днях) и в какое время (в формате UTC) служба Event Processor будет переходить в режим сна для повторной обработки событий.

      В качестве времени начала режима сна рекомендуется указать время, когда поток событий наименее интенсивен.

      Если заданное время сна не наступило в текущий день, процессор событий перейдет в режим сна в этот же день. Если время сна уже наступило в текущий день, служба Event Processor перейдет в режим сна в указанное время через заданное количество дней.

    4. В поле Продолжительность режима сна (ЧЧ:ММ) укажите интервал времени (в часах и минутах), в течении которого служба Event Processor будет обрабатывать события в режиме сна.
    5. В поле Интервал истории событий для обработки в режиме сна укажите интервал времени (в днях, часах и минутах), за который требуется передать проанализированные события на повторную обработку службой Event Processor в режиме сна.
  5. Нажмите на кнопку Сохранить.
В начало

[Topic 248011]

Настройка статусов и причин инцидентов

Kaspersky MLAD позволяет указать причины для инцидентов, а также статусы для инцидентов и групп инцидентов.

Статус инцидента и группы инцидентов представляет собой отметку о статусе анализа инцидента, проводимого экспертом. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Для статусов Проблема закрыта и Игнорировать по умолчанию снят флажок Уведомлять об инциденте. Если при регистрации инцидентам автоматически присваивается один из этих статусов, то уведомления об этих инцидентах не будут отправлены по электронной почте, а точки-индикаторы инцидентов не будут отображены в разделах Мониторинг и История. Статус инцидента может быть присвоен автоматически в одном из следующих случаев:

  • Если инцидент был автоматически отнесен к группе, для которой установлен статус.
  • Если инцидент зарегистрирован элементом ML-модели, в параметрах которого задан статус инцидента по умолчанию.

Причина инцидента представляет собой отметку о причине возникновения инцидента, которую добавляет эксперт по результатам анализа инцидента.

Вы можете добавить причины и статусы инцидентов. Созданные причины и статусы инцидентов станут доступными для выбора в разделе Инциденты. Вы также можете изменять и удалять статусы и причины инцидентов.

Работы по настройке причин и статусов инцидентов могут выполнять системные администраторы.

Чтобы добавить статус инцидентов:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыИнциденты.
  3. В блоке Статусы инцидентов нажмите на кнопку Создать.

    Справа отобразится панель Создание элемента.

  4. В поле Значение, русский язык укажите название статуса инцидента на русском языке.
  5. В поле Значение, английский язык укажите название статуса инцидента на английском языке.
  6. В поле Сортировка укажите порядковый номер, с которым статус инцидента будет отсортирован в раскрывающемся списке Статус инцидента в разделе Инциденты.

    Статусы инцидентов будут отсортированы по их названиям, если порядковые номера статусов инцидентов совпадают.

  7. Если требуется отправлять уведомления о регистрации инцидентов с добавляемым статусом и отображать его индикатор в блоке ошибки прогноза для разделов Мониторинг и История, установите флажок Уведомлять об инциденте.

    Если вы снимите флажок, то уведомления об этих инцидентах, которым автоматически присваивается этот статус, не будут отправлены по электронной почте, а точки-индикаторы инцидентов не будут отображены в разделах Мониторинг и История.

  8. Нажмите на кнопку Сохранить.

Чтобы добавить причину инцидентов:

  1. В меню администратора выберите раздел Системные параметрыИнциденты.
  2. В блоке Причины инцидентов нажмите на кнопку Создать.

    Справа отобразится панель Создание элемента.

  3. В поле Причина инцидента укажите название причины инцидента.
  4. В поле Сортировка укажите порядковый номер, с которым причина инцидента будет отсортирована в раскрывающемся списке Причина инцидента в разделе Инциденты.

    Причины инцидентов будут отсортированы по их названиям, если порядковые номера причин инцидентов совпадают.

  5. Нажмите на кнопку Сохранить.

Чтобы изменить статусы или причины инцидентов:

  1. В меню администратора выберите раздел Системные параметрыИнциденты.
  2. Для изменения параметров инцидентов, выполните одно из следующих действий:
    • Если требуется изменить статусы инцидентов и групп инцидентов, в блоке параметров Статусы инцидентов выберите один или несколько статусов инцидентов и нажмите на кнопку Изменить.
    • Если требуется изменить причины инцидентов, в блоке параметров Причины инцидентов выберите одну или несколько причин инцидентов нажмите на кнопку Изменить.
  3. Внесите необходимые изменения.
  4. Нажмите на кнопку Сохранить.

Чтобы удалить статусы или причины инцидентов:

  1. В меню администратора выберите раздел Системные параметрыИнциденты.
  2. Для удаления параметров инцидентов, выполните одно из следующих действий:
    • Если требуется удалить статусы инцидентов и групп инцидентов, в блоке параметров Статусы инцидентов выберите один или несколько статусов инцидентов и нажмите на кнопку Удалить.
    • Если требуется удалить причины инцидентов, в блоке параметров Причины инцидентов выберите одну или несколько причин инцидентов и нажмите на кнопку Удалить.
  3. В открывшемся окне подтвердите удаление.

Kaspersky MLAD удалит информацию о статусах или причинах инцидентов из соответствующих таблиц, а также из информации об инцидентах и группах инцидентов в разделе Инциденты, для которых были выбраны эти причины или статусы инцидентов.

В начало

[Topic 248012]

Настройка ведения журналов служб Kaspersky MLAD

Вы можете настроить уровни ведения журналов служб Kaspersky MLAD для записи определенной информации о состоянии программы и ее отображения в системе ведения журналов (Grafana). Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker, см. в Приложении.

Работы по настройке ведения журналов служб Kaspersky MLAD могут выполнять системные администраторы.

Чтобы настроить уровни ведения журналов служб Kaspersky MLAD:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыВедение журналов.

    Справа отобразится список служб Kaspersky MLAD.

  3. Если требуется, в раскрывающемся списке рядом с названием необходимой службы измените уровень ведения журналов службы.

    В Kaspersky MLAD доступны следующие уровни ведения журналов:

    • Отладка – ведение журналов всей информации в программе;
    • Инфо – ведение журналов общей информации о работе программы;
    • Общие – ведение журналов важной информации о работе программы;
    • Важные – ведение журналов ошибок, возникших в работе программы, и событий, которые могут привести к ошибкам в работе программы;
    • Ошибка – ведение журналов ошибок, возникших в работе программы;
    • Критические – ведение журналов критических ошибок, возникших в работе программы.

    По умолчанию для большинства служб используется уровень ведения журналов Общие. Для службы API Server по умолчанию используется уровень ведения журналов Инфо.

  4. Нажмите на кнопку Сохранить.

В начало

[Topic 248013]

Настройка временных интервалов отображения данных

Kaspersky MLAD позволяет указать временной интервал (масштаб) отображения данных на графиках в разделах Мониторинг, История и Временной срез. По умолчанию при установке Kaspersky MLAD доступны следующие временные интервалы:

  • 1, 5, 10, 15 и 30 минут;
  • 1, 3, 6 и 12 часов;
  • 1, 2, 15 и 30 дней;
  • 3 и 6 месяцев;
  • 1, 2 и 3 года.

Вы можете добавить временные интервалы отображения данных на графиках. Созданные временные интервалы станут доступными для выбора в разделах Мониторинг, История и Временной срез. Вы также можете изменять и удалять временные интервалы.

Работы по настройке временных интервалов отображения данных на графиках могут выполнять системные администраторы.

Чтобы добавить временной интервал отображения данных:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметрыГрафики.
  3. В блоке параметров Временные интервалы нажмите на кнопку Создать.

    Справа отобразится панель Создание элемента.

  4. В поле Временной интервал (сек.) укажите временной интервал в секундах, за который вы хотите отображать данные на графиках.

    При вводе временного интервала Kaspersky MLAD автоматически разбивает значение временного интервала по единицам измерения времени (годы, месяцы, недели, дни, часы, минуты, секунды) в полях Значение, русский язык и Значение, английский язык.

  5. Если требуется, в поле Значение, русский язык измените название временного интервала на русском языке.
  6. Если требуется, в поле Значение, английский язык измените название временного интервала на английском языке.

  7. В поле Сортировка укажите порядковый номер, с которым временной интервал будет отсортирован в раскрывающихся списках в разделах Мониторинг, История и Временной срез.
  8. Нажмите на кнопку Сохранить.

Чтобы изменить временные интервалы отображения данных:

  1. В меню администратора выберите раздел Системные параметрыГрафики.
  2. В блоке параметров Временные интервалы выберите один или несколько временных интервалов и нажмите на кнопку Изменить.
  3. Внесите необходимые изменения.
  4. Нажмите на кнопку Сохранить.

Чтобы удалить временные интервалы отображения данных:

  1. В меню администратора выберите раздел Системные параметрыГрафики.
  2. В блоке параметров Временные интервалы выберите один или несколько временных интервалов и нажмите на кнопку Удалить.
  3. В открывшемся окне подтвердите удаление.

Информация о временных интервалах будет удалена из таблицы.

В начало

[Topic 248014]

Настройка отображения пунктов меню Kaspersky MLAD

Работы по настройке отображения пунктов меню Kaspersky MLAD могут выполнять системные администраторы.

Чтобы настроить отображение пунктов меню Kaspersky MLAD:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. На открывшейся странице в меню слева выберите раздел Системные параметрыМеню.

    Справа отобразится список параметров.

  3. В блоке параметров Доступность пунктов основного меню с помощью переключателя включите или выключите отображение раздела в основном меню.
  4. В блоке параметров Доступность пунктов меню администратора с помощью переключателя включите или выключите отображение раздела в меню администратора.
  5. Нажмите на кнопку Сохранить.
В начало

[Topic 248015]

Экспорт и импорт параметров Kaspersky MLAD

Kaspersky MLAD позволяет выполнять экспорт и импорт конфигурационных файлов, которые содержат параметры служб и коннекторов программы, а также параметры безопасности, уровней ведения журналов служб программы, параметры отображения меню программы и параметры типовых статусов и причин инцидентов, настраиваемые через веб-интерфейс. Это может сократить время настройки Kaspersky MLAD при повторном развертывании программы.

При экспорте параметров Kaspersky MLAD не сохраняет в архивный файл пароли, указанные в разделе Системные параметры, а также файлы сертификатов и ключей к файлам сертификатов, загруженных в этом разделе.

Экспорт и импорт файла конфигурации служб Kaspersky MLAD доступен системным администраторам.

Чтобы экспортировать файлы конфигурации из Kaspersky MLAD:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Системные параметры.
  3. Нажмите на кнопку Экспорт, которая расположена в верхней части открывшейся страницы.

Файлы конфигурации Kaspersky MLAD будут сохранены в виде архива mlad-settings.tar.gz на локальном компьютере.

Чтобы загрузить файлы конфигурации в Kaspersky MLAD:

  1. В меню администратора выберите раздел Системные параметры.
  2. Нажмите на кнопку Импорт, которая расположена в верхней части открывшейся страницы.
  3. В открывшемся окне выберите архивный файл, содержащий необходимую конфигурацию параметров Kaspersky MLAD.

Файлы конфигурации Kaspersky MLAD будут загружены в программу.

В начало

[Topic 248017]

Управление активами и тегами

Управление активами и тегами доступно системным администраторам.

Активы и теги являются первичными элементами иерархической структуры объекта мониторинга. Иерархическая структура отображается в виде дерева активов.

В виде тегов в Kaspersky MLAD передаются наблюдения объекта мониторинга. На основании полученных значений тегов вы можете выполнять обучение и инференс ML-моделей.

В разделе Активы в меню администратора вы можете просматривать созданные или загруженные в Kaspersky MLAD активы и теги. С помощью кнопок Пиктограмма в виде знака плюс в квадрате. и Пиктограмма в виде знака минус в квадрате. слева от имен активов вы можете отобразить и скрыть данные дерева активов. Вы можете создавать активы и теги, а также изменять параметры тега, например пороги блокировки тега.

Kaspersky MLAD получает данные телеметрии по тегам от устройств объекта мониторинга с помощью коннекторов. Поступающие в программу значения для тегов, заданных в дереве активов, а также идентификаторы этих тегов хранятся в службе Time Series Database. При включенной функции сохранения значений всех тегов служба Time Series Database также хранит идентификаторы и значения неизвестных тегов (отсутствующих в дереве активов). Вы можете сравнить текущую структуру дерева активов со структурой в службе Time Series Database и при необходимости добавить отсутствующие теги в дерево активов.

Если Kaspersky MLAD обнаруживает неизвестные теги, полученные от внешних устройств через коннектор KICS Connector, эти теги будут автоматически созданы в разделе kics дерева активов. Программа автоматически присвоит тегам идентификаторы и заполнит следующие сведения, полученные от Kaspersky Industrial CyberSecurity for Networks:

  • идентификаторы тегов;
  • имена тегов;
  • описания тегов;
  • единицы измерения тегов;
  • имена устройств, для которых получены теги.

Kaspersky MLAD совместим с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.

Также вы можете удалять существующие в системе теги, импортировать теги и активы из файла в формате XLSX и экспортировать их в файл в формате XLSX.

В этом разделе

Об иерархической структуре объекта мониторинга

О тегах

Создание актива

Изменение параметров актива

Создание тега

Добавление тега в актив

Изменение тега

Перемещение активов и тегов

Удаление актива или тега

Проверка текущей структуры тегов

Загрузка конфигурации активов и тегов в систему

Сохранение конфигурации активов и тегов в файл

В начало

[Topic 252447]

Об иерархической структуре объекта мониторинга

Иерархическая структура объекта мониторинга (далее также иерархическая структура) – это способ представления объекта мониторинга в виде дерева, конечные узлы которого соответствуют тегам, по которым поступают данные телеметрии.

Теги объекта мониторинга организованы в виде иерархии активов, представляющих, например, агрегаты, установки, цеха и заводы. Схема организации активов, их типы и число определяются Заказчиком и зависят от структуры конкретного объекта мониторинга. Каждый актив имеет только один вышестоящий элемент. Этим элементом может быть другой актив (родительский актив) или головной элемент иерархической структуры (Root), соответствующий объекту мониторинга в целом.

Теги и активы представляют собой первичные элементы иерархической структуры. Вы можете выполнить импорт и экспорт дерева активов в виде файла в формате XLSX, а также создать их и управлять ими в разделе Активы.

Помимо первичных элементов в процессе или в результате работы Kaspersky MLAD в иерархическую структуру могут быть добавлены следующие функциональные элементы:

В начало

[Topic 247966]

О тегах

Развернуть все | Свернуть все

Основными объектами наблюдения в Kaspersky MLAD являются теги. Тег – это параметр технологического процесса, передаваемый в промышленной сети (например, температура). В виде тегов могут передаваться измерения физических параметров, а также уставки, команды или состояния систем регулирования. Значения тегов передаются и принимаются устройствами по определенным протоколам. Значения тегов отображаются на графиках в разделах История и Мониторинг, а также используются для обнаружения инцидентов.

Kaspersky MLAD поддерживает несколько способов получения данных телеметрии (тегов). В зависимости от характеристик объекта мониторинга и возможностей передачи тегов вы можете выбрать один из следующих способов получения значений тегов в режиме реального времени:

Вы также можете получать значения тегов за определенный интервал истории одним из следующих способов:

  • С помощью коннектора OPC UA Connector, если на объекте мониторинга поддерживается доступ к историческим данным (по стандарту OPC UA HDA).
  • С помощью коннектора HTTP Connector путем загрузки CSV-файлов с историческими данными.

См. также

Управление активами и тегами

В начало

[Topic 248020]

Создание актива

Управление активами и тегами доступно системным администраторам.

В Kaspersky MLAD вы можете создавать активы и распределять теги по активам наиболее удобным для вас способом. Например, вы можете создать активы в соответствии с производственной структурой объекта мониторинга вплоть до устройств, от которых поступают данные телеметрии.

Чтобы создать новый актив:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. В верхней части страницы нажмите на кнопку Создать.
  4. В открывшейся панели в раскрывающемся списке Тип элемента выберите значение Актив.
  5. Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для актива.

    Вы можете загрузить значок для актива, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

    Если требуется удалить значок актива, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

  6. В раскрывающемся списке Актив выберите раздел дерева активов, в составе которого требуется создать актив.
  7. В поле Имя укажите имя актива.

    Имена активов должны быть уникальными в рамках одного раздела дерева активов.

  8. В поле Описание укажите описание актива.
  9. В раскрывающемся списке Тип актива выберите тип актива.

    Если вы загрузили конфигурацию активов и тегов в Kaspersky MLAD вы можете выбрать один из типов активов, заданных в файле конфигурации. Типы активов указываются на вкладке directory_types конфигурационного файла. Если вы не загружали конфигурацию активов и тегов, выберите тип Системный актив.

  10. Если вы выбрали один из типов активов, заданных в импортированном файле конфигурации, при необходимости укажите значения для специальных параметров активов.

    Названия специальных параметров указываются на вкладке directory_types конфигурационного файла.

  11. Нажмите на кнопку Сохранить.

Актив будет создан. Если требуется, вы можете изменить расположение актива в дереве.

Вы также можете создавать вложенные активы с помощью дерева активов. Для этого рядом с названием того раздела, в который требуется добавить актив, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Добавить актив.

В начало

[Topic 248022]

Изменение параметров актива

Управление активами и тегами доступно системным администраторам.

Вы можете изменять параметры созданных ранее активов.

Чтобы изменить параметры актива в дереве активов:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. В дереве активов рядом с именем актива, параметры которого требуется изменить, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Изменить актив.

    Справа откроется панель Изменение актива.

  4. Если требуется, в открывшейся панели измените следующие параметры:
    • Значок актива.
    • Раздел дерева активов, к которому вы хотите отнести актив.

      Подразделы актива и их теги будут перемещены в новый актив.

    • Имя актива.
    • Описание актива.
    • Тип актива.
    • Значения для специальных параметров актива.
  5. Нажмите на кнопку Сохранить.

Актив будет изменен. Если требуется, вы можете изменить расположение актива в дереве.

В начало

[Topic 248018]

Создание тега

Управление активами и тегами доступно системным администраторам.

В Kaspersky MLAD вы можете создавать новые теги для описания данных, поступающих от объекта мониторинга (исходные теги) или от службы Stream Processor.

Чтобы создать новый тег:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. В верхней части страницы нажмите на кнопку Создать.
  4. В открывшейся панели в раскрывающемся списке Тип элемента выберите Тег.
  5. Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для тега.

    Вы можете загрузить значок для тега, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

    Если требуется удалить значок тега, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

  6. В раскрывающемся списке Актив выберите раздел дерева активов, к которому вы хотите отнести создаваемый тег.

    Активы в дереве активов требуется предварительно загрузить или создать вручную.

  7. В поле Имя укажите уникальное имя тега. Если требуется получать значения тега от внешней системы, укажите имя тега во внешней системе.
  8. Если требуется, в поле Описание укажите описание тега.
  9. Если требуется, в поле Альтернативное имя укажите альтернативное имя тега.
  10. В поле ID укажите уникальный числовой идентификатор тега.

    Вы можете указать значение в диапазоне от 1 до 1 000 000.

  11. Если требуется, в поле Размерность укажите единицы измерения для тега (например, % или мПа).
  12. Если требуется, в блоке Пороги блокировки в полях Нижний и Верхний укажите нижний и верхний пороги предельно допустимых значений тега.

    Эти параметры требуются для правильной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего порога блокировки, детектор Limit Detector регистрирует инцидент.

    Если включена функция Всегда показывать пороги блокировки, вертикальный масштаб графика будет зафиксирован пороговыми линиями, выводимыми по нижней и верхней границам графической области, к которой относится тег, при условии, что значения тега находятся в заданном диапазоне. Если значения тега выйдут за заданные пороги, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.

  13. Если требуется, в блоке Пороги сигнализации в полях Нижний и Верхний укажите нижний и верхний пороги значений тега, при достижении которых оператору следует обратить внимание на поведение тегов.
  14. Если требуется, в блоке Пороги достоверности измерений в полях Нижний и Верхний укажите нижний и верхний пороги физически возможных значений тега, в том числе с учетом ограничений измерительного оборудования.
  15. Если требуется, в блоке параметров Конвертация значений в полях Смещение и Множитель укажите значение, которое необходимо добавить к значению тега, и значение, на которое необходимо умножить значение тега, полученное с помощью коннекторов.

    Программа конвертирует значения тега по формуле a * x + b, где:

    • a – значение множителя, заданного в поле Множитель;
    • x – полученное значение тега;
    • b – значение смещения, заданного в поле Смещение.

    Конвертация производится при включенном переключателе Масштабировать полученные значения тегов в параметрах коннекторов. Конвертация значений возможна для тегов, полученных с помощью коннекторов MQTT Connector, AMQP Connector, OPC UA Connector, WebSocket Connector и KICS Connector.

    Конвертацию значений необходимо применять при получении значений тега в единице измерения, отличной от указанной в поле Размерность.

  16. Если значения тега поступают в программу с помощью коннектора KICS Connector, при необходимости в поле Устройство внешней системы укажите имя устройства, созданного во внешней системе, для которого требуется получать теги.
  17. Если требуется, в полях X, Y, Z укажите координаты расположения датчика объекта мониторинга в пространстве.

    Вы можете использовать произвольную точку в качестве начала координат.

    Вы можете использовать координаты датчиков для расчета значения тегов при создании пресета и их отображения на графике в разделе Временной срез.

  18. Если требуется, в поле Комментарий введите краткий комментарий к тегу.
  19. Нажмите на кнопку Сохранить.

Новый тег отобразится в группе Теги дерева активов. Группа Теги создается автоматически и отображается в составе выбранного раздела дерева активов. Если требуется, вы можете изменить расположение тегов в дереве.

В начало

[Topic 255478]

Добавление тега в актив

Управление активами и тегами доступно системным администраторам.

В Kaspersky MLAD вы можете добавлять теги в созданные активы.

Чтобы добавить тег в актив:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. В дереве активов рядом с разделом, в который требуется добавить тег, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Добавить тег.

    Справа откроется панель Создание тега.

  4. Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для тега.

    Вы можете загрузить значок для тега, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

    Если требуется удалить значок тега, нажмите на него и в открывшемся окне нажмите на кнопку Удалить.

  5. В поле Имя укажите уникальное имя тега. Если требуется получать значения тега от внешней системы, укажите имя тега во внешней системе.
  6. Если требуется, в поле Описание укажите описание тега.
  7. Если требуется, в поле Альтернативное имя укажите альтернативное имя тега.
  8. В поле ID укажите уникальный числовой идентификатор тега.
  9. Если требуется, в поле Размерность укажите единицы измерения для тега (например, % или мПа).
  10. Если требуется, в блоке Пороги блокировки в полях Нижний и Верхний укажите нижний и верхний пороги предельно допустимых значений тега.

    Эти параметры требуются для правильной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего порога блокировки, детектор Limit Detector регистрирует инцидент.

    Если включена функция Всегда показывать пороги блокировки, вертикальный масштаб графика будет зафиксирован пороговыми линиями, выводимыми по нижней и верхней границам графической области, к которой относится тег, при условии, что значения тега находятся в заданном диапазоне. Если значения тега выйдут за заданные пороги, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.

  11. Если требуется, в блоке Пороги сигнализации в полях Нижний и Верхний укажите нижний и верхний пороги значений тега, при достижении которых оператору следует обратить внимание на поведение тегов.
  12. Если требуется, в блоке Пороги достоверности измерений в полях Нижний и Верхний укажите нижний и верхний пороги физически возможных значений тега, в том числе с учетом ограничений измерительного оборудования.
  13. Если требуется, в блоке параметров Конвертация значений в полях Смещение и Множитель укажите значение, которое необходимо добавить к значению тега, и значение, на которое необходимо умножить значение тега, полученное с помощью коннекторов.

    Программа конвертирует значения тега по формуле a * x + b, где:

    • a – значение множителя, заданного в поле Множитель;
    • x – полученное значение тега;
    • b – значение смещения, заданного в поле Смещение.

    Конвертация производится при включенном переключателе Масштабировать полученные значения тегов в параметрах коннекторов. Конвертация значений возможна для тегов, полученных с помощью коннекторов MQTT Connector, AMQP Connector, OPC UA Connector, WebSocket Connector и KICS Connector.

    Конвертацию значений необходимо применять при получении значений тега в единице измерения, отличной от указанной в поле Размерность.

  14. Если значения тега поступают в программу с помощью коннектора KICS Connector, при необходимости в поле Устройство внешней системы укажите имя устройства, созданного во внешней системе, для которого требуется получать теги.
  15. Если требуется, в полях X, Y, Z укажите координаты расположения датчика объекта мониторинга в пространстве.

    Вы можете использовать произвольную точку в качестве начала координат.

    Вы можете использовать координаты датчиков для расчета значения тегов при создании пресета и их отображения на графике в разделе Временной срез.

  16. Если требуется, в поле Комментарий введите краткий комментарий к тегу.
  17. Нажмите на кнопку Сохранить.

Новый тег отобразится в группе Теги дерева активов. Группа Теги создается автоматически и отображается в составе выбранного раздела дерева активов. Если требуется, вы можете изменить расположение тегов в дереве.

В начало

[Topic 248021]

Изменение тега

Управление активами и тегами доступно системным администраторам.

Вы можете изменять созданные ранее теги.

Чтобы изменить тег:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. В дереве активов рядом с именем того тега, который вы хотите изменить, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Изменить тег.

    Вы можете отобразить или скрыть данные дерева активов с помощью кнопок Пиктограмма в виде знака плюс в квадрате. и Пиктограмма в виде знака минус в квадрате. слева от имен активов.

    Справа откроется панель Изменение тега. В верхней части открывшейся панели отображается количество ML-моделей, которые используют выбранный тег.

  4. Если требуется, измените параметры тега. Описание параметров см. в инструкции по созданию тега.

    Kaspersky MLAD периодически проверяет сведения о тегах, полученных от Kaspersky Industrial CyberSecurity for Networks. Если имя тега и/или информация об устройстве тега были изменены вручную, программа автоматически обновит имя тега и/или сведения об устройстве в соответствии с именем тега и именем устройства в Kaspersky Industrial CyberSecurity for Networks после следующей проверки.

  5. Нажмите на кнопку Сохранить.

Если требуется, вы можете изменить расположение тегов в дереве.

В начало

[Topic 255479]

Перемещение активов и тегов

Управление активами и тегами доступно системным администраторам.

Вы можете перемещать активы и/или теги в дереве активов. Все активы и теги, входящие в состав выбранного актива, будут перемещены.

Чтобы переместить актив и/или тег:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. В дереве активов установите флажки рядом с именами активов и/или тегов, которые требуется переместить.
  4. В верхней части страницы нажмите на кнопку Переместить.
  5. В открывшейся панели в раскрывающемся списке Актив выберите актив, в который вы хотите перенести выбранные активы и/или теги.
  6. Нажмите на кнопку Сохранить.

В разделе Активы отобразится измененное дерево активов.

Вы также можете изменить расположение активов и тегов в дереве с помощью точек (Пиктограмма в виде шести точек в две колонны.) слева от имени нужного актива или тега. Для этого необходимо перетащить нужный актив или тег вверх или вниз в дереве, удерживая за точки (Пиктограмма в виде шести точек в две колонны.) слева от нужного актива или тега.

В начало

[Topic 248023]

Удаление актива или тега

Управление активами и тегами доступно системным администраторам.

Вы можете удалять активы и/или теги из дерева активов, если выбранные теги или теги, относящиеся к выбранному активу, не используются ML-моделями.

Удаление тега в программе не приводит к удалению тега на объекте мониторинга. Данные телеметрии по удаленному тегу продолжат поступать в Kaspersky MLAD и при включенной функции сохранения значений всех тегов будут храниться в службе Time Series Database.

Перед удалением тега необходимо удалить его из файла конфигурации коннектора, через который поступали данные по этому тегу.

Чтобы удалить тег:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. Выполните одно из следующих действий:
    • В дереве активов установите флажок рядом с именем тега, который вы хотите удалить, и нажмите на кнопку Удалить в верхней части страницы.
    • В вертикальном меню Пиктограмма в виде трех точек, расположенных горизонтально. справа от нужного тега выберите пункт Удалить тег.
  4. В открывшемся окне подтвердите удаление тега.

Чтобы удалить актив:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. Выполните одно из следующих действий:
    • В дереве активов установите флажок рядом с именем актива, который вы хотите удалить, и нажмите на кнопку Удалить в верхней части страницы.
    • В вертикальном меню Пиктограмма в виде трех точек, расположенных горизонтально. справа от нужного актива выберите пункт Удалить актив.
  4. В открывшемся окне подтвердите удаление актива.

Чтобы удалить один или несколько активов и/или тегов:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. В дереве активов установите флажки рядом с именами активов и/или тегов.

    Если требуется удалить один или несколько тегов из актива, разверните соответствующий раздел дерева активов, нажав на значок плюса (Пиктограмма в виде знака плюс в квадрате.), и выберите нужные теги.

  4. Нажмите на кнопку Удалить в верхней части страницы.
  5. В открывшемся окне подтвердите удаление активов и/или тегов.

Если выбранные активы и/или теги не используются ML-моделями, в открывшемся окне отображается значок Пиктограмма в виде зеленой галочки. напротив строки Проверка связей тегов с добавленными моделями. Выбранные теги будут удалены из Kaspersky MLAD безвозвратно.

Если выбранные активы и/или теги используются ML-моделями, в открывшемся окне отображается значок Пиктограмма в виде красного крестика в круге. напротив строки Проверка связей тегов с добавленными моделями. В таком случае вы не можете удалить выбранные активы и/или теги. Для удаления активов и/или тегов требуется удалить ML-модели, в которых они используются.

В начало

[Topic 248024]

Проверка текущей структуры тегов

Управление активами и тегами доступно системным администраторам.

Kaspersky MLAD получает данные телеметрии от устройств объекта мониторинга с помощью коннекторов и сохраняет идентификаторы тегов и значения по тегам, заданным в дереве активов, в службе Time Series Database. При включенной функции сохранения значений всех тегов в службе Time Series Database также хранятся идентификаторы и значения неизвестных тегов (отсутствующих в дереве активов).

Kaspersky MLAD позволяет сравнить текущую структуру тегов, которая отображается в дереве активов и используется для объекта мониторинга, со структурой тегов, сохраненной для этого объекта мониторинга в службе Time Series Database. Kaspersky MLAD выявляет теги, которые были получены от внешних устройств, но отсутствуют в текущей структуре тегов и не используются для объекта мониторинга. Если требуется, вы можете добавить эти теги в текущую структуру тегов.

При поступлении данных телеметрии по неизвестным тегам через коннектор KICS Connector программа автоматически создает эти теги в разделе kics дерева активов.

Чтобы сравнить текущую структуру тегов со структурой в службе Time Series Database:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. В верхней части страницы нажмите на кнопку Проверить теги.

    Текущая структура тегов, используемая для объекта мониторинга, сравнивается со структурой тегов, которая хранится в службе Time Series Database. Сообщение о результате выполненного сравнения отобразится в верхней части страницы.

    В случае выявления отсутствующих тегов Kaspersky MLAD отобразит список этих тегов с именами в формате Tag <идентификатор тега>.

  4. Если требуется добавить отсутствующие теги, выполните следующие действия:
    1. В поле Актив для каждого обнаруженного тега выберите актив, к которому вы хотите отнести тег.
    2. Нажмите на кнопку Добавить.

    Kaspersky MLAD добавит теги в дерево активов. Для этих тегов будут указаны только их идентификаторы, имена в формате Tag <идентификатор тега> и активы, к которым вы отнесли теги. Если требуется, вы можете изменить добавленные теги.

В начало

[Topic 248025]

Загрузка конфигурации активов и тегов в систему

Конфигурация активов и тегов создается в процессе выполнения работ по внедрению Kaspersky MLAD и построению ML-модели. Конфигурация активов и тегов предоставляется в виде файла в формате XLSX.

Управление активами и тегами доступно системным администраторам.

Чтобы загрузить конфигурацию активов и тегов в Kaspersky MLAD:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. Нажмите на кнопку Импорт.

    Справа откроется панель Импорт иерархической структуры.

  4. В поле Импорт файла добавьте файл в формате XLSX, содержащий необходимую конфигурацию активов и тегов иерархической структуры.

    Если требуется изменить файл конфигурации активов и тегов, нажмите на кнопку Пиктограмма в виде корзины. и выберите новый файл.

  5. В раскрывающемся списке Актив выберите раздел дерева активов, в который требуется загрузить конфигурацию активов и тегов из файла.

    Если загружаемый файл конфигурации содержит активы самого верхнего уровня, то выберите головной элемент иерархической структуры Root.

  6. В раскрывающемся списке Режим импорта выберите одно из следующих значений:
    • Добавить и обновить. Kaspersky MLAD добавит новые активы и теги из файла конфигурации и обновит информацию о ранее созданных и/или импортированных активах и тегах в составе выбранного раздела.
    • Только обновить. Kaspersky MLAD обновит информацию о ранее созданных и/или импортированных активах и тегах в составе выбранного раздела.

      Если в файле конфигурации описаны новые активы и/или теги, они не будут добавлены в иерархическую структуру.

    • Перезаписать. Kaspersky MLAD удалит ранее созданные и/или импортированные активы и теги из выбранного раздела и создаст новые активы и теги из файла конфигурации.
  7. Если требуется рассматривать все активы и теги из файла конфигурации в качестве новых вхождений, включите переключатель Рассматривать все элементы как новые.

    Вы можете использовать этот переключатель для загрузки вложенных активов, повторяющихся в разных разделах дерева активов. Для этого загрузите конфигурацию вложенных активов в режиме импорта Добавить и обновить несколько раз и при каждой загрузке укажите разные родительские активы. При этом загрузить теги с именами, соответствующими именам ранее созданных и/или загруженных тегов, невозможно.

  8. Нажмите на кнопку Сохранить.

Конфигурация активов и тегов будет загружена в Kaspersky MLAD. Активы и теги отобразятся в виде дерева активов.

В начало

[Topic 248026]

Сохранение конфигурации активов и тегов в файл

Управление активами и тегами доступно системным администраторам.

Вы можете сохранить структуру тегов и активов в файл в формате XLSX для дальнейшего использования. Например, вы можете изменить параметры текущих активов и/или тегов или добавить в иерархическую структуру новые активы и/или теги, после чего загрузить обновленный файл конфигурации в программу повторно.

Чтобы сохранить конфигурацию активов и тегов в файл в формате XLSX:

  1. В нижнем левом углу страницы нажмите на кнопку Пиктограмма в виде двух горизонтальных бегунков эквалайзера..

    Вы перейдете в меню администратора.

  2. Выберите раздел Активы.
  3. Нажмите на кнопку Экспорт.

Конфигурация активов и тегов будет сохранена в файл mlad_structure.xlsx (см. пример в Приложении).

В начало

[Topic 248063]

Сценарий: работа с Kaspersky MLAD

В этом разделе описаны действия пользователя при работе в основном меню Kaspersky MLAD.

Сценарий работы с программой состоит из следующих этапов:

  1. Создание пресетов для мониторинга участков защищаемого объекта

    Для быстрого доступа к необходимым данным загрузите конфигурацию пресетов в Kaspersky MLAD. Конфигурация пресетов создается специалистом "Лаборатории Касперского" или сертифицированным интегратором. Конфигурация пресетов описывается в файле в формате JSON. Пример описания конфигурации пресетов см. в Приложении.

    Вы также можете создать пресеты, которые включают в себя теги, соответствующие агрегатам установки, в веб-интерфейсе программы. Если требуется, вы можете изменить уже существующие пресеты.

  2. Подготовка ML-моделей

    Для анализа телеметрии объекта мониторинга и выявления аномалий необходимо подготовить ML-модели. Добавьте в Kaspersky MLAD ML-модели и разметки. Обучите элементы ML-модели и проверьте результаты обучения. При необходимости скорректируйте параметры обучения и обучите нужные элементы заново. Запустите инференс ML-модели для регистрации инцидентов. При необходимости опубликуйте ML-модель для регистрации учетных инцидентов.

  3. Просмотр исторических данных

    Перейдите в раздел История. Выберите необходимый пресет и укажите дату и интервал времени для просмотра исторических данных технологических параметров и результатов их обработки ML-моделями – сформированных артефактов и/или зарегистрированных инцидентов. При просмотре исторических данных вы можете использовать навигацию.

  4. Мониторинг в онлайн-режиме

    Для просмотра поступающих значений технологических параметров и результатов их обработки ML-моделями в онлайн-режиме, перейдите в раздел Мониторинг. Выберите необходимый пресет и интервал времени для отображения поступающих данных.

  5. Просмотр данных в разделе Временной срез

    Для просмотра значений технологических параметров, полученных от датчиков объекта мониторинга в один и тот же момент времени, перейдите в раздел Временной срез. Выберите необходимый пресет и укажите дату и интервал времени для просмотра данных. При просмотре данных вы можете использовать навигацию.

  6. Работа с инцидентами

    Перейдите в раздел Инциденты и просмотрите информацию о зарегистрированных инцидентах. Проанализируйте инциденты и добавьте экспертные заключения или замечания, в которых вы можете указать, являются ли зарегистрированные инциденты аномалиями.

    Если вы подписаны на уведомления об инцидентах, при возникновении аномальной ситуации вы получите сообщение по электронной почте. В сообщении указываются дата и время начала инцидента, а также ссылка, по которой вы можете перейти в раздел История.

  7. Работа с событиями и паттернами

    Для работы с событиями и паттернами настройте параметры конфигурации внимания и отображение параметров событий. Для отслеживания определенных событий, паттернов или значений параметров событий перейдите в раздел Процессор событий и создайте мониторы. Просмотрите события и паттерны, выявленные процессором событий.

В начало

[Topic 248064]

Просмотр сводных данных в разделе Информационная панель

В разделе Информационная панель представлена сводная информация о количестве событий и наблюдений по тегам, поступающих в Kaspersky MLAD, зарегистрированных инцидентах и о статусе служб.

Информация на странице разбита на следующие блоки:

  • Поступающие данные – график, на котором отображается количество поступающих в Kaspersky MLAD событий и наблюдений по тегам. Вы можете включить или выключить отображение на графике поступающих событий и наблюдений по тегам, нажав на соответствующую легенду подписи данных, которая расположена под графиком. Левая шкала графика отображает диапазон количества наблюдений по тегам, поступающих в секунду. Правая шкала графика отображает диапазон количества событий, поступающих в секунду.
  • Последние инциденты – таблица, содержащая информацию о последних зарегистрированных инцидентах.
    • ID – идентификатор зарегистрированного инцидента.
    • Дата и время – дата и время возникновения инцидента.
    • Название модели – название ML-модели, элемент которой зарегистрировал инцидент.
    • Элемент модели – название элемента ML-модели, который зарегистрировал инцидент.
    • Детектор – тип зарегистрированного инцидента.
    • Статус – статус зарегистрированного инцидента, указанный экспертом по результатам анализа инцидента или присвоенный автоматически в соответствии со статусом инцидента, заданным для элемента ML-модели, зарегистрировавшего инцидент.

    При нажатии на кнопку Пиктограмма в виде знака плюс. около инцидента в таблице инцидентов раскрывается окно с техническими характеристиками выбранного инцидента и тега:

    • Инцидент – блок, содержащий информацию об инциденте:
      • Название модели – название ML-модели, элемент которой зарегистрировал инцидент.
      • Элемент модели – название элемента ML-модели, который зарегистрировал инцидент.
      • Детектор – тип зарегистрированного инцидента.
      • Значение артефакта элемента ML-модели – значение отклонения поведения объекта мониторинга от нормального на момент регистрации инцидента. Отсутствует, если инцидент зарегистрирован детектором Limit Detector или службой Stream Processor.
      • Пороговое значение – пороговое значение для регистрации инцидента элементом ML-модели. Если инцидент зарегистрирован детектором Limit Detector, для этого параметра указывается значение верхнего или нижнего порога блокировки, которое было достигнуто тегом.
    • Топ-тег – блок, содержащий информацию о теге, который оказал наибольшее влияние на регистрацию инцидента:
      • Имя топ-тега (ID топ-тега) – имя и идентификатор тега, оказавшего наибольшее влияние на регистрацию инцидента.
      • Значение топ-тега – зарегистрированное в момент инцидента значение топ-тега.
      • Пороги блокировки – предельно допустимые значения топ-тега. Пределы блокировки требуются для правильной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего порога блокировки, детектор Limit Detector регистрирует инцидент.
      • Описание – описание топ-тега.
      • Единицы измерения – единицы измерения значений топ-тега.
  • Обработка данных – таблица, в которой отображается статусы служб, используемых для обработки событий и наблюдений по тегам, поступающим в Kaspersky MLAD, обучения и инференса ML-моделей, а также регистрации инцидентов.
  • Статусы служб – таблица, в которой для каждой службы отображается ее статус.

Из раздела Информационная панель вы можете перейти в раздел История, нажав на дату и время инцидента в таблице Последние инциденты. В разделе История отображается подробная информация о зарегистрированных Kaspersky MLAD инцидентах.

Окно раздела "Информационная панель" содержит информацию о количестве поступающих событий и тегов, последних зарегистрированных инцидентах и о статусе служб.

Раздел Информационная панель

В начало

[Topic 248065]

Просмотр поступающих данных в разделе Мониторинг

В разделе Мониторинг вы можете просматривать поступающие в реальном времени значения тегов, входящих в пресет и их прогнозируемые значения.

Центральная часть раздела Мониторинг представляет собой совокупность горизонтальных сегментов, предназначенных для отображения графиков. Каждый такой сегмент называется графической областью. Первыми отображаются графические области для выбранного пресета. В одной графической области пресета может отображаться график одного тега или графики нескольких тегов, наложенные друг на друга. Состав тегов, данные которых отображаются в графической области, вы можете определить при создании пресета. На графиках отображаются значения тегов пресета, поступающих в Kaspersky MLAD от объекта мониторинга. В можете выбрать элементы ML-моделей и настроить отображение графиков, чтобы на графиках единичных графических областей также отображались артефакты, связанные с тегами таких областей и сформированные элементами ML-моделей, в составе которых используются эти теги.

После графических областей пресета отображаются графические области для каждого выбранного элемента ML-модели. В таких графических областях отображаются графики артефактов элементов ML-моделей. Значение артефакта элемента ML-модели зависит от аналитических алгоритмов, используемых элементом, и отображается в виде цветной линии. Цвет этой линии соответствует цвету, выбранному для параметра Цвет точек-индикаторов инцидентов при создании соответствующего элемента. На графиках также отображается оранжевая линия, которая соответствует порогу, при превышении которого элемент ML-модели регистрирует инцидент.

В нижней части раздела расположена графическая область, отображающий график артефакта элемента ML-модели, выбранного в панели Параметры отображения графика артефакта элемента ML-модели. Красная линия на графике соответствует значению артефакта элемента ML-модели, а оранжевая линия соответствует порогу, при превышении которого Kaspersky MLAD регистрирует инцидент. Область графика, в которой значение артефакта элемента ML-модели превышает заданный порог, окрашивается в красный цвет. Снизу от графика отображаются цветные точки-индикаторы, соответствующие зарегистрированным инцидентам.

В зависимости от выбранного масштаба времени и плотности инцидентов одна точка-индикатор может соответствовать одному или нескольким близко расположенным инцидентам, зарегистрированных одним или несколькими элементами ML-моделей. Для точек-индикаторов, которые соответствуют инцидентам, зарегистрированным одним элементом ML-модели, цвет задается при создании этого элемента. Для точек-индикаторов, которые соответствуют группе инцидентов, зарегистрированных разными элементами, зарезервирован фиолетовый цвет. Для точек-индикаторов, которые соответствуют инцидентам, зарегистрированным детектором Limit Detector, зарезервирован красный цвет.

Окно раздела "Мониторинг" содержит информацию о значении тегов, поступающих в реальном времени.

Раздел Мониторинг

В этом разделе

Просмотр данных для определенного пресета в разделе Мониторинг

Выбор элементов ML-моделей в разделе Мониторинг

Выбор интервала времени в разделе Мониторинг

Настройка параметров отображения графиков в разделе Мониторинг

В начало

[Topic 248066]

Просмотр данных для определенного пресета в разделе Мониторинг

Kaspersky MLAD позволяет выбирать пресеты, для которых отображаются данные, поступающие в реальном времени.

Чтобы просмотреть поступающие данные для определенного пресета в режиме реального времени:

  1. В основном меню выберите раздел Мониторинг.
  2. На открывшейся странице в раскрывающемся списке Пресет выберите необходимый пресет.

На странице отобразятся графики для тегов, которые входят в выбранный пресет, в соответствии с параметрами графической области, заданными при создании этого пресета.

Если требуется, вы можете изменить временной интервал отображения данных, настроить отображение графиков или выбрать элементы ML-моделей для просмотра результатов их работы. Также вы можете изменить состав отображаемых тегов, изменив пресет.

В начало

[Topic 248067]

Выбор элементов ML-моделей в разделе Мониторинг

В разделе Мониторинг вы можете просматривать поступающие в реальном времени значения тегов, входящих в пресет, артефакты, сформированные выбранными элементами ML-моделей, а также информацию о количестве зарегистрированных инцидентов.

Если для объекта мониторинга используются разные ML-модели для обработки данных, Kaspersky MLAD позволяет выбрать несколько элементов ML-моделей для отображения результатов их инференса. Для детектора Limit Detector элемент ML-модели не создается. Точки-индикаторы инцидентов, зарегистрированных с помощью этого детектора, отображаются, если включено использование детектора Limit Detector и включен режим отображения индикаторов для всех инцидентов.

Функциональность доступна после добавления лицензионного ключа.

Чтобы просмотреть результаты инференса элементов ML-модели:

  1. В основном меню выберите раздел Мониторинг.
  2. На открывшейся странице в раскрывающемся списке Элемент модели выберите один или несколько элементов ML-модели.

    Названия элементов отображаются в формате <название ML-модели> Пиктограмма в виде зеркального отражения математического знака включения. <название элемента>.

    На графических областях выбранного пресета отобразятся значения тегов, поступающих в Kaspersky MLAD за выбранный интервал времени. Если вы настроили отображение графиков, то на графиках единичных графических областей также отобразятся артефакты, связанные с тегами таких областей и сформированные элементами ML-моделей, в составе которых используются эти теги.

    В центральной части раздела отобразятся графики артефактов выбранных элементов ML-моделей. Значения, отображаемые на графиках, зависят от аналитических алгоритмов, используемых элементами для выявления аномалий.

    Если требуется скрыть отображение артефактов какого-либо выбранного ранее элемента ML-модели, нажмите на значок Пиктограмма в виде крестика. рядом с этим элементом.

  3. Если требуется отображать график артефакта определенного элемента ML-модели в нижней части раздела, выполните следующие действия:
    1. Нажмите на кнопку Пиктограмма в виде шестеренки. под графиками тегов в левой части страницы.

      Справа отобразится панель Параметры отображения графика артефакта элемента ML-модели.

    2. В раскрывающемся списке Элемент модели выберите элемент ML-модели. Вы можете выбрать только один элемент ML-модели из списка.
    3. Нажмите на кнопку Закрыть.

    На графике артефакта элемента ML-модели отобразится значение артефакта этого элемента в виде красной линии. Область графика, в которой значение артефакта превышает заданный порог (оранжевая линия), окрашивается в красный цвет.

В нижней части графика отобразятся точки-индикаторы инцидентов, зарегистрированных выбранными элементами ML-модели. Если включен режим отображения индикаторов для всех инцидентов, то отобразятся точки-индикаторы инцидентов, зарегистрированных всеми ML-моделями, а также детектором Limit Detector.

В начало

[Topic 248068]

Выбор интервала времени в разделе Мониторинг

Kaspersky MLAD позволяет выбирать временной интервал (масштаб) отображения поступающих данных.

Чтобы выбрать временной интервал:

  1. В основном меню выберите раздел Мониторинг.
  2. На открывшейся странице в раскрывающемся списке выберите нужный интервал времени. По умолчанию для выбора доступны следующие значения:
    • 1, 5, 10, 15 и 30 минут;
    • 1, 3, 6 и 12 часов;
    • 1, 2, 15 и 30 дней;
    • 3 и 6 месяцев;
    • 1, 2 и 3 года.

    Если требуется, системный администратор может создать, изменить или удалить временные интервалы.

На графиках выбранного пресета отобразятся значения тегов и результаты инференса выбранных элементов ML-моделей за выбранный интервал времени.

В начало

[Topic 248069]

Настройка параметров отображения графиков в разделе Мониторинг

Kaspersky MLAD позволяет настроить параметры отображения графических областей пресетов в разделе Мониторинг.

Чтобы настроить параметры отображения графических областей пресетов:

  1. В основном меню выберите раздел Мониторинг.
  2. На открывшейся странице нажмите на кнопку Пиктограмма в виде шестеренки. в верхней части экрана.

    Справа отобразится панель Параметры отображения графиков.

  3. В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.

    По умолчанию параметр Высота графиков имеет значение 55 px.

  4. В раскрывающемся списке Для перехода в раздел История использовать выберите пресет, графики которого по умолчанию будут отображаться при переходе в раздел История.
  5. Если требуется, включите переключатель Отображать графики наблюдений в выбранном цвете и в поле Цвет графиков наблюдений выберите цвет.
  6. Если требуется, включите переключатель Отображать графики прогнозов в выбранном цвете и в поле Цвет графиков прогнозов выберите цвет.
  7. С помощью переключателя Имя и описание тега включите или выключите отображение имен и описаний тегов слева от графиков.
  8. С помощью переключателя Прогнозируемое значение тега включите или выключите отображение прогнозируемых значений тегов на графиках.
  9. С помощью переключателя Индивидуальная ошибка тега включите или выключите отображение индивидуальных ошибок прогноза значений тегов на графиках.
  10. С помощью переключателя Отображать индикаторы для всех инцидентов включите или выключите отображение точек-индикаторов инцидентов, зарегистрированных всеми ML-моделями, а также детектором Limit Detector.

    Если этот переключатель выключен, то будут отображаться только точки-индикаторы для инцидентов, которые были зарегистрированы выбранными элементами ML-модели.

  11. Если требуется отображать установленные технические пределы для тегов на графиках, выполните следующие действия:
    1. Включите переключатель Пороги блокировки.
    2. Если требуется всегда отображать установленные технические пределы, включите переключатель Всегда показывать пороги блокировки.

      Если этот переключатель выключен, то технические пределы будут отображаться, только если значение какого-либо тега приблизилось к соответствующему пределу в отображаемой на экране области графика.

  12. С помощью переключателя Дополнительные пороговые линии включите или выключите отображение дополнительных пороговых линий на графике.
  13. Нажмите на кнопку Закрыть для возвращения к просмотру графиков в разделе Мониторинг.

Заданные параметры отображения графических областей пресетов в разделе Мониторинг будут применены.

В начало

[Topic 248070]

Просмотр данных в разделе История

В разделе История доступна история поступивших данных, результат их обработки Kaspersky MLAD с формированием артефактов ML-модели и информацией о зарегистрированных инцидентах.

Центральная часть раздела История представляет собой совокупность горизонтальных сегментов, предназначенных для отображения графиков. Каждый такой сегмент называется графической областью. Первыми отображаются графические области для выбранного пресета. В одной графической области пресета может отображаться график одного тега или графики нескольких тегов, наложенные друг на друга. Состав тегов, данные которых отображаются в графической области, вы можете определить при создании пресета. На графиках отображаются значения тегов пресета, поступивших в Kaspersky MLAD от объекта мониторинга за выбранный интервал времени. Вы можете выбрать элементы ML-моделей и настроить отображение графиков, чтобы на графиках единичных графических областей также отображались артефакты, связанные с тегами таких областей и сформированные элементами ML-моделей, в составе которых используются эти теги.

После графических областей пресета отображаются графические области для каждого выбранного элемента ML-модели. В таких графических областях отображаются графики артефактов элементов ML-модели. Значение артефакта элемента ML-модели зависит от аналитических алгоритмов, используемых элементом, и отображается в виде цветной линии. Цвет этой линии соответствует цвету, выбранному для параметра Цвет точек-индикаторов инцидентов при создании соответствующего элемента. На графиках также отображается оранжевая линия, которая соответствует порогу, при превышении которого элемент ML-модели регистрирует инцидент.

В нижней части раздела расположена графическая область, отображающая график артефакта элемента ML-модели, выбранного в панели Параметры отображения графика артефакта элемента ML-модели. Красная линия на графике соответствует значению артефакта элемента ML-модели, а оранжевая линия соответствует порогу, при превышении которого Kaspersky MLAD регистрирует инцидент. Область графика, в которой значение артефакта элемента ML-модели превышает заданный порог, окрашивается в красный цвет. Снизу от графика отображаются цветные точки-индикаторы, соответствующие зарегистрированным инцидентам.

В зависимости от выбранного масштаба времени и плотности инцидентов одна точка-индикатор может соответствовать одному или нескольким близко расположенным инцидентам, зарегистрированным одним или несколькими элементами ML-моделей. Для точек-индикаторов, которые соответствуют инцидентам, зарегистрированным одним элементом ML-модели, цвет задается при создании этого элемента. Для точек-индикаторов, которые соответствуют группе инцидентов, зарегистрированных разными элементами, зарезервирован фиолетовый цвет. Для точек-индикаторов, которые соответствуют инцидентам, зарегистрированным детектором Limit Detector, зарезервирован красный цвет.

Окно раздела "История" содержит информацию об обработке исторических данных.

Раздел История

В этом разделе

Просмотр исторических данных для определенного пресета

Выбор элементов ML-модели в разделе История

Выбор даты и интервала времени в разделе История

Навигация по времени в разделе История

Настройка параметров отображения графиков в разделе История

В начало

[Topic 248071]

Просмотр исторических данных для определенного пресета

Kaspersky MLAD позволяет выбирать пользовательские пресеты, для которых отображаются исторические данные. Если вы хотите просмотреть исторические данные тегов из динамического пресета Теги инцидента #<идентификатор инцидента>, в разделе Инциденты вам нужно нажать на дату регистрации инцидента. Динамический пресет Теги инцидента #<идентификатор инцидента> содержит теги, оказавшие наибольшее влияние на формирование зарегистрированного инцидента.

Чтобы просмотреть исторические данные для определенного пресета:

  1. В основном меню выберите раздел История.
  2. На открывшейся странице в раскрывающемся списке Пресет выберите необходимый пресет.

На странице отобразятся графики для тегов, которые входят в выбранный пресет, в соответствии с параметрами графических областей, заданными при создании этого пресета.

Вы можете просматривать всю историю данных, используя навигацию по времени. Если необходимо, вы можете изменить дату и интервал времени или выбрать элементы ML-моделей для просмотра результатов их работы. Также вы можете изменить состав отображаемых тегов, изменив пресет.

В начало

[Topic 248072]

Выбор элементов ML-модели в разделе История

В разделе История доступна история поступивших данных, результат их обработки Kaspersky MLAD с формированием артефактов выбранными элементами ML-моделями и регистрацией инцидентов.

Если для объекта мониторинга используются разные ML-модели для обработки данных, Kaspersky MLAD позволяет выбрать несколько элементов ML-моделей для отображения результатов их инференса. Для детектора Limit Detector элемент ML-модели не создается. Точки-индикаторы инцидентов, зарегистрированных с помощью этого детектора, отображаются, если включено использование детектора Limit Detector и включен режим отображения индикаторов для всех инцидентов.

Функциональность доступна после добавления лицензионного ключа.

Чтобы просмотреть результаты инференса элементов ML-модели:

  1. В основном меню выберите раздел История.
  2. На открывшейся странице в раскрывающемся списке Элемент модели выберите один или несколько элементов ML-модели.

    Названия элементов отображаются в формате <название ML-модели> Пиктограмма в виде зеркального отражения математического знака включения. <название элемента>.

    На графических областях выбранного пресета отобразятся значения тегов, поступивших в Kaspersky MLAD за выбранный интервал времени. Если вы настроили отображение графиков, то на графиках единичных графических областей также отобразятся артефакты, связанные с тегами таких областей и сформированные элементами ML-моделей, в составе которых используются эти теги.

    В центральной части раздела отобразятся графики артефактов выбранных элементов ML-моделей. Значения, отображаемые на графиках, зависят от аналитических алгоритмов, используемых элементами для выявления аномалий.

    Если требуется скрыть отображение артефактов какого-либо выбранного ранее элемента ML-модели, нажмите на значок Пиктограмма в виде крестика. рядом с этим элементом.

  3. Если требуется отображать график артефакта определенного элемента ML-модели в нижней части раздела, выполните следующие действия:
    1. Нажмите на кнопку Пиктограмма в виде шестеренки. под графиками тегов в левой части страницы.

      Справа отобразится панель Параметры отображения графика артефакта элемента ML-модели.

    2. В раскрывающемся списке Элемент модели выберите элемент ML-модели. Вы можете выбрать только один элемент ML-модели из списка.
    3. Нажмите на кнопку Закрыть.

    На графике артефакта элемента ML-модели отобразится значение артефакта выбранного элемента в виде красной линии. Область графика, в которой значение артефакта превышает заданный порог (оранжевая линия), окрашивается в красный цвет.

В нижней части графика отобразятся точки-индикаторы инцидентов, зарегистрированных выбранными элементами ML-модели. Если включен режим отображения индикаторов для всех инцидентов, то отобразятся точки-индикаторы инцидентов, зарегистрированных всеми ML-моделями, а также детектором Limit Detector.

В начало

[Topic 248073]

Выбор даты и интервала времени в разделе История

Kaspersky MLAD позволяет выбрать дату, а также фиксированный интервал времени (масштаб) отображения исторических данных или произвольный интервал времени, например, когда был зафиксирован инцидент.

Чтобы выбрать дату для отображения исторических данных:

  1. В основном меню выберите раздел История.
  2. Нажмите на кнопку Пиктограмма в виде календаря. и в открывшемся окне выберите дату и время, для которых требуется отображать исторические данные на графиках.
  3. Нажмите на кнопку Применить.

    На графиках вертикальная синяя линия будет указывать на выбранную дату и время (центр графика).

  4. Если требуется выбрать другие дату и время (точку) на графике, нажмите на кнопку Пиктограмма в виде метки местоположения. слева от оси времени, и выберите нужную точку.

    Выбранная точка станет новым центром графика. Вертикальная синяя пунктирная линия будет указывать на выбранные дату и время.

Чтобы выбрать интервал времени для отображения исторических данных:

  1. В основном меню выберите раздел История.
  2. На открывшейся странице выполните одно из следующих действий:
    • Если требуется отображать данные за фиксированный интервал времени, в раскрывающемся списке выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
      • 1, 5, 10, 15 и 30 минут;
      • 1, 3, 6 и 12 часов;
      • 1, 2, 15 и 30 дней;
      • 3 и 6 месяцев;
      • 1, 2 и 3 года.

      При необходимости системный администратор может создать, изменить или удалить временные интервалы.

    • Если требуется отображать данные за произвольный интервал времени, нажмите на кнопку Пиктограмма в виде двух параллельных стрелок, направленных в разные стороны., которая расположена слева от оси времени, выберите на оси времени нужный интервал и нажмите на Пиктограмма в виде галочки в круге.. Если требуется еще раз изменить масштаб, повторите это действие.

На графиках выбранного пресета отобразятся значения тегов и результаты инференса выбранных элементов ML-моделей за выбранный интервал времени.

В начало

[Topic 248074]

Навигация по времени в разделе История

Kaspersky MLAD предоставляет возможность навигации по времени для удобного просмотра исторических данных.

Чтобы использовать навигацию по времени при просмотре данных:

  1. В основном меню выберите раздел История.
  2. На открывшейся странице выберите интервал времени, за который требуется просмотреть данные.
  3. С помощью кнопок Пиктограмма в виде открывающей угловой скобки. и Пиктограмма в виде закрывающей угловой скобки., расположенных в верхней части страницы, перемещайтесь по оси времени влево или вправо.

Сдвиг по оси времени на графике просмотра исторических данных будет происходить на выбранный интервал времени.

На изображении выбран интервал 15 минут.

Навигация по времени

На графиках вертикальная синяя пунктирная линия указывает на середину выбранного временного интервала и совпадает с выбранными датой и временем. Если выбран интервал 1 день, то на графике отображаются исторические данные за 12 часов до и после выбранных даты и времени относительно пунктирной линии. Если требуется, вы можете изменить временной интервал.

В начало

[Topic 248075]

Настройка параметров отображения графиков в разделе История

Kaspersky MLAD позволяет настроить параметры отображения графических областей пресетов в разделе История.

Чтобы настроить параметры отображения графических областей:

  1. В основном меню выберите раздел История.
  2. На открывшейся странице нажмите на кнопку Пиктограмма в виде шестеренки. в верхней части экрана.

    Справа отобразится панель Параметры отображения графиков.

  3. В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.

    По умолчанию параметр Высота графиков имеет значение 55 px.

  4. Если требуется, включите переключатель Отображать графики наблюдений в выбранном цвете и в поле Цвет графиков наблюдений выберите цвет.
  5. Если требуется, включите переключатель Отображать графики прогнозов в выбранном цвете и в поле Цвет графиков прогнозов выберите цвет.
  6. С помощью переключателя Имя и описание тега включите или выключите отображение имен и описаний тегов слева от графиков.
  7. С помощью переключателя Прогнозируемое значение тега включите или выключите отображение прогнозируемых значений тегов на графиках.
  8. С помощью переключателя Индивидуальная ошибка тега включите или выключите отображение индивидуальных ошибок прогноза значений тегов на графиках.
  9. С помощью переключателя Отображать индикаторы для всех инцидентов включите или выключите отображение точек-индикаторов инцидентов, зарегистрированных всеми ML-моделями, а также детектором Limit Detector.

    Если этот переключатель выключен, то будут отображаться только точки-индикаторы для инцидентов, которые были зарегистрированы выбранными элементами ML-модели.

  10. Если требуется отображать установленные технические пределы для тегов на графиках, выполните следующие действия:
    1. Включите переключатель Пороги блокировки.
    2. Если требуется всегда отображать установленные технические пределы, включите переключатель Всегда показывать пороги блокировки.

      Если этот переключатель выключен, то технические пределы будут отображаться, только если значение какого-либо тега приблизилось к соответствующему пределу в отображаемой на экране области графика.

  11. С помощью переключателя Дополнительные пороговые линии включите или выключите отображение дополнительных пороговых линий на графике.
  12. Нажмите на кнопку Закрыть для возвращения к просмотру графиков в разделе История.

Заданные параметры отображения графических областей пресетов в разделе История будут применены.

В начало

[Topic 248076]

Просмотр данных в разделе Временной срез

В разделе Временной срез вы можете просматривать значения технологических параметров, полученные от датчиков объекта мониторинга в один и тот же момент времени. Датчики должны быть однотипными (иметь одинаковую размерность) и расположены в пространстве линейно, например, датчики давления в трубе нефтепровода.

Данные представлены в виде графиков, которые позволяют увидеть, был ли зафиксирован инцидент в выбранный момент времени и где находится вероятный источник инцидента.

В нижней части страницы расположен блок, отображающий индивидуальные ошибки тегов. Данные представлены в виде столбчатой диаграммы. Величина ошибки для каждого тега отображается при наведении курсора мыши на столбец. Справа от графиков тегов пресета расположен график ошибки прогноза.

В разделе Временной срез в раскрывающемся списке вы можете выбрать пресет, дату и время получения данных. В список входят специальные пресеты, которые можно создать в разделе Пресеты. В специальном пресете должны присутствовать только однотипные теги, у которых указаны координаты по оси абсцисс. Вы можете дополнительно указать динамически вычисляемые для каждого тега выражения, основанные на реальных и прогнозируемых значениях тегов, индивидуальных ошибках прогноза, а также значениях координат тегов и задаваемых в выражениях константах.

Также вы можете настроить отображение графиков, выбрать интервал времени для просмотра данных, а также выбрать определенный элемент ML-модели, чтобы просмотреть индивидуальные ошибки тегов пресета, полученные в результате обработки данных выбранным элементом ML-модели.

Результаты обработки данных возможно просмотреть только для предиктивных элементов ML-модели.

Окно раздела "Временной срез" содержит информацию о значениях тегов, полученных от датчиков объекта мониторинга в один и тот же момент времени.

Раздел Временной срез

В этом разделе

Просмотр данных для определенного пресета в разделе Временной срез

Выбор определенного элемента ML-модели в разделе Временной срез

Выбор даты и интервала времени в разделе Временной срез

Навигация по времени в разделе Временной срез

Настройка параметров отображения графиков в разделе Временной срез

В начало

[Topic 248077]

Просмотр данных для определенного пресета в разделе Временной срез

Чтобы просмотреть данные для определенного пресета:

  1. В основном меню выберите раздел Временной срез.
  2. На открывшейся странице в раскрывающемся списке Пресет выберите необходимый пресет.

На странице отобразятся графики для тегов, которые входят в выбранный пресет.

Если требуется, вы можете изменить временной интервал отображения данных, настроить отображение графика или выбрать элемент ML-модели. Также вы можете изменить состав отображаемых тегов, изменив пресет.

В начало

[Topic 248078]

Выбор определенного элемента ML-модели в разделе Временной срез

Если для объекта мониторинга используется ML-модель, которая имеет несколько элементов для обработки и прогнозирования данных, Kaspersky MLAD позволяет выбрать определенный элемент ML-модели для отображения в разделе Временной срез индивидуальных ошибок тегов, полученных в результате работы этого элемента.

Функциональность доступна после добавления лицензионного ключа.

Результаты обработки данных возможно просмотреть только для предиктивных элементов ML-модели.

Чтобы просмотреть индивидуальные ошибки тега, полученные в результате обработки данных определенным элементом ML-модели:

  1. В основном меню выберите раздел Временной срез.
  2. На открывшейся странице в раскрывающемся списке Элемент модели выберите нужный элемент ML-модели.

    Названия элементов отображаются в формате <название ML-модели> Пиктограмма в виде зеркального отражения математического знака включения. <название элемента>.

В нижней части раздела отобразятся индивидуальные ошибки тегов, полученные в результате обработки данных выбранным элементом ML-модели.

В начало

[Topic 248079]

Выбор даты и интервала времени в разделе Временной срез

Kaspersky MLAD позволяет выбрать дату и временной интервал (масштаб) отображения поступающих данных.

Чтобы выбрать дату для отображения поступающих данных:

  1. В основном меню выберите раздел Временной срез.
  2. Нажмите на кнопку Пиктограмма в виде календаря. и в открывшемся окне выберите дату и время, для которых требуется отображать данные.
  3. Нажмите на кнопку Применить.

    На графиках отобразятся значения тегов для выбранных даты и времени.

Чтобы выбрать интервал времени для отображения поступающих данных:

  1. В основном меню выберите раздел Временной срез.
  2. На открывшейся странице в раскрывающемся списке в верхней части страницы выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
    • 1, 5, 10, 15 и 30 минут;
    • 1, 3, 6 и 12 часов;
    • 1, 2, 15 и 30 дней;
    • 3 и 6 месяцев;
    • 1, 2 и 3 года.

    Если требуется, системный администратор может создать, изменить или удалить временные интервалы.

На странице отобразятся графики заданного пресета для выбранного интервала времени.

В начало

[Topic 248080]

Навигация по времени в разделе Временной срез

Kaspersky MLAD предоставляет возможность навигации по времени для удобного просмотра данных.

Чтобы использовать навигацию по времени при просмотре данных:

  1. В основном меню выберите раздел Временной срез.
  2. На открывшейся странице выберите интервал времени, за который требуется просмотреть данные.
  3. С помощью кнопок Пиктограмма в виде открывающей угловой скобки. и Пиктограмма в виде закрывающей угловой скобки., расположенных в верхней части страницы, перемещайтесь по оси времени влево или вправо.

Сдвиг по оси времени на графике просмотра данных будет происходить на выбранный интервал времени.

На изображении выбран интервал 15 минут.

Навигация по времени

В начало

[Topic 248081]

Настройка параметров отображения графиков в разделе Временной срез

Kaspersky MLAD позволяет настроить параметры отображения графиков пресетов в разделе Временной срез.

Чтобы настроить параметры отображения графиков пресетов:

  1. В основном меню выберите раздел Временной срез.
  2. На открывшейся странице нажмите на кнопку Пиктограмма в виде шестеренки., которая расположена в верхней части экрана.

    Справа отобразится панель Параметры отображения графиков.

  3. В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.

    По умолчанию параметр Высота графиков имеет значение 55 px.

  4. Нажмите на кнопку Закрыть для возвращения к просмотру графиков.

Заданные параметры отображения графиков будут применены.

В начало

[Topic 248082]

Работа с событиями и паттернами

В разделе Процессор событий представлены данные о событиях, а также структуре

, выявленных с помощью службы Event Processor в потоке событий, которые поступают от внешних источников и от службы Anomaly Detector.

В разделе Процессор событий вы можете просматривать историю полученных событий и историю регистрации новых и/или устойчиво повторяющихся паттернов. Вы также можете настраивать отображение параметров событий и параметры регистрации паттернов. На вкладке Мониторинг вы можете осуществлять мониторинг определенных событий, паттернов или значений параметров событий, а также обобщенных событий и паттернов, поступающих в процессор событий в потоке данных от объектов мониторинга.

Функциональность доступна после добавления лицензионного ключа.

В случае перезапуска Kaspersky MLAD восстанавливает состояние службы Event Processor и приостанавливает обработку данных, поступающих от коннектора CEF Connector. Эти данные временно сохраняются во внутренней очереди брокера сообщений программы. До восстановления службы Event Processor на вкладках раздела Процессор событий будет отображаться уведомление о том, что служба Event Processor остановлена. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления службы может занимать несколько минут.

Вкладка "История событий" содержит информацию о событиях, поступивших от внешних источников событий.

Раздел Процессор событий

В этом разделе

О процессоре событий

Настройка отображения параметров событий

Настройка параметров конфигурации внимания

Работа с мониторами

Просмотр истории событий

Просмотр истории паттернов

В начало

[Topic 247975]

О процессоре событий

Процессор событий в составе Kaspersky MLAD предназначен для выявления в потоке событий, поступающих от объектов мониторинга, закономерностей в виде повторяющихся событий и паттернов, а также для выявления новых событий и паттернов. Новые события и паттерны могут указывать на аномалию в работе объекта мониторинга.

Вы также можете сфокусировать внимание процессора события на общее поведение объекта мониторинга. Процессор событий будет регистрировать обобщенные события и паттерны, в составе которых будут отсутствовать обобщенные параметры событий.

В этом разделе

О событиях

О паттернах

О механизме внимания

О режимах работы процессора событий

О мониторах

В начало

[Topic 247976]

О событиях

Служба Event Processor обрабатывает данные, поступающие от объектов мониторинга и от службы Anomaly Detector, в виде событий. Событие – это набор значений из заранее заданного перечня параметров, описывающих то, что произошло на объекте мониторинга в определенный момент времени. Набор параметров событий зависит от объекта мониторинга и задается в конфигурационном файле для службы Event Processor.

Процессор событий предназначен для работы только с категориальными значениями параметров событий. Значения параметров событий преобразуются к строковому типу. Для работы с численными значениями данных телеметрии при обработке потока событий Kaspersky MLAD использует службу Anomaly Detector. Системный администратор может включить обработку инцидентов от службы Anomaly Detector при настройке параметров службы Event Processor.

Событие представляет собой явление, обособленное от других событий, и при этом могут существовать интервалы времени, в течение которых никаких событий не происходило. На регистрацию события могут повлиять такие факторы, как действия персонала, изменение режима работы устройства на предприятии или выполнение специалистом команд на АСУ ТП.

Примеры ситуаций, которые могут привести к регистрации событий в Kaspersky MLAD

Примеры событий приведены для разных объектов мониторинга.

  • Вход сотрудника.
    • Время события: 10.11.21 09:03;
    • Параметры события:
      • Источник: СКУД;
      • Сотрудник: Иванов;
      • Пост: дверь машзала, внешняя сторона;
      • Результат: Проход.
  • Запуск установки.
    • Время события: 10.11.21 09:09;
    • Параметры события:
      • Источник: АРМ оператора;
      • Пользователь: Иванов;
      • Оборудование: Установка №1;
      • Команда: Поджиг включен;
      • Ток: 44 А;
      • Продолжительность: 10 сек.
  • Выход на режим.
    • Время события: 10.11.21 09:24;
    • Параметры события:
      • Источник: АСУ ТП;
      • Оборудование: Установка №1;
      • Номинальный режим: True.

Событие регистрируется службой Event Processor один раз. При поступлении потока событий процессор событий распознает ранее выявленные события. В случае обнаружения событий, которые не соответствуют ранее выявленным, процессор событий регистрирует новые события.

Вы можете просмотреть полученные события в виде графа или таблицы. Для просмотра событий требуется загрузить их в разделе Процессор событийИстория событий. Параметры событий, указанные в конфигурационном файле для службы Event Processor, могут встречаться не во всех событиях, поступающих от объекта мониторинга. Таким образом, при просмотре полученных событий часть параметров может отсутствовать.

См. также

Просмотр истории событий

В начало

[Topic 247977]

О паттернах

В потоке событий, поступающих от объекта мониторинга, процессор событий выявляет закономерности в виде иерархии стабильных (устойчиво повторяющихся) паттернов. Такие закономерности могут быть представлены простыми паттернами (последовательностью событий) или составными паттернами (последовательностью паттернов). В свою очередь паттерны, образующие составной паттерн, называются вложенными.

Последовательность событий или паттернов считается повторяющейся, если составляющие ее элементы следуют в одном и том же порядке, при этом интервалы времени между аналогичными элементами в разных последовательностях отличаются друг от друга не более чем на некоторый максимально допустимый диапазон. Допустимый диапазон интервалов между элементами паттерна рассчитывается с учетом значения параметра Коэффициент, определяющий допустимую дисперсию длительности паттерна. Паттерны обусловлены сложившимися на предприятии практиками, регламентами или техническими особенностями производственного процесса.

Процессор событий представляет выявленные закономерности как послойную иерархию вложенных элементов (структуру паттерна) до уровня событий. События являются элементами первого слоя, простые паттерны – элементами второго слоя, составные паттерны – элементами третьего слоя и выше. Значения параметров события являются элементами нулевого слоя.

Паттерн регистрируется службой Event Processor один раз. При поступлении потока событий процессор событий распознает ранее выявленные паттерны. В случае обнаружения паттернов, которые не соответствуют ранее выявленным закономерностям, процессор событий регистрирует новые паттерны.

К новым паттернам будут относиться последовательности событий или паттернов как с нарушением порядка или состава вложенных паттернов (например, включение агрегата до того, как оператор появился на рабочем месте), так и со значительным изменением интервалов между событиями или вложенными паттернами при сохранении их последовательности (например, включение агрегата через слишком короткий или, наоборот, слишком длинный интервал времени после появления оператора на рабочем месте). Таким образом, процессор событий регистрирует паттерны с новой структурой.

Новые паттерны могут указывать на аномалию в работе объекта мониторинга. Вы можете просмотреть структуру нового паттерна для изучения ее отклонений от структуры ранее выявленных закономерностей.

Если вновь выявленная последовательность событий или паттернов начинает устойчиво повторяться, такая последовательность превращается в стабильный паттерн.

При необходимости служба Event Processor может регистрировать паттерны, в которых не являются важными значения одного или нескольких параметров событий (например, имя сотрудника, который включил агрегат). Такие паттерны называются обобщенными. Для регистрации обобщенных паттернов необходимо при настройке параметров конфигурации внимания задать Обобщенное внимание в качестве типа внимания. Вы также можете указать Обобщенный параметр в качестве типа условия при настройке параметров условий к предмету внимания. Параметры предмета и условий внимания, заданные в качестве обобщенных, не будут отображаться при просмотре структуры обобщенных паттернов на вкладке История паттернов.

В начало

[Topic 247978]

О механизме внимания

Поток событий, поступающих от объекта мониторинга, как правило, содержит множество несвязанных между собой событий. Служба Event Processor поддерживает механизм внимания, который позволяет выявлять паттерны на определенном подмножестве событий из всего потока.

Внимание – это специальная конфигурация процессора событий, которую требуется настроить для отслеживания событий и паттернов по отдельным подмножествам истории событий, а также для выявления общности в поведении объекта мониторинга.

Основой конфигурации внимания служат головы внимания, которые задают значение параметра предмета внимания и значения параметров условий к предмету внимания. Предмет внимания соответствует основному параметру события, по которому процессор событий будет регистрировать события и паттерны, а условия соответствуют дополнительным критериям регистрации событий и паттернов для других параметров событий. Голова внимания обрабатывает из всего потока входных событий только те события, которые удовлетворяют обозначенному предмету внимания и условиям. Процессор событий может обрабатывать поток событий для нескольких голов внимания одновременно.

Процессор событий может регистрировать обобщенные события и паттерны для отслеживания общего поведения по разным значениям параметра предмета внимания. Для этого при настройке параметров предмета внимания необходимо задать Обобщенное внимание в качестве типа внимания. Вы также можете указать Обобщенный параметр в качестве типа условия при настройке параметров условий к предмету внимания. Параметры предмета и условий внимания, заданные в качестве обобщенных, не будут отображаться при просмотре обобщенных событий или паттернов, но будут влиять на правила выделения этих обобщенных событий и паттернов из потока.

Вы можете настроить параметры конфигурации внимания в разделе Процессор событий.

В начало

[Topic 247979]

О режимах работы процессора событий

В Kaspersky MLAD предусмотрены следующие режимы работы службы Event Processor:

  • Основной режим. В основном режиме работы процессор событий обрабатывает входящий поток событий в виде эпизодов. Эпизод – это последовательность событий из всего потока, ограниченная по времени и/или количеству событий. Эпизод считается сформированным при выполнении одного из следующих условий:

    По полученному в потоке событий эпизоду служба Event Processor выявляет новые и/или повторяющиеся (стабильные) события и паттерны по каждой из заданных голов внимания. Вы можете настроить головы внимания в разделе Процессор событий.

    При поступлении события, временная метка которого относится к ранее обработанному эпизоду, служба Event Processor не пересматривает структуру паттернов, выявленных при обработке этого эпизода. Служба Event Processor учитывает события, поступившие в Kaspersky MLAD с временной задержкой, при выявлении паттернов во время повторной обработки истории событий в режиме сна.

  • Режим сна. Для улучшения качества выявленных паттернов и их структуры процессор событий может переходить в режим сна в соответствии с заданным расписанием. Обработка потока событий в онлайн-режиме приостанавливается, при этом Kaspersky MLAD накапливает поступающие события во внутреннем ограниченном буфере сервера для последующей обработки после перехода из режима сна в основной режим работы.

    В режиме сна процессор событий повторно анализирует последовательности событий, обработанные ранее в основном режиме работы. Для выявления более сложных структур паттернов в режиме сна процессор событий обрабатывает последовательности событий за более длительные интервалы времени, чем время накопления эпизода в основном режиме.

    В параметрах службы Event Processor вы можете настроить расписание режима сна (например, на время, когда поток событий наименее интенсивен), а также интервал времени, за который требуется передать события, проанализированные в основном режиме работы, на повторную обработку.

В начало

[Topic 247980]

О мониторах

Монитор – источник извещений о выявлении процессором событий паттернов, событий или значений параметров событий в соответствии с заданными критериями мониторинга. Критерии мониторинга определяют голову внимания, дополнительные фильтры на значения параметров событий, а также скользящий временной интервал и количество последовательных активаций монитора на скользящем временном интервале.

Вы можете создать мониторы для оповещения о выявлении следующих вхождений в потоке событий:

  • Значения параметров событий. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся значений определенного параметра события. Например, если вы хотите отслеживать новых пользователей на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Значения параметров и настроить его на выявление новых значений по параметру Пользователь.
  • События. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся событий. Вы также можете сфокусировать внимание процессора событий на определенном параметре событий. Например, если вы хотите отслеживать новые действия конкретного пользователя на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки События и в параметре события Пользователь указать имя пользователя, действия которого вы хотите отслеживать.
  • Паттерны. Вы можете создать монитор для оповещения о выявлении новых или ранее встречавшихся паттернов. Например, если вы хотите отслеживать закономерности в действиях конкретного пользователя на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Паттерны, сфокусировать внимание процессора событий на параметре Пользователь и указать в этом параметре имя пользователя, закономерности в действиях которого вы хотите отслеживать.
  • Похожие обобщенные события или паттерны. Вы можете создать монитор для оповещения о выявлении похожих обобщенных событий или паттернов. Если вы хотите отслеживать общие закономерности в действиях различных пользователей на объекте мониторинга, то при создании монитора вам нужно выбрать тип подписки Похожие обобщенные, выбрать голову с обобщенным вниманием на параметре Пользователь, а также выбрать вариант Подписка на паттерны для параметра Подписка на события или паттерны.
  • Уникальные обобщенные события или паттерны. Вы можете создать монитор для оповещения о выявлении уникальных обобщенных событий или паттернов. Например, если вы хотите отслеживать новые общие закономерности в действиях любого пользователя, то при создании монитора вам нужно выбрать тип подписки Уникальные обобщенные, выбрать голову с обобщенным вниманием на параметре Пользователь и условиями на дополнительные параметры, соответствующим ожиданиям в поведении разных пользователей, и выбрать вариант Подписка на паттерны для параметра Подписка на события или паттерны. Вам также нужно указать в параметре Скользящее окно (сек.) интервал времени, в течение которого процессор событий будет ожидать похожий обобщенный паттерн по другим пользователям. Если процессор событий не обнаружит такой паттерн, монитор отправит оповещение об активации.

Фильтры в составе критериев мониторинга могут задаваться нечетко. Например, вы можете создать монитор для отслеживания ситуаций, при которых какой-либо пользователь (отслеживание по всем значениям параметра Пользователь) ходил к серверу бухгалтерии (значение параметра Сервер) более десяти раз (значение поля Порог активации) за последние пять минут (значение скользящего временного интервала).

При обнаружении в потоке поступающих данных событий, паттернов и значений параметров событий, соответствующих критериям мониторинга, процессор событий активирует монитор. Kaspersky MLAD отображает информацию о количестве активаций монитора при его просмотре, а также отправляет во внешнюю систему оповещения об активации мониторов при достижении заданного порога на скользящем окне с помощью коннектора CEF Connector.

Созданные пользователем мониторы отображаются в разделе Процессор событий на вкладке Мониторинг.

См. также

Работа с мониторами

Создание монитора

В начало

[Topic 284059]

Настройка отображения параметров событий

Перед обработкой событий службой Event Processor требуется настроить отображение параметров событий.

Функциональность доступна после добавления лицензионного ключа.

Чтобы настроить отображение параметров событий:

  1. В основном меню выберите раздел Процессор событий → Мониторинг.
  2. На открывшейся странице нажмите на кнопку Настройка отображения фильтров.

    Справа отобразится панель Настройка отображения фильтров параметров событий.

  3. Для настройки отображения фильтров параметров событий в блоке Фильтры на вкладках История событий и История паттернов установите флажки рядом с именами нужных параметров событий.

    По умолчанию в панели отображаются параметры событий от службы Anomaly Detector. Для отображения пользовательских параметров событий требуется загрузить конфигурационный файл службы Event Processor. По умолчанию выбраны все доступные параметры событий.

    Если включена функция Обрабатывать инциденты как события, то в процессор событий поступают события со следующими параметрами:

    • incident_detection_system – тип зарегистрированного инцидента.
    • incident_model_name – название используемой ML-модели.
    • incident_tag_name – название тега, поведение которого привело к регистрации инцидента.
    • incident_group_name – название группы инцидентов, в которую входит зарегистрированный инцидент.
    • incident_triggered_tag_value – значение тега, поведение которого привело к регистрации инцидента.
    • incident_id – идентификатор зарегистрированного инцидента.
    • incident_tag_id – идентификатор тега, поведение которого привело к регистрации инцидента.

    При необходимости вы можете изменить порядок отображения параметров событий в блоке Фильтры. Для этого нужно перетащить параметр события в нужное место в панели Настройка отображения фильтров параметров событий, удерживая за точки слева (Пиктограмма в виде шести точек в две колонны.) от имени нужного параметра события.

  4. Нажмите на кнопку Сохранить.

В начало

[Topic 248037]

Настройка параметров конфигурации внимания

Перед обработкой событий службой Event Processor требуется настроить параметры конфигурации внимания.

Основой конфигурации внимания служат головы внимания, которые задают значение параметра предмета внимания и значения параметров условий к предмету внимания. Предмет внимания соответствует основному параметру события, по которому процессор событий будет регистрировать события и паттерны, а условия соответствуют критериям регистрации событий и паттернов для других параметров событий. Голова внимания обрабатывает из всего потока входных событий только те события, которые удовлетворяют обозначенному предмету внимания и условиям.

Процессор событий может регистрировать обобщенные события и паттерны для отслеживания общего поведения по разным значениям параметра предмета внимания. Для этого при настройке параметров предмета внимания необходимо задать Обобщенное внимание в качестве типа внимания. Вы также можете указать Обобщенный параметр в качестве типа условия при настройке параметров условий к предмету внимания. Параметры предмета и условий внимания, заданные в качестве обобщенных, не будут отображаться в зарегистрированных событиях и паттернах, но будут влиять на правила выделения этих обобщенных событий и паттернов из потока

Все созданные головы внимания и информация о них отображается в панели Головы внимания. Для просмотра информации о головах внимания в панели Головы внимания необходимо нажать на кнопку Настройка конфигурации внимания.

  • Название – название головы внимания.
  • Параметр предмета внимания – имя параметра события, выбранного в качестве предмета внимания.
  • Тип внимания – тип внимания, в соответствии с которым процессор событий регистрирует события и паттерны.
  • Состояние – признак, указывающий, используется ли эта голова внимания.
  • Действия – кнопки, позволяющие изменить или удалить головы внимания.

В этом разделе

Добавление головы внимания

Изменение головы внимания

Удаление головы внимания

В начало

[Topic 290575]

Добавление головы внимания

Вы можете создать несколько голов внимания и использовать разные головы внимания для разных мониторов одновременно.

Функциональность доступна после добавления лицензионного ключа.

Большое количество голов внимания может привести к снижению производительности процессора событий и замедлению работы основных служб Kaspersky MLAD (прием данных, обнаружение аномалий, работа веб-интерфейса). Для уточнения количества голов внимания рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.

Чтобы добавить голову внимания:

  1. В основном меню выберите раздел Процессор событий → Мониторинг.
  2. На открывшейся странице нажмите на кнопку Настройка конфигурации внимания.

    Справа отобразится панель Головы внимания.

  3. Для добавления головы внимания нажмите на кнопку Добавить голову внимания.

    Справа отобразится панель Добавление головы внимания.

  4. В поле Название введите название головы внимания.
  5. Для использования головы внимания при обработке потока событий установите переключатель Состояние в положение Активна.
  6. В блоке параметров Предмет внимания выполните следующие действия:
    1. В раскрывающемся списке Параметр события выберите основной параметр события, по которому требуется регистрировать события и паттерны.
    2. В раскрывающемся списке Тип внимания выберите одно из следующих значений:
      • Внимание. При регистрации событий и паттернов внимание процессора событий будет направлено на выбранный параметр события с учетом выбранного значения.
      • Обобщенное внимание. При регистрации событий и паттернов процессор событий обобщит выбранные значения по выбранному параметру события.

        При выборе этого типа внимания процессор событий будет регистрировать обобщенные паттерны, при просмотре которых не будет отображаться выбранный параметр события с выбранным значением. Процессор событий будет отслеживать каждое заданное значение параметра события отдельно.

    3. Выполните одно из следующих действий:
      • Если требуется включить во внимание все значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Все значения.

        При выборе варианта Все значения процессор событий будет отслеживать события и паттерны по каждому конкретному значения параметра события отдельно. Для обеспечения стабильной производительности процессора событий рекомендуется указать конкретные значения предмета события.

      • Если требуется включить во внимание конкретные значения параметра события или обобщить эти значения во внимании, в раскрывающемся списке Тип значения выберите Определенные значения и введите нужное значение в поле Значение. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.

        Если вы выбрали Обобщенное внимание в качестве типа внимания, выберите не менее двух значений параметра события.

      • Если требуется включить во внимание значения параметра события по шаблону или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Регулярное выражение и введите шаблон значения с помощью регулярного выражения в поле Значение.

        Для поиска событий и паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.

  7. Если требуется обобщить остальные параметры событий, установите переключатель Обобщение параметров условий в положение Включено.

    Если в качестве типа внимания было выбрано обобщенное внимание, то при включенном переключателе процессор событий обобщит остальные параметры событий по всем их значениям. В таком случае процессор событий не зарегистрирует ни одного события или паттерна. Для того, чтобы процессор событий сформировал события или паттерны необходимо задать в блоке параметров Условия хотя бы один параметр события без обобщения по его значениям.

  8. Если требуется уточнить критерии регистрации паттернов по дополнительным параметрам событий, в блоке параметров Условия выполните следующие действия:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающемся списке Параметр события выберите дополнительный параметр события, по которому требуется уточнить выборку данных для регистрации событий и паттернов.
    3. В раскрывающемся списке Тип условия выберите одно из следующих значений:
      • Параметр. При регистрации событий и паттернов процессор событий будет учитывать значения выбранного параметра события с учетом выборки данных, полученных для основного параметра события.
      • Обобщенный параметр. При регистрации событий и паттернов внимание процессора событий обобщит значения выбранного параметра с учетом выборки данных, полученных для основного параметра события.

        При выборе этого типа условия процессор событий будет регистрировать паттерны, при просмотре которых не будет отображаться выбранный параметр события с выбранным значением.

        Это значение доступно, если для предмета внимания выбран тип Обобщенное внимание.

    4. Выполните одно из следующих действий:
      • Если требуется включить во внимание новые значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Новые значения.

        Элемент Новые значения доступен в следующих случаях:

        • В качестве типа условия выбран тип Параметр.
        • В качестве типа внимания выбран тип Внимание, переключатель Обобщение параметров условий выключен, а в качестве типа условия выбран тип Обобщенный параметр.
      • Если требуется включить во внимание все значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Все значения.

        Элемент Все значения доступен в следующих случаях:

        • Переключатель Обобщение параметров условий включен, а в качестве типа условия выбран тип Параметр.
        • Переключатель Обобщение параметров условий выключен, а в качестве типа условия выбран тип Обобщенный параметр.
      • Если требуется включить во внимание конкретные значения параметра события или обобщить эти значения во внимании, в раскрывающемся списке Тип значения выберите Определенные значения и введите нужное значение в поле Значение. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.
      • Если требуется включить во внимание значения параметра события по шаблону или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Регулярное выражение и введите шаблон значения с помощью регулярного выражения в поле Значение.

        Для поиска событий и паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.

    Вы можете задать более одного условия по дополнительным параметрам событий. При необходимости вы можете удалить ранее добавленное условие нажатием на кнопку Пиктограмма в виде корзины. напротив строки с нужным условием.

    Заданные условия будут дополнительно применены к выборке данных, полученных для основного параметра события, заданного в блоке параметров Предмет внимания. Например, если был выбран тип Обобщенное внимание, то при включенном переключателе Обобщение параметров условий процессор событий будет регистрировать паттерны, в составе которых будут отображаться только те параметры событий, которые были заданы в блоке параметров Условия, с учетом их выбранных значений. Если переключатель выключен, то процессор событий будет регистрировать паттерны, в составе которых не будут отображаться обобщенный параметр, заданный в блоке параметров Предмет внимания. При этом будут учитываться значения параметров событий, заданные в блоке параметров Условия.

  9. Нажмите на кнопку Сохранить.

Информация о новой голове внимания отобразится в таблице в панели Головы внимания. Если требуется, вы можете изменить название головы внимания, а также включить или выключить использование головы внимания при обработке событий.

В начало

[Topic 290576]

Изменение головы внимания

При необходимости вы можете включить или выключить использование головы внимания при обработке потока событий.

Изменение параметров предмета и условий внимания недоступно. Если требуется, вы можете удалить головы внимания или создать новые.

Функциональность доступна после добавления лицензионного ключа.

Чтобы изменить голову внимания:

  1. В основном меню выберите раздел Процессор событий → Мониторинг.
  2. На открывшейся странице нажмите на кнопку Настройка конфигурации внимания.

    Справа отобразится панель Головы внимания.

  3. Нажмите на кнопку Пиктограмма в виде карандаша. рядом с головой внимания, параметры которой требуется изменить.

    Справа отобразится панель Изменение головы внимания.

  4. Если требуется, измените название головы внимания.
  5. Выполните одно из следующих действий:
    • Если требуется использовать голову внимания при обработке потока событий, установите переключатель Состояние в положение Активна.
    • Если требуется выключить использование головы внимания при обработке потока событий, установите переключатель Состояние в положение Не активна.
  6. Нажмите на кнопку Сохранить.

В начало

[Topic 290578]

Удаление головы внимания

Функциональность доступна после добавления лицензионного ключа.

Чтобы удалить голову внимания:

  1. В основном меню выберите раздел Процессор событий → Мониторинг.
  2. На открывшейся странице нажмите на кнопку Настройка конфигурации внимания.

    Справа отобразится панель Головы внимания.

  3. Нажмите на кнопку Пиктограмма в виде корзины. рядом с головой внимания, которую требуется удалить.
  4. В открывшемся окне подтвердите удаление головы внимания.

Информация о голове внимания будет удалена из таблицы в панели Головы внимания. Паттерны, обнаруженные в соответствии с этой головой внимания, также будут удалены из Kaspersky MLAD.

В начало

[Topic 248083]

Работа с мониторами

Функциональность доступна после добавления лицензионного ключа.

В разделе Процессор событий → Мониторинг вы можете управлять мониторами для отслеживания определенных событий, паттернов или значений параметров событий, а также обобщенных событий или паттернов. Вы можете просматривать краткую статистику количества зарегистрированных активаций по каждому созданному монитору в виде гистограммы.

Работа с мониторами осуществляется на вкладке Мониторы. Вы можете перейти на вкладку нажатием на кнопку Пиктограмма в виде четырез прямугольников разных размеров с округленными углами. в правом верхнем углу раздела.

На вкладке отображаются все созданные в программе мониторы со следующей краткой информацией:

  • Название монитора.
  • Количество активаций монитора на скользящем окне.
  • Тип подписки монитора. Для каждого монитора могут отображаться следующие значения:
    • Значения параметров. Монитор отслеживает появление определенных значений параметров событий.
    • События. Монитор отслеживает появление определенных событий.
    • Паттерны. Монитор отслеживает появление закономерностей в поведении объекта мониторинга.
    • Уникальные обобщенные. Монитор отслеживает появление уникальных обобщенных событий или паттернов.
    • Похожие обобщенные. Монитор отслеживает появление похожих обобщенных событий или паттернов.
  • Порог активации – количество активаций монитора на скользящем окне, при достижении которого программа отправляет оповещение об активации монитора во внешнюю систему.
  • Период – скользящее окно, за время которого ведется учет количества активаций монитора.

При необходимости вы можете просмотреть подробную информацию о каждом мониторе. Для этого нажмите на карточку нужного монитора.

  • Название – название просматриваемого монитора.
  • Состояние – параметр, определяющий состояние монитора.
  • ID монитора – идентификатор просматриваемого монитора.
  • Количество активаций – количество зарегистрированных активаций монитора на скользящем окне.
  • Дата и время последней активации – дата и время, когда монитор в последний раз был активирован.
  • Размер списка активаций – параметр, величина которого определяет количество последних активаций монитора, отображаемых в таблице Список активаций.
  • Тип подписки – параметр, определяющий что отслеживает просматриваемый монитор: значения параметров событий, события или паттерны.
  • Скользящее окно – параметр, определяющий интервал времени от текущего момента времени назад по временной последовательности, в течение которого ведется учет количества активаций. Окно сдвигается синхронно течению времени по временным меткам в событиях.
  • Порог активации – количество активаций, которое должен зарегистрировать монитор на скользящем окне, прежде чем отправить во внешнюю систему оповещение об активации монитора с помощью коннектора CEF Connector.
  • Голова внимания – голова внимания, на которой сфокусировано внимание процессора событий. Этот параметр отображается только при активации монитора паттерном, уникальным или похожим обобщенным событием или паттерном.
  • Параметр предмета внимания – параметр предмета внимания, на котором сфокусировано внимание процессора событий. Этот параметр отображается только при активации монитора паттерном, уникальным или похожим обобщенным событием или паттерном.
  • Подписка на события – параметр, определяющий, отслеживает ли монитор обобщенные события. Этот параметр отображается только при активации монитор уникальным или похожим обобщенным событием или паттерном.
  • Подписка на паттерны – параметр, определяющий, отслеживает ли монитор обобщенные паттерны. Этот параметр отображается только при активации монитор уникальным или похожим обобщенным событием или паттерном.
  • Тип активации – параметр, определяющий, отслеживает ли монитор новые значения параметров событий, события и паттерны. Этот параметр отображается только при активации монитора значением параметра событий, событием или паттерном.
  • Фильтры – таблица, содержащая информацию о фильтрах для параметров событий, по которым текущий монитор отслеживает значения параметров событий, события и паттерны. Для каждого элемента отображаются следующие данные:
    • Имя параметра – имя параметра события, за значениями которого наблюдает просматриваемый монитор.

      Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Имена параметров событий определяются в конфигурационном файле для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор на этапе настройки службы Event Processor.

    • Тип фильтра – параметр, определяющий тип фильтра для параметров событий, по которым текущий монитор отслеживает значения параметров событий, события и паттерны.
    • Тип значения – параметр, определяющий какие типы значений отслеживает просматриваемый монитор: значения по шаблону, определенные, новые или все значения.
    • Значения – значения параметра события, за которыми наблюдает просматриваемый монитор.

    Эта таблица отображается только при активации монитора значением параметра события, событием или паттерном.

  • Список активаций – таблица, содержащая информацию о последних активациях монитора:
    • ID значения параметра – идентификатор значения параметра события, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора значением параметра события.
    • ID события – идентификатор события, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора событием.
    • ID паттерна – идентификатор паттерна, обнаружение которого привело к активации монитора. Этот параметр отображается только при активации монитора паттерном.
    • Системные параметры – блок системных параметров, который содержит следующую информацию:
      • Дата и время события – дата и время обнаружения события в потоке событий.
      • Интервал от предыдущего элемента – временной интервал между текущим событием и предыдущим событием в потоке событий на скользящем окне. Kaspersky MLAD отображает временные интервалы между событиями при первом обнаружении паттерна, в состав которого входят события. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между этими событиями.
      • Общее количество активаций – количество повторений события в потоке событий на скользящем окне.
      • Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
      • Последняя активация – дата и время последнего обнаружения события в потоке событий на скользящем окне.

      Этот блок параметров отображается только при активации монитора событием или значением параметра события.

    • Предмет внимания – параметр предмета внимания и его значение, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора паттерном.
    • Дата и время активации – дата и время активации монитора. Этот параметр отображается только при активации монитора паттерном.
    • Параметр события – значение параметра события, поступившего от объекта мониторинга. Этот параметр отображается только при активации монитора значением параметра события.
    • Параметры события – значения параметров события, поступившего от объекта мониторинга. Этот параметр отображается только при активации монитора событием.
    • Количество событий – количество событий, входящих в состав паттерна, который вызвал активацию монитора. Этот параметр отображается только при активации монитора паттерном.
    • Общее количество активаций – количество повторений паттерна в потоке событий на скользящем окне. Этот параметр отображается только при активации монитора паттерном.
  • Статистика по обобщенным событиям – таблица, содержащая информацию об обобщенных событиях:
    • ID события – идентификатор обобщенного события.
    • Количество активаций – количество зарегистрированных активаций монитора на скользящем окне.
    • Количество предметов внимания – количество значений параметра предмета внимания, обнаружение которых вызвало активацию монитора.
    • Событие – обнаруженное обобщенное событие.
    • Предметы внимания – значения параметра предмета внимания, обнаружение которых вызвало активацию монитора.

    Эта таблица отображается только при активации монитора похожими обобщенными событиями.

  • Статистика по обобщенным паттернам – таблица, содержащая информацию об обобщенных паттернах:
    • ID паттерна – идентификатор обобщенного паттерна.
    • Количество активаций – количество зарегистрированных активаций монитора на скользящем окне.
    • Количество событий – количество событий в составе обобщенного паттерна.
    • Количество предметов внимания – количество значений параметра предмета внимания, обнаружение которых вызвало активацию монитора.
    • Длительность паттерна – временной интервал между первым и последним событием в обнаруженном паттерне. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между событиями паттерна.
    • Паттерн – обнаруженный обобщенный паттерн.
    • Предметы внимания – значения параметра предмета внимания, обнаружение которых вызвало активацию монитора.

    Эта таблица отображается только при активации монитора похожими обобщенными паттернами.

Просмотр гистограммы с краткой статистикой количества активаций осуществляется на вкладке Гистограмма в правом верхнем углу раздела.

В этом разделе

Создание монитора

Изменение монитора

Удаление монитора

В начало

[Topic 248084]

Создание монитора

Функциональность доступна после добавления лицензионного ключа.

Чтобы создать монитор:

  1. В основном меню выберите раздел Процессор событий → Мониторинг.
  2. Нажмите на кнопку Создать монитор.

    Справа отобразится панель Создание монитора.

  3. В поле Название укажите название монитора.
  4. Если требуется использовать монитор для отслеживания значений параметров, событий или паттернов, установите переключатель Состояние в положение Активен.
  5. В поле Скользящее окно (сек.) укажите интервал в секундах от текущего момента времени назад по временной последовательности, за который монитор будет обрабатывать поступившие значения параметров, события или паттерны.
  6. В поле Размер списка активаций укажите количество активаций монитора, которое требуется отображать при просмотре информации о мониторе.
  7. В блоке параметров Тип подписки выберите один из следующих вариантов:
    • Если требуется отслеживать появление определенных значений параметров событий, выберите Значения параметров.
    • Если требуется отслеживать появление определенных событий, выберите События.
    • Если требуется отслеживать появление закономерностей в поведении объекта мониторинга, выберите Паттерны.
    • Если требуется отслеживать уникальные обобщенные события или паттерны, выберите Уникальные обобщенные.
    • Если требуется отслеживать похожие обобщенные события или паттерны, выберите Похожие обобщенные.
  8. В блоке параметров Параметры активации выполните следующие действия:
    1. В поле Порог активации укажите количество активаций монитора на скользящем окне, после достижения которого монитор отправит оповещение во внешнюю систему.

      Параметр отображается, если в блоке параметров Тип подписки был выбран вариант Значения параметров, События или Паттерны.

    2. Если требуется отслеживать новые события, паттерны или значения параметров событий, установите переключатель Тип активации в положение Отслеживать только новые.

      Параметр отображается, если в блоке параметров Тип подписки был выбран вариант Значения параметров, События или Паттерны.

    3. В раскрывающемся списке Голова внимания выберите голову внимания для фокусировки внимания монитора на нужные направления развития поведения объекта мониторинга.

      Параметр отображается, если в блоке параметров Тип подписки был выбран вариант Паттерны, Уникальные обобщенные или Похожие обобщенные.

    4. В поле Подписка на события или паттерны выберите один из следующих вариантов:
      • Если требуется отслеживать обобщенные события, выберите Подписка на события.
      • Если требуется отслеживать обобщенные паттерны, выберите Подписка на паттерны.

      Параметр отображается, если в блоке параметров Тип подписки был выбран вариант Уникальные обобщенные или Похожие обобщенные.

  9. Если требуется уточнить условия активации монитора при отслеживании значений параметров событий, событий или паттернов, в блоке параметров Фильтры выполните следующие действия:
    1. Выполните одно из следующих действий:
      • Если требуется отслеживать события по всем заданным значениям в рамках одного монитора, установите переключатель в положение Отслеживать по всем значениям одновременно.
      • Если требуется создать дочерние мониторы на каждое заданное значение параметра события, выбранного в раскрывающемся списке Параметр события, и отслеживать их появление отдельно, установите переключатель в положение Отслеживать по каждому значению.

      Переключатель отображается, если в блоке параметров Тип подписки был выбран вариант События.

    2. В раскрывающемся списке Параметр события выберите параметр события, по которому требуется уточнить условия активации монитора.
    3. В раскрывающемся списке Тип фильтра выберите одно из следующих значений:
      • Параметр, если требуется активировать монитор при отслеживании конкретных значений параметра события.
      • Обобщенный параметр, если требуется активировать монитор при отслеживании обобщенных значений параметра события.

        Это значение доступно для выбора, если монитор отслеживает появление паттернов.

      • Внимание, если требуется сфокусировать внимание процессора событий на выбранном параметре события.

        Это значение доступно для выбора, если монитор отслеживает появление паттернов.

      • Обобщенное внимание, если на выбранном параметре требуется сфокусировать обобщенное внимание процессора событий.

        Это значение доступно для выбора, если монитор отслеживает появление паттернов.

    4. Выполните одно из следующих действий:
      • Если требуется включить во внимание все значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Все значения.
      • Если требуется включить во внимание конкретное значение параметра события или обобщить это значение во внимании, в раскрывающемся списке Тип значения выберите Определенные значения и введите нужное значение в поле Значение. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.
      • Если требуется включить во внимание значения параметра события по шаблону или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Регулярное выражение и введите шаблон значения с помощью регулярного выражения в поле Значение.

        Для поиска событий и паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.

      • Если требуется включить во внимание новые значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Новые значения.

        Этот тип значения доступен, если переключатель Тип активации установлен в положении Отслеживать только новые.

      Если требуется, вы можете задать более одного условия активации монитора. При необходимости вы можете удалить ранее добавленное условие нажатием на кнопку Пиктограмма в виде корзины. напротив строки с нужным условием.

  10. Нажмите на кнопку Сохранить.

Новый монитор будет создан и отобразится на вкладке Мониторинг.

В начало

[Topic 287424]

Изменение монитора

При необходимости вы можете включить или выключить использование монитора для отслеживания значений параметров событий, событий или паттернов.

Функциональность доступна после добавления лицензионного ключа.

Чтобы изменить монитор:

  1. В основном меню выберите раздел Процессор событий → Мониторинг.
  2. В вертикальном меню Пиктограмма в виде трех точек, расположенных вертикально. нужной карточки монитора выберите пункт Изменить.

    Справа отобразится панель Изменение монитора.

  3. Если требуется, укажите новое название монитора.
  4. Выполните одно из следующих действий:
    • Если требуется использовать монитор для отслеживания значений параметров событий, событий или паттернов, установите переключатель Состояние в положение Активен.
    • Если требуется выключить использование монитора для отслеживания значений параметров событий, событий или паттернов, установите переключатель Состояние в положение Не активен.
  5. Нажмите на кнопку Сохранить.
В начало

[Topic 248085]

Удаление монитора

Функциональность доступна после добавления лицензионного ключа.

Чтобы удалить монитор:

  1. В основном меню выберите раздел Процессор событий → Мониторинг.
  2. В вертикальное меню Пиктограмма в виде трех точек, расположенных вертикально. нужной карточки монитора выберите пункт Удалить.
  3. Подтвердите удаление монитора.

Монитор будет удален.

В начало

[Topic 248086]

Просмотр истории событий

Kaspersky MLAD позволяет просматривать события, которые поступили от внешних источников событий. Для просмотра событий требуется загрузить их в разделе Процессор событийИстория событий.

Функциональность доступна после добавления лицензионного ключа.

Kaspersky MLAD отображает поступившие события в виде графа отношений параметров событий. Вершины графа соответствуют значениям параметров событий, а дуги между вершинами графа соответствуют связям между значениями параметров поступивших событий. Вы можете навести курсор мыши на граф события и просмотреть информацию о параметрах событий и их значениях. Вы также можете навести курсор мыши на дугу графа события и просмотреть информацию о количестве связей между значениями параметров событий. Граф отношений параметров событий отображается на вкладке Граф.

Вы также можете просмотреть информацию о выявленных событиях в виде таблицы.

  • ID события – идентификатор выявленного события.
  • Системные параметры – параметр, содержащий следующую информацию о событии:
    • Последнее обнаружение в интервале – дата и время последнего обнаружения события в потоке событий за заданный период.
    • Количество обнаружений в интервале – количество обнаружений события в потоке событий за заданный период.
    • Общее количество активаций – количество повторений события в потоке событий на скользящем окне.
    • Последняя активация – дата и время последнего обнаружения события в потоке событий.
    • Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
  • Параметры события – значения параметров события, поступивших от объекта мониторинга.

Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Список параметров событий определяется в конфигурационном файле для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет системный администратор на этапе настройки службы Event Processor.

Чтобы загрузить данные для просмотра поступивших событий:

  1. В основном меню выберите раздел Процессор событий → История событий.
  2. В блоке Фильтры выберите даты и время начала и окончания периода, за который вы хотите загрузить и просмотреть события, нажав на кнопку Пиктограмма в виде календаря.. Для настройки параметров событий выполните одно из следующих действий:
    • Если вы хотите загрузить события по конкретным значениям параметров событий, в раскрывающихся списках выберите значение соответствующего параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списках.
    • Если вы хотите загрузить события по шаблону значений, нажмите на кнопку Пиктограмма в виде точки со звездочкой. в ячейках нужных параметров события, в раскрывающихся списках введите шаблон значения с помощью регулярного выражения и выберите указанный шаблон значения.

      Для поиска с помощью регулярных выражений используйте специальные символы регулярных выражений.

    Для каждого объекта мониторинга количество и имена параметров событий индивидуальны.

  3. Нажмите на кнопку Выполнить запрос.

    В центральной части страницы в виде графа отобразятся данные о найденных программой событиях.

  4. Если требуется просмотреть полученные события в виде таблицы, выберите вкладку Таблица.

    В центральной части страницы отобразится таблица, которая содержит информацию о выявленных событиях.

В начало

[Topic 248087]

Просмотр истории паттернов

Развернуть все | Свернуть все

В разделе Процессор событий → История паттернов вы можете найти и просмотреть структуру устойчиво повторяющихся и/или новых паттернов. Процессор событий формирует паттерны только по определенным направлениям в соответствии с головами внимания, которые задаются в конфигурации внимания.

Функциональность доступна после добавления лицензионного ключа.

Вы также можете просмотреть структуру выявленных паттернов до уровня событий. Процессор событий представляет паттерны, события и значения параметров событий как послойную иерархию вложенных элементов. Например, паттерн четвертого слоя состоит из вложенных паттернов третьего слоя, в свою очередь паттерн третьего слоя состоит из паттернов второго слоя, а паттерн второго слоя состоит из событий – элементов первого слоя. Значения параметров события являются элементами нулевого терминального слоя.

Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Список параметров событий определяется в файле конфигурации для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет системный администратор на этапе настройки службы Event Processor.

Чтобы просмотреть зарегистрированные паттерны:

  1. В основном меню выберите раздел Процессор событий → История паттернов.
  2. В блоке Фильтры настройте следующие параметры отображения паттернов на странице:
    1. В раскрывающемся списке Интервал истории выберите даты и время начала и окончания периода, за который вы хотите загрузить и просмотреть паттерны, нажав на кнопку Пиктограмма в виде календаря..
    2. В раскрывающемся списке Тип паттернов выберите одно из следующих значений:
      • Стабильные – паттерны, которые были зарегистрированы службой Event Processor два и более раза.
      • Новые – новые паттерны, зарегистрированные службой Event Processor впервые.
      • Все – все паттерны, зарегистрированные службой Event Processor.
    3. В раскрывающемся списке Голова внимания выберите голову внимание, по которой требуется просмотреть зарегистрированные паттерны.

      Требуется выбрать одну из голов внимания, заданных при настройке конфигурации внимания.

    4. Для настройки параметров событий выполните одно из следующих действий:
      • Если вы хотите просматривать паттерны по конкретным значениям параметров событий, в раскрывающихся списках выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списках.
      • Если вы хотите просматривать паттерны по шаблону значений, нажмите на кнопку Пиктограмма в виде точки со звездочкой. в ячейках нужных параметров события, в раскрывающихся списках введите шаблон значения с помощью регулярного выражения и выберите указанный шаблон значения.

        Для поиска с помощью регулярных выражений используйте специальные символы регулярных выражений.

      Для правильного выполнения запроса требуется ввести значения для параметра события, на котором сфокусировано внимание модели. Если в параметре события, на котором сфокусировано внимание, задано несколько значений параметра события, процессор событий сформирует паттерны для каждого значения параметра.

      Параметры событий, заданные в качестве обобщенных в выбранной голове внимания, недоступны для настройки.

  3. Нажмите на кнопку Выполнить запрос.

    В центральной части страницы отобразится таблица, которая содержит данные о зарегистрированных паттернах.

    • ID паттерна – идентификатор паттерна. Число в начале идентификатора паттерна до знака нижнего подчеркивания соответствует номеру слоя, на котором этот паттерн был обнаружен.
    • Последнее обнаружение в интервале – дата и время последнего обнаружения паттерна в потоке событий объекта мониторинга за заданный период.
    • Количество обнаружений в интервале – количество обнаружений паттерна в потоке событий объекта мониторинга за заданный период.
    • Количество событий – количество событий, составляющих паттерн.
    • Последняя активация – дата и время последнего обнаружения паттерна в потоке событий объекта мониторинга или в режиме сна.
  4. Если требуется перейти к просмотру структуры паттерна, нажмите на нужную строку паттерна.

    Откроется страница с подробной информацией о паттерне.

    • ID паттерна – идентификатор выбранного паттерна. Число в начале идентификатора паттерна до знака нижнего подчеркивания соответствует номеру слоя, на котором этот паттерн был обнаружен.
    • Общее количество активаций – количество обнаружений выбранного паттерна в потоке событий за заданный период.
    • Интервал от предыдущего элемента – временной интервал между выбранным паттерном и паттерном, выявленным в последовательности паттернов на текущем слое до выбранного паттерна. Kaspersky MLAD отображает временные интервалы между элементами выбранного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между элементами этого паттерна.
    • Количество событий – количество событий, составляющих паттерн.
    • Время окончания паттерна – дата и время окончания выбранного паттерна в последовательности паттернов на текущем слое.
    • Последняя активация – дата и время последнего обнаружения паттерна в потоке событий или в режиме сна.
    • Паттерны – вкладка, содержащая таблицу с информацией о паттернах, входящих в состав выбранного паттерна. На вкладке Паттерны отображаются следующие данные:

      • ID паттерна – идентификатор вложенного паттерна. Число в начале идентификатора паттерна до знака нижнего подчеркивания соответствует номеру слоя, на котором этот паттерн был обнаружен.
      • Время окончания паттерна – дата и время окончания вложенного паттерна в последовательности паттернов на выбранном слое.
      • Общее количество активаций – количество обнаружений вложенного паттерна в структуре выбранного паттерна.
      • Количество событий – количество событий, составляющих вложенный паттерн.
      • Интервал от предыдущего элемента – временной интервал между вложенным паттерном и предыдущим паттерном в таблице. Kaspersky MLAD отображает временные интервалы между элементами вложенного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между элементами этого паттерна.
      • Последняя активация – дата и время последнего обнаружения вложенного паттерна в последовательности паттернов на выбранном слое или в режиме сна.
    • События – вкладка, содержащая таблицу событий, входящих в состав выбранного паттерна. Для каждого события отображаются следующие данные:
      • ID события – идентификатор события.
      • Системные параметры – параметр, содержащий следующую информацию о событии:
        • Дата и время события – дата и время обнаружения события в структуре паттерна.
        • Интервал от предыдущего элемента – временной интервал между текущим событием и предыдущим событием в таблице. Kaspersky MLAD отображает временные интервалы между событиями выбранного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между событиями этого паттерна.
        • Общее количество активаций – количество повторений события в структуре выбранного паттерна за заданный период.
        • Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
        • Последняя активация – дата и время последнего обнаружения события в потоке событий.
      • Параметры события – значения параметров события, поступившего от объекта мониторинга.
  5. Для просмотра структуры паттерна выполните одно из следующих действий:
    • Если требуется посмотреть структуру определенного вложенного паттерна, на вкладке Паттерны блока Вложенные элементы нажмите на нужную строку паттерна.

      Вы можете вернуться к просмотру структуры паттерна верхнего уровня вложенности, нажав на идентификатор нужного паттерна над блоком Информация о паттерне.

    • Если требуется просмотреть события, составляющие паттерн на втором уровне вложенности, нажмите на вкладку События.

    Kaspersky MLAD отображает структуру паттерна с верхнего уровня вложенности.

В начало

[Topic 248088]

Работа с инцидентами и группами инцидентов

Веб-интерфейс Kaspersky MLAD предоставляет возможность исследования зарегистрированных инцидентов. В зависимости от типа источника зарегистрированного инцидента информация об инциденте и методы его исследования могут отличаться.

Функциональность доступна после добавления лицензионного ключа.

Для любого инцидента вы можете выполнить следующие действия:

В разделе Инциденты в виде столбчатой диаграммы отображаются инциденты, которые соответствуют критериям фильтрации, установленным под диаграммой. Диаграмма отображает статистику по зарегистрированным инцидентам за период, установленный над диаграммой.

Диаграмма может отображать не более 60 столбцов. Если длительность заданного периода не превышает 60 дней, то инциденты на диаграмме сгруппированы по дням. Если длительность заданного периода составляет от 60 дней до 60 недель, то инциденты на диаграмме сгруппированы по неделям. В случае, когда длительность заданного периода составляет больше 60 недель, инциденты на диаграмме сгруппированы по месяцам.

При наведении курсора мыши на столбец диаграммы отображается окно с указанием количества зарегистрированных инцидентов за единицу времени, соответствующую группировке инцидентов на диаграмме. При нажатии на столбец на диаграмме и в таблице ниже отображается информация об инцидентах, зарегистрированных в период, соответствующий интервалу времени выбранного столбца.

В этом разделе вы можете просматривать как отдельные инциденты, так и группы инцидентов.

Вкладка Инциденты

На вкладке Инциденты представлена таблица зарегистрированных инцидентов. Инциденты отсортированы в порядке убывания даты: первыми показаны самые новые инциденты.

Вкладка "Инциденты" содержит таблицу с информацией о зарегистрированных инцидентах.

Вкладка Инциденты

Вы можете перейти в раздел История, нажав на дату и время инцидента.

Вкладка Группы

На вкладке Группы представлена таблица групп инцидентов. Kaspersky MLAD автоматически формирует группы похожих инцидентов.

Вы можете изменить название группы, присвоенное автоматически, и установить статус инцидентов, которые входят в эту группу. Также вы можете указать экспертное заключение, содержащее, например, рекомендуемые действия при возникновении новых инцидентов в этой группе.

Вкладка "Группы" содержит таблицу с информацией о группах похожих инцидентов.

Вкладка Группы

В этом разделе

Об инцидентах

Об аномалиях

Сценарий: анализ инцидентов

Просмотр инцидентов

Просмотр технических характеристик зарегистрированного инцидента

Просмотр групп инцидентов

Исследование поведения объекта мониторинга в момент обнаружения инцидента

Добавление статуса, причины, экспертного заключения и замечания к инциденту или группе инцидентов

Экспорт инцидентов в файл

В начало

[Topic 247968]

Об инцидентах

Инцидент – это обнаруженное отклонение от ожидаемого (нормального) поведения объекта мониторинга.

В Kaspersky MLAD поддерживает регистрацию инцидентов для следующих источников:

  • Элементы ML-моделей. Инцидент регистрируется при достижении значения артефакта элемента ML-модели порога регистрации инцидентов, заданного для этого элемента. Инциденты могут быть зарегистрированы предиктивными элементами ML-модели, элементами на основе диагностических правил и элементами на основе эллиптического конверта.

    В зависимости от заданных параметров элемента ML-модели инцидент может быть зарегистрирован не сразу после достижения заданного порога. При достижении порога регистрации инцидента элемент ML-модели наблюдает за аномальным поведением объекта мониторинга в течение интервала времени, заданного в параметрах соответствующего элемента. Если аномальное поведение объекта мониторинга сохранялось в течение некоторой заданной доли времени от этого интервала, тогда элемент ML-модели регистрирует инцидент.

    Kaspersky MLAD может подавлять регистрацию следующих друг за другом инцидентов от одного и того же элемента ML-модели, если они произошли вскоре после первого инцидента в серии. Для этого используется параметр Период подавления повторных срабатываний (сек.), который вы можете задать в параметрах соответствующего элемента.

    Элемент ML-модели также может повторно регистрировать один и тот же инцидент вплоть до исчезновения аномального поведения. Вы можете регулировать частоту регистрации повторных инцидентов с помощью параметров Период напоминания (сек.) путем изменения соответствующего элемента.

  • Детектор Limit Detector. Инцидент регистрируется при достижении значения тега верхнего или нижнего порога блокировки.
  • Служба Stream Processor. Инцидент регистрируется при обнаружении потерь данных телеметрии или поступлении наблюдений в Kaspersky MLAD слишком рано или поздно.

При обнаружении отклонения соответствующий источник фиксирует дату, время, релевантные параметры отклонения и сохраняет их в виде записи в разделе Инциденты. Если в Kaspersky MLAD для пользователей или внешних систем созданы уведомления об инцидентах, то информация об инциденте отправляется адресатам через соответствующие службы Kaspersky MLAD.

В этом разделе

Об инцидентах, обнаруженных предиктивным элементом ML-модели

Об инцидентах, обнаруженных элементом ML-модели на основе диагностического правила

Об инцидентах, обнаруженных элементом ML-модели на основе эллиптического конверта

Об инцидентах, обнаруженных детектором Limit Detector

Об инцидентах, обнаруженных службой Stream Processor

См. также

Работа с инцидентами и группами инцидентов

В начало

[Topic 247969]

Об инцидентах, обнаруженных предиктивным элементом ML-модели

Предиктивный элемент ML-модели обучен на определенном подмножестве тегов и может прогнозировать поведение тегов в текущий момент. Инцидентом в этом случае считается существенное расхождение между наблюдаемыми (фактическими) значениями тегов и прогнозируемыми значениями тегов, полученными в результате работы элемента ML-модели. В параметрах элемента модели вы можете просмотреть, какие теги анализируются элементом ML-модели (параметр Входные теги) и поведение каких тегов прогнозируется (параметр Выходные теги).

ML-модель может включать в себя один или несколько элементов, функционирующих параллельно. В разделах История и Мониторинг вы можете выбрать определенный элемент ML-модели для отображения инцидентов, зарегистрированных в результате работы определенного элемента модели. Зарегистрированные инциденты отображаются в нижней части графика артефакта элемента ML-модели в виде цветных точек-индикаторов.

На графике артефакта отображается общая ошибка прогноза выбранного элемента ML-модели. Общая ошибка прогноза – это показатель отличия прогнозируемых значений от фактических, суммарно по всем тегам, включенным в выбранный элемент ML-модели. Чем выше значение ошибки прогноза, тем сильнее поведение тегов отличается от ожидаемого (нормального). Порог ошибки прогноза – это критический уровень значения общей ошибки прогноза, при достижении которого предиктивный элемент ML-модели регистрирует инцидент. Общая ошибка прогноза на графике артефакта отображается в виде красной линии, а порог ошибки прогноза отображается в виде оранжевой линии. Область графика, в которой ошибка прогноза превышает заданный порог, окрашивается в красный цвет.

График артефакта элемента ML-модели отображается в нижней части раздела История (см. рисунок ниже).

Окно раздела "История" содержит информацию об обработке исторических данных.

График артефакта элемента ML-модели в разделе История

Для каждого инцидента автоматически определяются теги с наибольшими отклонениями фактических значений от прогнозируемых ML-моделью. Из этих тегов формируется пресет Теги инцидента #<идентификатор инцидента>, который отображается в разделе История при переходе в него из таблицы инцидентов по нажатию на дату и время регистрации конкретного инцидента. Теги в составе пресета Теги инцидента #<идентификатор инцидента> отсортированы в порядке убывания отклонения их поведения от ожидаемого. Тег с наибольшим отклонением от прогнозируемого значения выводится в таблице инцидентов в разделе Инциденты. В таблице инцидентов также указывается порог ошибки прогноза и фактическое значение ошибки прогноза в момент регистрации инцидента.

Информация, полученная при просмотре пресета Теги инцидента #<идентификатор инцидента>, не является диагностической с точки зрения определения причин инцидента, но ее можно использовать при анализе значений тегов с наибольшими отклонениями в поведении. Тег, поведение которого первым отклонилось от нормы и повлекло дальнейшие отклонения в других тегах, является тегом-причиной. В некоторых случаях тег-причина может находиться не на первом месте в пресете Теги инцидента #<идентификатор инцидента> или отсутствовать в нем. Это может произойти по следующим причинам:

  • Незначительные по амплитуде изменения в поведении тега-причины произвели мультипликативный эффект и вызвали существенные отклонения других тегов, которые попали в пресет Теги инцидента #<идентификатор инцидента>.
  • Тег-причина не анализируется ML-моделью, и Kaspersky MLAD регистрирует вторичные изменения поведения тегов, вызванные отклонением тега-причины.
  • Изменения в поведении тега-причины имели отложенный эффект, и к моменту возникновения аномалии в работе объекта мониторинга поведение тега-причины вернулось в нормальный режим.
В начало

[Topic 247970]

Об инцидентах, обнаруженных элементом ML-модели на основе диагностического правила

ML-модель может включать в себя один или несколько элементов на основе диагностических правил. Результатом выполнения каждого диагностического правила является получение следующих значений, которые вычисляются в каждый момент времени:

  • Значение 0. Диагностическое правило в текущий момент не сработало или не применимо.
  • Значение 1. Диагностическое правило в текущий момент сработало.
  • В отдельных случаях возможны промежуточные значения от 0 до 1. Диагностическое правило в текущий момент сработало частично.

При достижении полученным значения порога, установленного для диагностического правила (как правило, равного единице), элемент на основе диагностического правила регистрирует инцидент. Для каждого инцидента, зарегистрированного диагностическим правилом автоматически формируется пресет Теги инцидента #<идентификатор инцидента>, который доступен для выбора в разделе История при переходе в него из таблицы инцидентов по нажатию на дату и время регистрации конкретного инцидента. В составе этого пресета присутствует значение, полученное в результате работы диагностического правила, а также теги, входящие в состав этого правила.

В начало

[Topic 282765]

Об инцидентах, обнаруженных элементом ML-модели на основе эллиптического конверта

Эллиптический конверт ML-модели обучен на определенном подмножестве тегов и может выявлять выбросы (аномалии) в наборе данных. В результате обучения ML-модели в фазовом пространстве формируется эллиптическая область такая, что состояния, попадающими в эту область, считаются нормальными. При выявлении состояний, удаление которых от центра эллиптической области сравнялось или превысило установленный порог, элемент на основе эллиптического конверта регистрирует инцидент. В параметрах элемента модели вы можете просмотреть, какие теги анализируются элементом (параметр Входные теги).

Для каждого инцидента, зарегистрированного элементом на основе эллиптического конверта, автоматически определяются теги, при исключении которых из состава ML-модели наблюдаются наименьшие отклонения от нормального состояния. Из этих тегов формируется пресет Теги инцидента #<идентификатор инцидента>, который доступен для выбора в разделе История при переходе в него из таблицы инцидентов по нажатию на дату и время регистрации конкретного инцидента. Теги в составе пресета Теги инцидента #<идентификатор инцидента> отсортированы в порядке убывания отклонения их поведения от ожидаемого. Тег с наибольшим влиянием на регистрацию инцидента выводится в таблице инцидентов в разделе Инциденты.

ML-модель может включать в себя один или несколько элементов ML-модели, функционирующих параллельно. В разделах История и Мониторинг вы можете выбрать определенный элемент ML-модели для отображения инцидентов, зарегистрированных в результате работы определенного элемента модели. Зарегистрированные инциденты отображаются в нижней части графика артефакта элемента ML-модели в виде цветных точек-индикаторов.

В начало

[Topic 247971]

Об инцидентах, обнаруженных детектором Limit Detector

Если включен детектор Limit Detector, то при использовании любой ML-модели Kaspersky MLAD автоматически отслеживает все теги, для которых указаны пороги блокировки тега. Пороги блокировки могут быть указаны в конфигурации тегов, импортируемой в Kaspersky MLAD в начале работы. Вы можете изменить пороги блокировки тега в веб-интерфейсе программы.

Для визуального контроля положения графика тега относительно порогов блокировки на единичных графических областях в разделах История и Мониторинг вы можете включить функции Пороги блокировки и Всегда показывать пороги блокировки. Если функция Всегда показывать пороги блокировки выключена, то верхняя или нижняя пороговая линия отображается только, если значения тега достигали соответствующего порога на промежутке времени, который в настоящий момент выводится на экране. Детектор Limit Detector определяет и регистрирует события независимо от работы функции Всегда показывать пороги блокировки.

В момент, когда значение тега достигает верхнего или нижнего порога блокировки, детектор Limit Detector регистрирует инцидент. Этот тег отображается в таблице инцидентов в разделе Инциденты. В таблице инцидентов указаны также пороги блокировки тега и фактическое значение тега, нарушившего один их этих порогов. Для каждого инцидента, зарегистрированного детектором Limit Detector автоматически формируется пресет Теги инцидента #<идентификатор инцидента>, который доступен для выбора в разделе История при переходе в него из таблицы инцидентов по нажатию на дату и время регистрации конкретного инцидента. В состав этого пресета включается единственный тег-причина возникновения инцидента.

В начало

[Topic 247972]

Об инцидентах, обнаруженных службой Stream Processor

Служба Stream Processor собирает данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени, и приводит их к равноинтервальной временной сетке (далее также "РИВС"). При анализе поступающих данных служба Stream Processor может обнаруживать потери данных телеметрии, а также наблюдения, поступившие в Kaspersky MLAD слишком рано или поздно. В таких случаях служба Stream Processor регистрирует инцидент.

Инциденты, обнаруженные службой Stream Processor, отображаются в таблице инцидентов раздела Инциденты. Каждому инциденту, зарегистрированному службой Stream Processor, автоматически присваивается один из следующих типов инцидента:

  • Нет данных – в случае прекращения или прерывания входного потока данных определенного тега.

  • Сбой часов – в случае обнаружения наблюдений, поступивших в Kaspersky MLAD слишком рано.
  • Позднее поступление наблюдения – в случае обнаружения наблюдений, поступивших в Kaspersky MLAD поздно.

Служба Stream Processor передает данные, приведенные к РИВС, в ML-модель службы Anomaly Detector.

В начало

[Topic 247973]

Об аномалиях

Аномалия – это нештатное, не предусмотренное регламентом работы и не обусловленное производственным процессом отклонение в поведении объекта мониторинга.

Kaspersky MLAD регистрирует только инциденты. Является тот или иной инцидент аномалией определяет специалист АСУ ТП после проведения анализа зарегистрированных программой инцидентов. В результате анализа инцидента может быть сделан один из следующих выводов:

  • Инцидент является аномалией, требующей ответных действий со стороны специалиста АСУ ТП.
  • Инцидент не является аномалией, это ложно-положительное срабатывание ML-модели.

    При устойчивом повторном ложно-положительном срабатывании ML-модели нужно определить причину ухудшения качества работы используемой ML-модели, скорректировать параметры ML-модели и/или ее элементов или дополнительно обучить элементы ML-модели.

  • ML-модель отработала правильно, но инцидент не является аномалией.

    Инцидент является следствием временного перевода объекта мониторинга в нетипичный режим функционирования (профилактика, испытания) или кратковременного влияния нетипичных внешних факторов (необычных погодных условий, запуска соседней установки). В такой ситуации ответных действий со стороны специалиста АСУ ТП не требуется.

Анализ и оценка инцидентов производится предметным экспертом. В некоторых случаях (при регистрации инцидентов, выявленных диагностическими правилами, или инцидентов, случившихся повторно) возможна автоматическая оценка и группирование похожих инцидентов.

ML-модель может не обнаружить объективно существовавшую аномалию. В этом случае аномалия не будет соответствовать ни одному из зарегистрированных инцидентов и не отразится в истории Kaspersky MLAD. Если из наблюдений эксперта, специалиста АСУ ТП или сторонних источников станет известно о неоднократных фактах отсутствия срабатывания ML-модели, необходимо определить причину ухудшения качества работы ML-модели, скорректировать параметры ML-модели и/или ее элементов и провести дополнительное обучение элементов ML-модели.

На аномалию в работе объекта мониторинга также могут указывать новые события, паттерны и значения параметров событий, обнаруженные службой Event Processor (далее также "процессор событий") в потоке поступающих событий. При обнаружении новых событий, паттернов или значений параметров событий служба Event Processor не регистрирует инциденты. Для просмотра новых обнаружений в разделе Процессор событий вы можете просмотреть историю регистрации паттернов, выполнив фильтрацию по типу Новые. Вы также можете создать монитор для отслеживания новых событий, паттернов или значений параметров событий. Служба Event Processor активирует монитор при каждом выявлении событий, паттернов или значений параметров событий, соответствующих заданным критериям поиска. При достижении заданного порога количества активаций монитора на скользящем окне служба Event Processor отправит оповещение об активации монитора во внешнюю систему с помощью коннектора CEF Connector.

В начало

[Topic 248089]

Сценарий: анализ инцидентов

В этом разделе приводится последовательность действий, которые требуется выполнить при анализе зарегистрированных Kaspersky MLAD инцидентов.

Функциональность доступна после добавления лицензионного ключа.

Описанный в этом разделе сценарий анализа инцидентов не является четко регламентированным процессом. Состав и порядок действий, предпринимаемых для исследования инцидента и выявления причины его возникновения, зависят от предметной области, уровня знаний технолога или специалиста АСУ ТП, исследующего инцидент, а также наличия дополнительной информации об объекте мониторинга.

Сценарий анализа инцидентов состоит из следующих этапов:

  1. Просмотр информации о зарегистрированном инциденте

    В разделе Инциденты отображаются все зарегистрированные Kaspersky MLAD инциденты, а также подробная информация о времени их регистрации, ML-модели, которая зарегистрировала инцидент, и экспертное заключение, если оно было добавлено. Вы можете перейти к просмотру информации об инцидентах одним из следующих способов:

    • Просмотр последних инцидентов в разделе Информационная панель

      Если вы хотите просмотреть недавно обнаруженный инцидент, в разделе Информационная панель нажмите на дату и время интересующего вас инцидента в таблице Последние инциденты. В открывшемся разделе История в нижней части страницы нажмите на точку-индикатор в блоке графика артефакта элемента ML-модели для просмотра определенного инцидента. Откроется раздел Инциденты, в котором отобразятся только те инциденты, которые были зарегистрированы в период, представленный выбранной точкой-индикатором (период указан над таблицей инцидентов).

    • Просмотр инцидентов в разделе Инциденты

      Если вам известны дата и время регистрации инцидента, выберите соответствующий инцидент в разделе Инциденты. Вы можете изменить интервал времени, в котором отображаются инциденты, используя столбчатую диаграмму или поле выбора даты в верхней части страницы.

    • Переход из уведомления об инциденте, поступившего по электронной почте

      Если для вас было создано уведомление об инцидентах, при регистрации инцидента вы получите уведомление по электронной почте. Сообщение электронной почты содержит время начала инцидента, топ-тег и ссылку для перехода в раздел История в веб-интерфейсе Kaspersky MLAD. Вы можете перейти по этой ссылке в раздел История в момент начала инцидента. В нижней части страницы раздела История нажмите на точку-индикатор, соответствующую времени начала инцидента. Откроется раздел Инциденты, в котором отобразятся только те инциденты, которые были зарегистрированы в период, представленный выбранной точкой-индикатором (период указан над таблицей инцидентов).

    Когда вы нашли запись об интересующем инциденте, нажмите на кнопку Пиктограмма в виде зеленой закрывающей угловой скобки. для просмотра подробной информации об инциденте.

  2. Просмотр информации о похожих инцидентах

    При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа инцидентов. Если в этом столбце для выбранного инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие.

    Для просмотра всех инцидентов группы выберите вкладку Группы и нажмите на кнопку Пиктограмма в виде зеленой закрывающей угловой скобки. рядом с нужной группой. В таблице отобразится информация об инцидентах, отнесенных к выбранной группе, а также экспертное заключение, если оно было добавлено. Ознакомьтесь с экспертными заключениями для отдельных инцидентов и для группы.

  3. Исследование поведения объекта мониторинга в момент обнаружения инцидента

    Исследуйте поведение объекта мониторинга в момент обнаружения инцидента.

  4. Анализ инцидента

    Проведите анализ инцидента, учитывая особенности регистрации инцидента в зависимости от типа источника, который его зарегистрировал:

    • Forecaster. Предиктивный элемент ML-модели регистрирует инциденты при существенном расхождении между наблюдаемыми (фактическими) значениями тегов и прогнозируемыми значениями тегов. Основываясь на информации, полученной при просмотре автоматически сформированного пресета Теги инцидента #<идентификатор инцидента>, а также используя экспертное знание об объекте мониторинга, сформулируйте гипотезу о том, какие теги могли вызвать возникновение инцидента, и изучите их поведение, выбрав соответствующий пресет. Проанализируйте график артефакта элемента ML-модели, переместитесь назад по времени от момента достижения порога ошибки прогноза и изучите поведение тегов в момент начала роста значений ошибки прогноза.
    • Rule Detector. Для каждого инцидента, зарегистрированного элементом ML-модели на основе диагностического правила, автоматически формируется пресет Теги инцидента #<идентификатор инцидента>, в составе которого присутствует значение, полученное в результате работы диагностического правила и вызвавшее регистрацию инцидента.
    • Elliptic Envelope. Эллиптический конверт ML-модели регистрирует инциденты при выявлении состояний, удаление которых от центра области концентрации нормальных состояний сравнялось или превысило установленный порог. При регистрации инцидента формируется пресет Теги инцидента #<идентификатор инцидента>, в состав которого включаются теги, при исключении которых из состава ML-модели наблюдается наименьшее отклонение наблюдений от нормального состояния. Проанализируйте график артефакта элемента ML-модели, переместитесь назад по времени от момента достижения порога и изучите поведение тегов в момент начала роста значений отклонения.
    • Limit Detector. Для каждого инцидента, зарегистрированного детектором Limit Detector, автоматически формируется пресет Теги инцидента #<идентификатор инцидента>, в состав которого включается единственный тег-причина возникновения инцидента.
    • Stream Processor. Служба Stream Processor регистрирует инциденты до передачи данных телеметрии на обработку в ML-модель. Инциденты регистрируются в случае обнаружения потери данных или наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно.
  5. Добавление статуса, причины, экспертного заключения и замечания к инциденту или его группе

    Для каждого инцидента добавьте экспертное заключение или замечание, в которых вы можете указать, является ли инцидент аномалией. Экспертное заключение и замечание для инцидента отображаются только при просмотре определенного инцидента. Если требуется, вы можете указать статус и причину инцидента. Причина инцидента отображается в таблице инцидентов и при просмотре определенного инцидента. Вы также можете добавить или изменить статус и экспертное заключение для группы инцидентов.

    Если вы заранее знаете экспертное заключение, причину и/или статус по инцидентам, зарегистрированным конкретным элементом ML-модели, вы можете указать эту информацию в параметрах соответствующего элемента. Заданные экспертное заключение, причина и/или статус будут автоматически присвоены инцидентам в момент их регистрации этим элементом.

В начало

[Topic 248090]

Просмотр инцидентов

Функциональность доступна после добавления лицензионного ключа.

Чтобы просмотреть инциденты, зарегистрированные за определенный период:

  1. В основном меню выберите раздел Инциденты.
  2. В верхней части открывшейся страницы выберите даты начала и окончания периода.

    Вы также можете уточнить период, за который требуется просмотреть инциденты, нажатием на столбец столбчатой диаграммы. Столбец может соответствовать месяцу, неделе или одному дню в зависимости от длительности периода, установленного над диаграммой.

  3. Если требуется, отфильтруйте инциденты по именам топ-тегов, группам инцидентов, статусам и причинам инцидентов, названиям и статусам ML-моделей, которые зарегистрировали инциденты, выбрав нужные значения в соответствующих раскрывающихся списках.

В таблице, расположенной в центральной области страницы, будут показаны инциденты, зарегистрированные за выбранный период в соответствии с заданными критериями фильтрации. При нажатии на кнопку Сбросить в таблице и на столбчатой диаграмме будут показаны все зарегистрированные инциденты.

Для каждого инцидента, представленного в таблице, отображается следующая информация:

  • ID – идентификатор зарегистрированного инцидента.
  • Дата и время – дата и время регистрации инцидента.

    Нажав на значение даты и времени регистрации инцидента, вы перейдете в раздел История, где вы можете посмотреть информацию о пресете Теги инцидента #<идентификатор инцидента>, сформированном для зарегистрированного инцидента.

  • Имя топ-тега – имя параметра технологического процесса, оказавшего наибольшее влияние на регистрацию инцидента.
  • Причина инцидента – причина зарегистрированного инцидента, добавленная экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидента или присвоенная автоматически в соответствии с причиной инцидента, заданной для элемента ML-модели, зарегистрировавшего инцидент.
  • Название модели – название ML-модели, элемент которой зарегистрировал инцидент. Отсутствует, если инцидент зарегистрирован службой Stream Processor.
  • Детектор – тип зарегистрированного инцидента: Elliptic Envelope, Forecaster, Limit Detector, Rule Detector, Stream Processor.
  • Группа инцидентов – название группы инцидентов, в которую входит зарегистрированный инцидент.

    Если обнаружены два или более похожих инцидента, то они объединяются в группу, которая создается автоматически с помощью службы Similar Anomaly. Вы можете просмотреть инциденты, которые входят в определенную группу, выбрав название группы в раскрывающемся списке Группа инцидентов над таблице инцидентов.

  • Статус инцидента – статус зарегистрированного инцидента, указанный экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидента или присвоенный автоматически в соответствии со статусом инцидента, заданным для элемента ML-модели, зарегистрировавшего инцидент.

    Вы можете установить статус инцидента по результатам анализа инцидента, выбрав нужное значение в раскрывающемся списке. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.

В начало

[Topic 248091]

Просмотр технических характеристик зарегистрированного инцидента

Развернуть все | Свернуть все

Функциональность доступна после добавления лицензионного ключа.

В разделе Инциденты вы можете просмотреть технические характеристики зарегистрированных инцидентов. Для этого нажмите на кнопку Пиктограмма в виде зеленой закрывающей угловой скобки. около нужного инцидента в таблице инцидентов. Для выбранного инцидента отобразятся следующие технические характеристики:

  • Инцидент – блок, содержащий информацию об инциденте.
    • Название модели – название ML-модели, элемент которой зарегистрировал инцидент. Отсутствует, если инцидент зарегистрирован службой Stream Processor.
    • Элемент модели – название элемента ML-модели, который зарегистрировал инцидент. Отсутствует, если инцидент зарегистрирован детектором Limit Detector или службой Stream Processor.
    • Детектор – тип зарегистрированного инцидента: Elliptic Envelope, Forecaster, Limit Detector, Rule Detector, Stream Processor.
    • Значение артефакта элемента ML-модели – значение отклонения поведения объекта мониторинга от нормального на момент регистрации инцидента. Отсутствует, если инцидент зарегистрирован детектором Limit Detector или службой Stream Processor.
    • Пороговое значение – пороговое значение, при достижении которого элементом ML-модели был зарегистрирован инцидент. Если инцидент зарегистрирован детектором Limit Detector, для этого параметра указывается значение верхнего или нижнего порога блокировки, которое было достигнуто тегом.

  • Топ-тег – блок, содержащий информацию о теге, оказавшем наибольшее влияние на регистрацию инцидента.
    • Имя топ-тега (ID топ-тега) – имя и идентификатор тега, оказавшего наибольшее влияние на регистрацию инцидента.

      Если инцидент зарегистрирован предиктивным элементом ML-модели, отображается название тега, для которого зафиксировано наибольшее отклонение от прогноза. При регистрации инцидента эллиптическим конвертом отображается название тега, при исключении которого из состава ML-модели наблюдается наименьшее отклонение наблюдения от нормального состояния. При регистрации инцидента детектором Limit Detector отображается тег, значение которого вышло за установленные для этого тега пороги блокировки.

    • Значение топ-тега – зарегистрированное в момент инцидента значение топ-тега.
    • Пороги блокировки – предельно допустимые значения топ-тега.

      Пределы блокировки требуются для правильной работы детектора Limit Detector. В момент, когда значение тега достигает верхнего или нижнего порога блокировки, детектор Limit Detector регистрирует инцидент.

    • Описание – описание топ-тега.
    • Единицы измерения – единицы измерения значений топ-тега.

  • Параметры инцидента службы Stream Processor – блок, содержащий информацию о параметрах инцидента, зарегистрированного службой Stream Processor. Этот блок параметров отображается, только если текущий инцидент был зарегистрирован службой Stream Processor.
    • Тип инцидента – тип инцидента, зарегистрированного службой Stream Processor. Служба Stream Processor регистрирует инциденты в случае обнаружения наблюдений, поступивших слишком рано или поздно, а также в случае прекращения или прерывания входного потока данных определенного тега.
    • Дата и время данных – дата и время формирования наблюдения по часам объекта мониторинга. Этот параметр отображается только для типов инцидентов Позднее поступление наблюдения и Сбой часов.
    • Отставание / Опережение – количество времени, на которое время формирования наблюдения отстает от времени поступления этого наблюдения в Kaspersky MLAD или опережает его. При поступлении данных слишком рано значение параметра отображается со знаком плюс (+). При поступлении данных в программу поздно значение параметра отображается со знаком минус (-). Этот параметр отображается только для типов инцидентов Позднее поступление наблюдения и Сбой часов.
  • Причина инцидента – поле для выбора причины инцидента. Это поле заполняет эксперт (технолог или специалист АСУ ТП). Если требуется, системный администратор может создать, изменить или удалить причины инцидентов.

    Причина инцидента может быть присвоена автоматически, если в параметрах элемента ML-модели, зарегистрировавшего инцидент, задана причина инцидента.

  • Экспертное заключение – поле для ввода экспертного заключения по анализу зарегистрированного инцидента. Это поле заполняет эксперт (технолог или специалист АСУ ТП).

    Экспертное заключение может быть присвоено автоматически, если в параметрах элемента ML-модели, зарегистрировавшего инцидент, задано экспертное заключение.

  • Замечание – поле для ввода комментария для выбранного инцидента. Если требуется, вы можете указать комментарий для инцидента.
В начало

[Topic 248092]

Просмотр групп инцидентов

При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу (с помощью службы Similar Anomaly). Это позволяет анализировать инциденты с учетом предыстории, а также использовать экспертные заключения, сделанные для аналогичных инцидентов. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа инцидентов. Если в этом столбце для инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие. Инциденты могут быть перегруппированы, и при этом экспертные заключения, добавленные к этим инцидентам, мигрируют в новую группу. Название группы присваивается автоматически – Group #N (N – порядковый номер группы). При необходимости вы можете изменить название группы.

Функциональность доступна после добавления лицензионного ключа.

Чтобы просмотреть группы инцидентов,

в основном меню выберите раздел Инциденты и выберите вкладку Группы.

В таблице, расположенной в центральной части страницы, будут показаны все группы инцидентов для вашего объекта мониторинга.

Для каждой группы инцидентов в таблице, отображается следующая информация:

  • ID – идентификатор группы инцидентов.
  • Название группы – название группы инцидентов.
  • Экспертное заключение – заключение по анализу группы зарегистрированных инцидентов, добавленное экспертом (технологом или специалистом АСУ ТП).
  • Количество инцидентов – количество зарегистрированных инцидентов, которые входят в группу.

    Вы можете перейти к просмотру инцидентов группы, нажав на количество инцидентов нужной группы.

  • Дата и время – дата и время создания группы инцидентов.
  • Статус – статус зарегистрированных инцидентов в группе, указанный экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидентов или присвоенный инцидентам автоматически в соответствии со статусом инцидентов, заданным для элементов ML-моделей, зарегистрировавших инциденты.

    Вы можете установить статус группы инцидентов по результатам их анализа, выбрав нужное значение в раскрывающемся списке. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.

Чтобы просмотреть подробную информацию о группе инцидентов:

  1. Нажмите на кнопку Пиктограмма в виде зеленой закрывающей угловой скобки. около группы инцидентов.

    Отобразится список инцидентов, входящих в эту группу. Для каждого инцидента группы отображаются следующие технические характеристики:

    • Дата инцидента – дата и время регистрации инцидента.

      Вы можете перейти в раздел История, нажав на значение даты регистрации инцидента.

    • Имя топ-тега – имя тега, который оказал наибольшее влияние на регистрацию инцидента.
    • Значение топ-тега – значение тега, оказавшего наибольшее влияние на регистрацию инцидента.
    • Релевантные теги – таблица, которая содержит идентификаторы тегов, оказавших влияние на определение похожих инцидентов и объединение таких инцидентов в группу.
  2. Если требуется просмотреть степень влияния тега на формирование похожих инцидентов, нажмите на ячейку таблицы Релевантные теги, в которой содержится идентификатор нужного тега.

    Все ячейки таблицы, содержащие выбранный идентификатор тега, будут выделены зеленым цветом. Чем ближе к первому столбцу таблицы находятся выделенные зеленым цветом ячейки, содержащие идентификатор выбранного тега, тем большее влияние этот тег оказал на определение похожих инцидентов и объединение их в группу.

Также вы можете добавить статус и экспертное заключение для группы инцидентов.

В начало

[Topic 248093]

Исследование поведения объекта мониторинга в момент обнаружения инцидента

В этом разделе приводится последовательность действий, которые требуется выполнить для исследования поведения объекта мониторинга в момент обнаружения инцидента.

Функциональность доступна после добавления лицензионного ключа.

Исследование поведения объекта мониторинга состоит из следующих этапов:

  1. Просмотр истории полученных тегов для объекта мониторинга в разделе История

    Вы можете перейти к просмотру информации об инциденте одним из следующих способов:

    • Если вы хотите просмотреть недавно обнаруженный инцидент, в разделе Информационная панель нажмите на дату и время интересующего вас инцидента в таблице Последние инциденты.
    • В разделе Инциденты нажмите на дату и время интересующего вас инцидента в таблице инцидентов.
    • Если для вас было создано уведомление об инцидентах, вы можете перейти к инциденту по ссылке из уведомления электронной почты. Сообщение электронной почты содержит время начала инцидента, топ-тег и ссылку для перехода в раздел История в веб-интерфейсе Kaspersky MLAD.

    В разделе История Kaspersky MLAD отображает графики тегов, полученных от объекта мониторинга, для которого зарегистрирован выбранный инцидент. На графиках отображаются данные по пресету Теги инцидента #<идентификатор инцидента>, сформированному по дате и времени регистрации выбранного инцидента. В этот пресет входят теги, поведение которых привело к регистрации инцидента. В зависимости от типа источника, который зарегистрировал инцидент, это могут быть следующие теги:

    • Теги, для фактических значений которых были зафиксированы наибольшие отклонения от прогноза ML-модели, если инцидент был зарегистрирован предиктивным элементом ML-модели.
    • Теги, входящие в диагностическое правило, и значение, полученное в результате работы этого правила, если инцидент был зарегистрирован элементом ML-модели на основе диагностического правила.
    • Теги, при исключении которых из ML-модели наблюдаются наименьшие отклонения наблюдений от нормального состояния, если инцидент был зарегистрирован элементом ML-модели на основе эллиптического конверта.
    • Тег, значение которого вышло за заданные пороги блокировки, если инцидент был зарегистрирован детектором Limit Detector.

    Если требуется, вы можете выбрать другой пресет для отображения данных, полученных от объекта мониторинга в момент регистрации инцидента. На дату и время регистрации инцидента на графике указывает вертикальная синяя пунктирная линия.

    Пример графиков тегов для зарегистрированного инцидента в разделе История.

    Графики тегов отображаются в верхней части раздела История. В нижней части раздела История отображается график артефакта элемента ML-модели.

    Окно раздела "История" содержит информацию об обработке исторических данных.

    Графики тегов в разделе История

  2. Настройка параметров отображения данных на графиках в разделе История

    В разделе История вы можете включить отображение прогнозируемых значений тегов, полученные в результате работы предиктивных элементов ML-модели. Это позволяет оценить расхождение между фактическими и прогнозируемыми значениями тегов. Информация о теге (имя, описание, дата и время наблюдения, значение и единица измерения тега) отображается при наведении курсора мыши на график определенного тега. Также вы можете включить отображение имени и описания тега слева от графиков каждого тега.

  3. Настройка параметров времени для отображения данных в разделе История

    При исследовании поведения тегов вы можете изменять масштаб оси времени или перемещаться по графикам вперед или назад по времени. При отображении более коротких интервалов времени на графиках тегов в разделе История могут проявляться детали поведения тегов, которые усреднялись, когда графики тега отображались за более длительный период.

  4. Изменение вертикальных границ отображения данных в разделе История

    Если отображаются единичные графические области, то выбор вертикального масштаба графика по умолчанию производится автоматически, исходя из минимального и максимального значений тега в отображаемой области. Если для тега установлены минимальное и максимальное допустимые значения (пороги блокировки), вы можете контролировать масштаб графиков по шкале значений на вертикальной оси, включив функцию Всегда показывать пороги блокировки. При условии, что значения тега находятся в допустимом диапазоне, вертикальный масштаб графика будет зафиксирован пороговыми линиями, выводимыми по нижней и верхней границам графика тега. Если значения тега выйдут за заданные пороги блокировки, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.

    Если отображаются графические области для нескольких тегов, то вертикальный масштаб их отображения регулируется с помощью параметров соответствующей графической области, которые вы можете задать при изменении выбранного пресета.

В начало

[Topic 248094]

Добавление статуса, причины, экспертного заключения и замечания к инциденту или группе инцидентов

Kaspersky MLAD позволяет добавлять экспертное заключение или замечание к зарегистрированному инциденту.

Функциональность доступна после добавления лицензионного ключа.

Экспертное заключение, как правило, добавляет эксперт (технолог или специалист АСУ ТП), и оно может содержать анализ инцидента или рекомендации по устранению проблемы, на которую указывает выявленный инцидент. Экспертное заключение может быть добавлено как к инциденту, так и к группе инцидентов. При этом если сгруппированы инциденты, к которым ранее были добавлены экспертные заключения, то эти заключения отображаются и в группе (с привязкой к каждому конкретному инциденту). При перегруппировке инцидентов экспертное заключение для инцидента мигрирует вместе с инцидентом в новую группу.

Замечания предназначены для обсуждения между экспертами или операторами предпринятых по инциденту действий: анализ, расследование, исправление. В каждом замечании фиксируется информация о том, кто и когда его добавил.

Вы также можете добавить причину возникновения инцидента и статус инцидента, установленные экспертом по результатам анализа инцидента. Статус инцидента может быть присвоен как инциденту, так и группе инцидентов. При изменении статуса группы инцидентов Kaspersky MLAD изменяет статус инцидентов, входящих в эту группу. Статус инцидента также влияет на то, будет ли отображаться точка-индикатор для этого инцидента в разделах Мониторинг и История и будет ли отправлено уведомление об инциденте с этим статусом. Если для статуса инцидента снят флажок Уведомлять об инциденте, то точки-индикаторы инцидентов, которым этот статус был присвоен автоматически, не будут отображаться в разделах Мониторинг и История, а уведомления об инцидентах не будут отправляться по электронной почте. Статус инцидента может быть присвоен автоматически в одном из следующих случаев:

  • Если инцидент был автоматически отнесен к группе, для которой установлен статус.
  • Если инцидент зарегистрирован элементом ML-модели, в параметрах которого задан статус инцидента по умолчанию.

Для статусов Проблема закрыта и Игнорировать по умолчанию снят флажок Уведомлять об инциденте. Если при регистрации инцидентам автоматически присваивается один из этих статусов в соответствии со статусом, заданным для элемента ML-модели, зарегистрировавшего этот инцидент, то уведомления об этих инцидентах не будут отправлены.

Если вы заранее знаете экспертное заключение, причину и/или статус по инцидентам, зарегистрированным конкретным элементом ML-модели, вы можете указать эту информацию в параметрах соответствующего элемента. Заданные экспертное заключение, причина и/или статус будут автоматически присвоены инцидентам в момент их регистрации этим элементом.

Перед добавлением причины, статуса, замечания или экспертного заключения требуется провести анализ зарегистрированного инцидента.

Чтобы добавить экспертное заключение, статус, причину и замечание к инциденту:

  1. В основном меню выберите раздел Инциденты.
  2. При необходимости измените статус инцидента, выбрав в раскрывающемся списке Статус инцидента один из следующих статусов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать или Ложное срабатывание.

    По умолчанию инциденту присваивается статус Не установлен. Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.

  3. Для отображения подробных технических характеристик инцидента нажмите на кнопку Пиктограмма в виде зеленой закрывающей угловой скобки. около нужного инцидента. В открывшейся области деталей вы можете выполнить следующие действия:
    • Если требуется добавить причину инцидента, в поле Причина инцидента выберите причину инцидента.

      При необходимости системный администратор может создать, изменить или удалить причины инцидентов.

    • Если требуется добавить экспертное заключение по анализу зарегистрированного инцидента, нажмите на кнопку Пиктограмма в виде зеленого карандаша., расположенную справа от поля Экспертное заключение, в появившемся поле введите заключение и нажмите на клавишу ENTER.

      Экспертное заключение будет добавлено к выбранному инциденту и отобразится в таблице инцидентов разделе Инциденты.

    • Если требуется добавить замечание к инциденту, в поле Замечание введите сообщение и нажмите на кнопку Добавить замечание.

      Вы можете указать сообщение длиной не более 512 символов.

Статус, причина, экспертное заключение и замечание будут добавлены к инциденту и будут доступны другим пользователям при просмотре этого инцидента.

При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу. Название группы присваивается также автоматически – Group #N (N – порядковый номер группы). Вы можете изменить название группы, а также изменить статус группы инцидентов и экспертное заключение, содержащее, например, рекомендации при анализе похожих инцидентов.

Чтобы добавить статус и экспертное заключение к группе инцидентов:

  1. В основном меню выберите раздел Инциденты и нажмите на Группы.
  2. При необходимости измените статус группы инцидентов, выбрав в раскрывающемся списке Статус один из следующих статусов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать или Ложное срабатывание.

    При изменении статуса группы инцидентов Kaspersky MLAD изменяет статус инцидентов, входящих в эту группу. По умолчанию группе инцидентов присваивается статус Не установлен.

    Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.

  3. В таблице групп инцидентов дважды нажмите на строку группы инцидентов.

    Откроется окно Изменение группы.

  4. Если требуется изменить название группы инцидентов, в поле Название группы введите новое название группы.
  5. В поле Экспертное заключение введите текст экспертного заключения (например, рекомендации при анализе похожих инцидентов).
  6. Нажмите на кнопку Сохранить.

Статус и экспертное заключение будут изменены для группы инцидентов и будут доступны для просмотра другим пользователям в таблице Группы в разделе Инциденты.

В начало

[Topic 248095]

Экспорт инцидентов в файл

Вы можете сохранить в файл формата XLSX инциденты, зарегистрированные за определенный период в Kaspersky MLAD.

Функциональность доступна после добавления лицензионного ключа.

Чтобы сохранить в файл зарегистрированные за определенный период инциденты:

  1. В основном меню выберите раздел Инциденты.
  2. В верхней части открывшейся страницы выберите даты начала и окончания периода.
  3. Нажмите на кнопку Экспорт.
  4. Выберите директорию для сохранения на локальном диске и сохраните файл.

Инциденты, зарегистрированные за выбранный период в Kaspersky MLAD, будут сохранены на локальном диске в файл формата XLSX. Файл формата XLSX можно открыть в программе Microsoft Excel.

В начало

[Topic 248027]

Управление ML-моделями

Этот раздел содержит информацию о работе с ML-моделями, шаблонами ML-моделей и разметками.

Функциональность доступна после добавления лицензионного ключа.

ML-модели, шаблоны ML-моделей и разметки являются функциональными элементами иерархической структуры объекта мониторинга. Иерархическая структура отображается в виде дерева активов.

В Kaspersky MLAD ML-модели могут быть импортированы, созданы вручную, скопированы или созданы по шаблону. Если вы создали ML-модель вручную, скопировали ML-модель, которая была создана вручную, или создали ML-модель по шаблону модели, созданной вручную, вы можете добавить в ML-модель предиктивные элементы, элементы на основе эллиптического конверта и/или элементы на основе диагностических правил.

После обучения элементов ML-модели и проверки результатов их обучения вы можете запустить исторический или потоковый инференс для ML-модели. В результате инференса элементы ML-модели регистрируют инциденты, а также формируют артефакты, которые можно просмотреть в разделах Мониторинг и История.

При необходимости вы можете опубликовать ML-модель. Для опубликованной ML-модели вы также можете запустить исторический или потоковый инференс.

В разделе Модели вы можете создавать разметки для формирования

или . При необходимости вы можете изменять разметки, копировать и удалять их.

В этом разделе

Об ML-моделях

О статусах и состояниях ML-моделей и их элементов

О шаблонах ML-моделей

О разметках

Об условиях в составе разметок и диагностических правил

Сценарий: работа с ML-моделями

Поиск и фильтрация объектов в разделе Модели

Работа с разметками

Работа с импортированными ML-моделями

Работа с ML-моделями, созданными вручную

Копирование элемента ML-модели

Удаление элемента ML-модели

Копирование ML-модели

Работа с шаблонами ML-моделей

Изменение параметров ML-модели

Обучение предиктивного элемента ML-модели

Обучение элемента ML-модели на основе эллиптического конверта

Просмотр результатов обучения элемента ML-модели

Запуск и остановка инференса ML-модели

Просмотр графа потока данных в ML-модели

Подготовка ML-модели к публикации

Публикация ML-модели

Удаление ML-модели

В начало

[Topic 247967]

Об ML-моделях

ML-модель – это алгоритм, основанный на методах машинного обучения, задачей которого является анализ телеметрии объекта мониторинга и обнаружение аномалий.

ML-модель создается для конкретного объекта мониторинга с учетом особенностей объекта и характеристик данных телеметрии. При создании ML-модели формируется общая структура алгоритма (архитектура), после чего ML-модель обучается на исторических данных телеметрии, таким образом настраиваясь на особенности поведения конкретного объекта.

ML-модель состоит из одного или нескольких элементов, каждый из которых самостоятельно анализирует телеметрию для выявления аномалий. Как правило, чем сложнее технологические процессы объекта мониторинга, тем больше элементов будет содержать ML-модель. ML-модель может включать в себя следующие элементы, работающие параллельно:

Предиктивные элементы и элементы на основе эллиптического конверта требуется обучить. Процесс обучения предиктивного элемента может состоять из одной или нескольких эпох. Эпоха – это цикл, в течение которого элемент обучается на всем наборе обучающих данных. Количество эпох для обучения задается в параметрах обучения элемента. Элементы на основе диагностического правила обучать не требуется, поэтому они считаются обученными.

Процесс работы ML-модели с данными телеметрии для выявления аномального поведения называется инференсом. В Kaspersky MLAD инференс ML-модели может выполняться как на исторических данных (исторический инференс), так и данных телеметрии, поступающих в режиме реального времени (потоковый инференс). В случае запуска исторического инференса для нескольких ML-моделей, Kaspersky MLAD выполняет инференс этих ML-моделей в порядке очереди их запуска. Длительность выполнения исторического инференса определяется интервалом времени данных, которые анализирует ML-модель. В случае запуска потокового инференса для нескольких ML-моделей, Kaspersky MLAD выполняет инференс этих ML-моделей одновременно. Выполнение исторического и потокового инференса происходит параллельно и независимо друг от друга. В процессе инференса ML-модель регистрирует инциденты, которые можно просмотреть в разделе Инциденты.

Помимо инцидентов в результате инференса ML-модель также формирует артефакты. Артефакт представляет собой последовательность числовых значений (временной ряд). ML-модель может сформировать следующие артефакты:

  • Артефакты, связанные с тегами. Элемент ML-модели формирует эти артефакты для каждого из своих выходных тегов. Эти артефакты формируются только предиктивными элементами ML-модели и представляют собой прогнозируемое значение тега и ошибку этого прогноза.
  • Артефакты элементов ML-моделей. Артефакт такого типа формируется каждым элементом ML-модели и является основным результатом работы этого элемента. Математическая природа артефакта зависит от аналитических алгоритмов, используемых элементом, при этом артефакт для элемента ML-модели любого типа интерпретируется одинаково как степень отклонения поведения объекта мониторинга от ожидаемого (нормального). У каждого артефакта есть пороговое значение, при достижении которого регистрируется инцидент.

Вы можете просмотреть сформированные артефакты в разделах Мониторинг и История.

ML-модели могут быть созданы специалистами "Лаборатории Касперского" или сертифицированным интегратором в рамках Услуги построения модели и внедрения Kaspersky MLAD. Для использования таких ML-моделей требуется импортировать их в Kaspersky MLAD. Вы также можете самостоятельно создавать ML-модели и добавлять в них нужные элементы с помощью конструктора моделей.

В этом разделе

О предиктивных элементах ML-модели

Об элементах ML-модели на основе диагностического правила

Об элементах ML-модели на основе эллиптического конверта

См. также

Управление ML-моделями

В начало

[Topic 255932]

О предиктивных элементах ML-модели

Предиктивные элементы ML-модели прогнозируют поведение объекта на основе данных о его поведении в ближайшем прошлом. К предиктивным элементам ML-модели относятся нейросетевые элементы и элементы на основе линейной регрессии.

Конструктор моделей Kaspersky MLAD поддерживает следующие архитектуры для предиктивных элементов ML-модели:

  • Dense. Нейросетевой элемент ML-модели с полносвязной архитектурой. При создании элемента ML-модели указываются множители для вычисления количества нейронов на внутренних слоях и функции активации на них.
  • TCN. Нейросетевой элемент ML-модели с иерархической по времени сверточной архитектурой. При создании элемента ML-модели указывается размер и количество фильтров, расширения на слоях, функции активации на них и количество слоев в остаточном блоке.
  • CNN. Нейросетевой элемент ML-модели со сверточной архитектурой. При создании элемента ML-модели указывается количество нейронов на слоях декодирующего блока, размер и количество фильтров на слоях и размер окна выборки максимума (MaxPooling).
  • RNN. Нейросетевой элемент ML-модели с рекуррентной архитектурой. При создании элемента ML-модели указывается количество GRU-нейронов на слоях, а также количество распределенных по времени нейронов на слоях декодирующего блока.
  • Transformer. Нейросетевой элемент ML-модели с архитектурой Transformer. При создании элемента ML-модели указывается количество голов внимания и количество кодирующих блоков Transformer.
  • Линейная регрессия. Элемент ML-модели на основе линейной регрессии.

В результате инференса предиктивный элемент ML-модели формирует следующие артефакты:

  • Прогнозируемые значения тегов. Отображаются в центральной части разделов Мониторинг и История на единичных графических областях выбранного пресета.
  • Индивидуальные ошибки прогнозов – отличия прогнозируемых значений от фактических по каждому тегу. Отображаются в центральной части разделов Мониторинг и История на единичных графических областях выбранного пресета.
  • Суммарная ошибка прогнозов (далее также "общая ошибка прогноза") – суммарный показатель отличия прогнозируемых значений от фактических. Общая ошибка прогноза и порог общей ошибки прогноза отображается на графической области в центральной части разделов Мониторинг и История после графических областей выбранного пресета, а также на графике артефакта элемента ML-модели, расположенном в нижней части разделов.

    Если общая ошибка прогноза превышает порог общей ошибки прогноза, то предиктивный элемент ML-модели считает, что обнаружил отклонение в поведении объекта мониторинга, и регистрирует инцидент.

В начало

[Topic 255933]

Об элементах ML-модели на основе диагностического правила

Диагностические правила описывают заранее известные особенности поведения объекта мониторинга, проявление которых вы считаете аномалией. Диагностические правила должны быть формализованы и должны вычисляться на основе доступной телеметрии объекта.

Примеры диагностических правил:

  • уровень тега А резко изменился (критерий поведения тега Ступенька);
  • за последние 12 часов тег Б имеет тренд на повышение, при этом тег B имеет тренд на понижение, а тег C не имеет выраженной динамики;
  • значение тега Х упало ниже 2800 при условии, что до этого оно поднималось выше 2900.
В начало

[Topic 275286]

Об элементах ML-модели на основе эллиптического конверта

Эллиптические конверты используются для выявления аномальных состояний объекта мониторинга.

В отличие от предиктивного элемента эллиптический конверт не пытается установить, как поведение входных тегов ML-модели влияет на поведение выходных тегов. Эллиптический конверт использует предположение, что совокупность тегов, включенных в ML-модель, в каждый конкретный момент времени описывает состояние объекта мониторинга, и наблюдаемые состояния имеют нормальное распределение (далее также "распределение по Гауссу") в фазовом пространстве.

Во время обучения эллиптический конверт подбирает параметры этого нормального распределения с учетом того, что обучающая выборка может содержать некоторый процент аномальных состояний. В результате обучения ML-модели в фазовом пространстве формируется эллиптическая область такая, что состояния, попадающие в эту область, считаются нормальными, а все остальные считаются выбросами (аномалией). Чем дальше от границ эллипса находится состояние, тем более аномальным оно является. Тег, значение которого в составе аномального состояния, внесло наибольший вклад в удаление от эллипса, считается топ-тегом.

Эллиптический конверт более прост в построении, чем предиктивный элемент, быстро обучается и требует меньше ресурсов по время инференса. Однако эллиптический конверт показывает хороший результат только при применении к стационарному режиму работы оборудования, не предполагающему множественности рабочих диапазонов и резкого изменения значений тегов.

В начало

[Topic 269762]

О статусах и состояниях ML-моделей и их элементов

Статусы и состояния ML-моделей и их элементов позволяют отобразить в программе последовательность действий, совершенных пользователем в разделе Модели.

Для элементов ML-модели предусмотрены следующие статусы:

  • Не обучен. Этот статус присваивается элементу ML-модели, если для него еще не было запущено обучение или обучение было завершено с ошибкой. Этот статус также отображается для элементов, которые были ранее обучены, но параметры их обучения были изменены. В дереве активов слева от названия необученных элементов отображается значок Пиктограмма в виде квадрата голубого цвета..
  • Обучен. Этот статус присваивается элементу ML-модели, если его обучение было успешно завершено или если элемент не подлежит обучению. В дереве активов слева от названия обученных элементов отображается значок Пиктограмма в виде квадрата зеленого цвета..

ML-модели может быть присвоен один из следующих статусов:

  • Не активирована. ML-модель импортирована, но не активирована. В дереве активов слева от названия ML-модели отображается значок Пиктограмма в виде круга серого цвета..
  • Не обучена. ML-модель активирована или создана вручную. В составе ML-модели есть необученные элементы. В дереве активов слева от названия ML-модели отображается значок Пиктограмма в виде круга голубого цвета..
  • Обучена. Все элементы в составе ML-модели обучены или их обучение не требуется. Для обученной ML-модели может быть запущен инференс. В дереве активов слева от названия ML-модели отображается значок Пиктограмма в виде круга зеленого цвета..
  • Готова к публикации. ML-модель подготовлена к публикации и недоступна для изменений. В дереве активов слева от названия ML-модели отображается значок Пиктограмма в виде круга желтого цвета..
  • Опубликована. ML-модель опубликована. Для опубликованной ML-модели может быть запущен инференс. В дереве активов слева от названия ML-модели отображается значок Пиктограмма в виде круга фиолетового цвета..

Состояния ML-моделей и их элементов отображаются справа от названия ML-модели при просмотре определенной ML-модели, а также в дереве активов. В таблице ниже перечислены состояния ML-моделей и их элементов, предусмотренные в Kaspersky MLAD.

Состояния ML-моделей и элементов ML-моделей

Название состояния при просмотре ML-модели

Обозначение состояния в дереве активов

ML-модель

Элемент ML-модели

Описание

Не используется

Отсутствует.

Есть.

Отсутствует.

Это состояние присваивается ML-модели, если для нее ранее не были запущены инференс или обучение, а также после просмотра ML-модели по завершении инференса или обучения.

Это состояние не отображается в дереве активов.

Обучение завершено с ошибкой

TRN ERR

Есть.

Есть.

Это состояние присваивается элементам ML-модели, обучение которых завершилось с ошибкой.

Если в составе ML-модели есть хотя бы один элемент, обучение которого завершилось с ошибкой, ей также присваивается это состояние. После просмотра результатов обучения ML-модели присваивается состояние Не используется.

Идет обучение

TRN

Есть.

Есть.

Это состояние присваивается элементу ML-модели, который в настоящий момент находится в процессе обучения. Если в составе ML-модели имеются элемент в состоянии обучения и при этом отсутствуют элементы, обучение которых завершилось с ошибкой, ей также присваивается это состояние.

В очереди на обучение

TRN Q

Есть.

Есть.

Это состояние присваивается элементу ML-модели, для которой было запущено обучение, при этом в текущий момент выполняется обучение другого элемента. ML-модели это состояние присваивается, если все ее элементы поставлены в очередь на обучение.

Обучение завершено успешно

TRN DONE

Есть.

Есть.

Это состояние присваивается элементу ML-модели, обучение которого было успешно завершено.

ML-модели это состояние присваивается, если все ее элементы были успешно обучены. После просмотра результатов обучения ML-модели присваивается состояние Не используется.

Идет исторический инференс

INFR HIST

Есть.

Отсутствует.

Это состояние присваивается ML-модели, для которой запущен инференс на исторических данных. Вы можете просмотреть результаты инференса в разделе История. Инциденты, зарегистрированные в процессе инференса, отображаются в разделе Инциденты.

В очереди на инференс

INFR Q

Есть.

Отсутствует.

Это состояние присваивается ML-модели, для которой в настоящий момент выполняется инференс на исторических данных, при этом в текущий момент выполняется исторический инференс для другой ML-модели.

Завершен исторический инференс

INFR DONE

Есть.

Отсутствует.

Это состояние присваивается ML-модели, для которой был завершен инференс на исторических данных. Вы можете просмотреть результаты инференса в разделе История. Инциденты, зарегистрированные в процессе инференса, отображаются в разделе Инциденты. После просмотра ML-модели присваивается состояние Не используется.

Идет потоковый инференс

INFR STRM

Есть.

Отсутствует.

Это состояние присваивается ML-модели, для которой запущен инференс на потоковых данных. Вы можете просмотреть результаты инференса в разделе Мониторинг. Инциденты, зарегистрированные в процессе инференса, отображаются в разделе Инциденты.

В начало

[Topic 256092]

О шаблонах ML-моделей

Шаблоны ML-моделей создаются на основе ML-моделей, ранее добавленных в Kaspersky MLAD или созданных с помощью функциональности конструктора моделей. В шаблонах ML-моделей сохраняется структура алгоритма, набор элементов и состояние ML-модели, по которой был создан шаблон. Состояние обучения созданной ML-модели будет соответствовать состоянию обучения исходной ML-модели в момент создания ее шаблона.

С помощью шаблонов вы можете добавить в Kaspersky MLAD однотипные ML-модели, которые будут анализировать данные, поступающие с оборудования одного типа с похожим набором тегов. При создании ML-модели по шаблону можно изменить состав используемых в ML-модели тегов, указав идентификаторы тегов, отличные от идентификаторов тегов исходной ML-модели.

В начало

[Topic 256087]

О разметках

Разметка – это инструмент для отбора интервалов времени. Разметки используются для формирования индикаторов обучения и инференса ML-модели. Разметки в составе индикаторов обучения определяют интервалы времени данных, из которых ML-модель берет данные для обучения. В составе индикаторов инференса разметки определяют интервалы времени, в течение которых ML-модель выполняет инференс.

В составе разметки могут быть использованы два вида критериев: условия на поведение конкретных тегов (отбираются интервалы времени, в которых эти условия соблюдаются) и фильтр по времени (интервалы времени отбираются независимо от поведения тегов).

Разметка является функциональным элементом иерархической структуры. Разметки могут быть созданы вручную или импортированы в Kaspersky MLAD вместе с ML-моделью.

В начало

[Topic 267081]

Об условиях в составе разметок и диагностических правил

Отбор интервалов времени данных для индикаторов обучения или инференса в разметке, а также выполнение диагностического правила в составе ML-модели регулируется условиями, которые задаются при создании разметки и/или элемента ML-модели на основе диагностического правила. В процессе создания разметки и элемента ML-модели на основе диагностического правила вы можете задать следующие типы условий:

  • Фильтрация по времени.

    Фильтр по времени позволяет задать последовательность повторяющихся календарных интервалов (например, интервал с учетом рабочих дней в неделе и часов работы) или набор интервалов с точно определенными моментами начала и окончания.

    Если условия на поведение тегов не заданы, то отобранные фильтром интервалы будут результатом работы разметки или диагностического правила. Во всех узлах РИВС внутри отобранных интервалов правило будет считаться выполненным.

  • Условия на поведение тегов.

    Условия на поведение тегов проверяются в узлах РИВС, попавших внутрь интервалов, отобранных фильтром по времени. Если фильтрация по времени не применена, то условия на поведение тегов проверяются во всех узлах РИВС,

    Критерии поведения тегов описываются в блоках условий и связаны между собой логическими операторами AND и/или OR. Оператор AND отслеживает одновременное выполнение всех связанных критериев, а оператор OR отслеживает выполнение хотя бы одного из связанных критериев. К критериям в составе блока условия может быть индивидуально применен оператор отрицания NOT, который отслеживает поведение, обратное описанному в критерии. В свою очередь блоки условий также могут быть связаны логическими операторами AND и/или OR.

    Проверка любого условия приводит к одному из трех результатов:

    • Положительный результат (TRUE) – в случае выполнения условия. Если критерии связаны между собой логическим оператором OR и проверка критериев дали результаты TRUE и UNDEFINED, то проверка всего блока условий даст положительный результат.
    • Отрицательный результат (FALSE) – в случае невыполнения условия.
    • Неопределенный результат (UNDEFINED) – в случае невозможности проверить выполнение условия (например, из-за нехватки необходимого количества данных). Проверка всего блока условий дает неопределенный результат в следующих случаях:
      • Если критерии блока условий связаны между собой логическим оператором OR и проверка отдельных критериев дали результаты FALSE и UNDEFINED.
      • Если критерии блока условий связаны между собой логическим оператором AND и проверка отдельных критериев дали результаты UNDEFINED и TRUE и/или FALSE.

    При необходимости вы можете связать два блока условия темпоральным оператором Пауза или Если далее. Блок условий, предшествующий темпоральному оператору, называется предварительным условием. Блок условий, следующий за темпоральным оператором, называется пост-условием. В отличие от логических операторов AND и OR, требующего одновременной проверки условий, темпоральный оператор связывает блоки условий, выполнение которых проверяется в разные моменты времени.

    Предварительное условие проверяется в одном узле РИВС, а пост-условие проверяется в одном или нескольких подряд следующих узлах РИВС. Промежуток между узлом проверки предварительного условия и узлами, в которых проверяется пост-условия, соответствует интервалу ожидания. Проверка пост-условия регулируется следующими параметрами:

    • Минимальный интервал ожидания – интервал между узлом проверки предварительного условия и узлом РИВС, с которого начнется проверка пост-условия.
    • Максимальный интервал ожидания – интервал между узлом проверки предварительного условия и узлом РИВС, в котором закончится проверка пост-условия.
    • Групповой оператор, который определяет, требуется ли, чтобы пост-условие было выполнено во всех узлах проверки пост-условия или хотя бы в одном из них.

    Если проверка предварительного условия дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение станет результатом применения всего темпорального оператора. Если проверка предварительного условия дала положительный результат TRUE, то проверка пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания, при этом результат применения темпорального оператора определяется результатами проверок пост-условия с учетом значения группового оператора.

    Если проводится более одной проверки условия с помощью темпорального оператора, то предварительным условием для каждого следующего темпорального оператора является результат применения предыдущего темпорального оператора.

    Результат применения темпорального оператора Если далее формируется в узле проверки предварительного условия. Темпоральный оператор Если далее может быть использован только в составе индикатора обучения, так как для его выполнения требуются данные из будущего, которые в процессе инференса еще не доступны.

    Результат применения темпорального оператора Пауза формируется в последнем узле РИВС проверки пост-условия. Поскольку в этот момент все узлы, участвующие в операторе находятся в прошлом, то оператор Пауза может быть использован как в составе индикатора обучения, так и в составе индикатора инференса.

    Общий результат проверки всех условий разметки или диагностического правила может быть либо положительным (TRUE), либо отрицательным (FALSE). Если в каком-то узле РИВС проверка всех заданных условий на поведение тегов привела к неопределенному результату (UNDEFINED), то общий результат применения разметки или диагностического правила в этом узле определяется значением параметра Интерпретировать невозможность оценки условия как выполнение правила.

В начало

[Topic 265458]

Сценарий: работа с ML-моделями

В этом разделе приводится последовательность действий, которые требуется выполнить при работе с ML-моделями.

Функциональность доступна после добавления лицензионного ключа.

Сценарий работы с ML-моделями состоит из следующих этапов:

  1. Добавление разметок

    Если требуется отобрать интервалы времени данных, на которых ML-модели должны выполнять обучение или инференс, создайте разметки.

  2. Добавление ML-модели

    Вы можете добавить ML-модель в Kaspersky MLAD одним из следующих способов:

  3. Обучение элементов ML-модели

    Для проведения инференса ML-модель должна быть обучена. Для этого все предиктивные элементы и элементы на основе эллиптического конверта в составе ML-модели требуется предварительно обучить. Элементы на основе диагностических правил в составе ML-модели обучать не требуется, поэтому они считаются обученными.

    ML-модель, импортированная в Kaspersky MLAD, предварительно обучена специалистами "Лаборатории Касперского" или сертифицированным интегратором. ML-модели, созданные по шаблону импортированной ML-модели или созданные путем копирования импортированной ML-модели, также считаются обученными. При необходимости вы можете изменить параметры их обучения и переобучить элементы.

    Для формирования индикатора обучения укажите созданную разметку в параметрах обучения элемента.

    После обучения элементов изучите результаты обучения, при необходимости скорректируйте параметры обучения и обучите нужные элементы заново.

  4. Инференс ML-модели

    Запустите исторический или потоковый инференс ML-модели. Изучите артефакты в разделах История и Мониторинг и инциденты, сформированные ML-моделью в результате инференса.

    Если требуется улучшить качество работы ML-модели, скорректируйте параметры ML-модели и/или разметок. При необходимости повторно обучите элементы ML-модели. Проведите повторный инференс ML-модели. При повторном запуске инференса на данных, на которых ранее был проведен инференс, предыдущие результаты инференса на этих данных будут удалены.

  5. Подготовка ML-модели к публикации

    Если вам требуется зафиксировать параметры ML-модели и ее элементов, то после завершения обучения и проверки результатов инференса ML-модели подготовьте ML-модель к публикации.

  6. Публикация ML-модели

    После подготовки ML-модели к публикации сообщите сотруднику, ответственному за публикацию ML-моделей, о ее готовности, или, если у вас есть необходимые права, опубликуйте ML-модель. При необходимости системный администратор может создать роль, которой предоставлено право для публикации ML-моделей, и назначить ее нужному сотруднику.

  7. Инференс опубликованной ML-модели

    Запустите инференс ML-модели. В процессе инференса опубликованная ML-модель анализирует данные телеметрии и регистрирует учетные инциденты. В отличие от инцидентов, сформированных в процессе инференса неопубликованной ML-моделью, учетные инциденты предполагают принятие мер и ведение отчетности по ним в рамках производственного процесса.

В начало

[Topic 284024]

Поиск и фильтрация объектов в разделе Модели

В разделе Модели в дереве активов вы можете выполнять поиск и фильтрацию следующих объектов:

  • ML-моделей;
  • шаблонов ML-моделей;
  • элементов ML-моделей;
  • разметок;
  • активов;
  • тегов.

Поиск выполняется по названиям объектов.

Чтобы найти нужные объекты в дереве активов,

в разделе Модели введите поисковой запрос в поле Поиск. Поиск выполняется по мере ввода символов в строку поиска.

Если найдены объекты, удовлетворяющие поисковому запросу, в дереве отобразятся найденные объекты, а также разделы дерева активов, в составе которых были найдены эти объекты.

Если требуется сбросить поисковой запрос, нажмите на кнопку Пиктограмма в виде белого крестика в сером круге. в строке поиска.

Вы также можете выполнять фильтрацию объектов в дереве активов. Для ML-моделей и элементов ML-моделей вы можете выбрать нужные статусы и состояния объектов.

Фильтрация применяется к объектам, найденным в соответствии с поисковым запросом. Если поисковой запрос не задан, фильтрация применяется ко всем объектам в дереве активов.

Чтобы отфильтровать объекты в дереве активов:

  1. В разделе Модели нажмите на кнопку Пиктограмма в виде фильтра., расположенную над деревом активов.

    Справа отобразятся параметры фильтрации.

  2. В раскрывающемся списке Тип раздела выберите один или несколько типов разделов дерева актива.

    Вы можете выбрать следующие типы разделов: Модели, Шаблоны моделей, Элементы моделей, Разметки, Активы и Теги.

  3. Если вы выбрали тип раздела Модели, при необходимости выполните следующие действия:
    • В раскрывающемся списке Статус модели выберите нужные статусы ML-моделей.
    • В раскрывающемся списке Состояние модели выберите нужные состояния ML-моделей.
  4. Если вы выбрали тип раздела Элементы моделей, при необходимости выполните следующие действия:
    • В раскрывающемся списке Тип элемента модели выберите один или несколько типов элементов ML-моделей.

      Вы можете выбрать следующие типы элементов ML-моделей: Предиктивный элемент, Правило и Эллиптический конверт.

    • В раскрывающемся списке Статус элемента модели выберите нужные статусы элементов ML-моделей.
    • В раскрывающемся списке Состояние модели выберите нужные состояния элементов ML-моделей.
  5. Если требуется сбросить параметры фильтрации, выполните одно из следующих действий:
    • Для сброса конкретного параметра фильтрации нажмите на кнопку Пиктограмма в виде крестика. рядом с нужным параметром.
    • Для сброса всех параметров фильтрации нажмите на кнопку Очистить фильтры в правом верхнем углу окна.
  6. Если требуется скрыть отображение параметров фильтрации нажмите на кнопку Пиктограмма в виде крестика. рядом с полем Поиск.

Фильтрация объектов выполняется по мере выбора параметров фильтрации. Если найдены объекты, удовлетворяющие параметрам фильтрации, в дереве отобразятся найденные объекты, а также разделы дерева активов, в составе которых были найдены эти объекты.

Если к дереву активов применены какие-либо параметры фильтрации, над деревом активов отображается кнопка Пиктограмма в виде фильтра с зеленной точкой..

В начало

[Topic 262151]

Работа с разметками

Этот раздел содержит информацию о работе с разметками.

Функциональность доступна после добавления лицензионного ключа.

В разделе Модели вы можете создавать, изменять и удалять разметки. Если требуется, вы можете просмотреть на графике интервалы времени данных, на основании которых ML-модель будет выполнять обучение и/или инференс.

Разметки используются в качестве индикаторов обучения или инференса, указывая ML-модели интервалы времени данных, на которых ML-модель может выполнять обучение или инференс. При создании или изменении параметров ML-модели вы можете сформировать индикатор инференса, выбрав одну или несколько ранее созданных разметок. При настройке параметров обучения элементов ML-модели вы можете сформировать индикатор обучения, выбран одну или несколько ранее созданных разметок.

В этом разделе

Создание разметки

Просмотр графика разметок

Копирование разметки

Изменение разметки

Удаление разметки

В начало

[Topic 256414]

Создание разметки

Вы можете использовать разметки для формирования индикаторов обучения или инференса ML-модели.

Функциональность доступна после добавления лицензионного ключа.

Чтобы создать разметку:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов рядом с именем актива, для которого требуется создать разметку, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Создать разметку.

    Справа отобразится список параметров.

  3. В поле Название укажите название разметки.
  4. В поле Описание укажите описание разметки.
  5. В поле Шаг сетки (сек.) укажите период РИВС в секундах в виде десятичной дроби для разметки.
  6. В поле Цвет разметки выберите цвет, которым будут выделены интервалы данных, отобранные этой разметкой.
  7. Если требуется, включите переключатель Интерпретировать невозможность оценки условия как выполнение правила.

    Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать заданные критерии выполненными.

  8. В блоке параметров Фильтрация по времени выполните одно из следующих действий:
    • Для добавления интервала нажмите на кнопку Добавить интервал и в раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
    • Для удаления интервала нажмите на кнопку Пиктограмма в виде крестика. справа от нужного интервала.

    Вы можете добавить один или несколько временных интервалов.

  9. Если требуется добавить критерии поведения тегов, выполните следующие действия:
    1. В блоке параметров Условия на теги нажмите на кнопку Условие.

    2. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

      Если требуется проверить поведение, прямо противоположное выбранному критерию поведения из блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

      Например, нажмите на кнопку NOT, если требуется добавить условие отсутствия ступеньки с заданными параметрами.

    3. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
      • Выше – значение тега превышает определенный порог.
      • Ниже – значение тега опускается ниже определенного порога.
      • Растет – линия тренда значений тега растет.
      • Падает – линия тренда значений тега падает.
      • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
      • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
      • Залипание – выбранный тег передает одно и то же значение.
      • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
    4. В поле Окно укажите продолжительность интервала для анализа поведения тегов в шагах РИВС.
    5. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
      • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и в поле Срабатывание минимальное количество выходов за пороговое значение в рамках окна.
      • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

        По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

        По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

      • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

        Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

      • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

      • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

        По умолчанию значение параметра Разброс равно нулю. При таком значении любое повторяющееся значение тега вызывает срабатывание критерия.

    6. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 9b по 9e.
    7. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев нажатием на кнопку логического оператора:
      • AND, если требуется, чтобы одновременно выполнялись все критерии блока.
      • OR, если достаточно выполнения хотя бы одного из критериев блока.
    8. Если требуется удалить критерий на поведение тегов из блока условий, нажмите на кнопку Пиктограмма в виде крестика. в строке с нужным критерием.

  10. Если требуется проверить, вызвало ли выполнение предварительного условия выполнение пост-условия, выполните следующие действия:
    1. Добавьте один из следующих темпоральных операторов:
      • Пауза, если требуется сформировать результат проверки критериев в последнем узле максимального интервала ожидания.
      • Если далее, если требуется сформировать результат проверки критериев в момент проверки предварительного условия.

      Кнопки Пауза и Если далее доступны после добавления хотя бы одного условия.

      Разметка с темпоральным оператором Если далее может быть использована только в индикаторах обучения.

    2. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
      • от – интервал между узлом проверки предварительного условия и узлом РИВС, с которого начнется проверка пост-условия (минимальный интервал ожидания).
      • до – интервал между узлом проверки предварительного условия и узлом РИВС, в котором закончится проверка пост-условия (максимальный интервал ожидания).

      Проверка пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

    3. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
      • Если требуется выполнение критериев поведения тегов из пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
      • Если требуется выполнение критериев поведения тегов из пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

      В случае добавления темпорального оператора Пауза результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проводится более одной проверки условия с помощью темпорального оператора Пауза, то предварительным условием для каждой следующей проверки темпорального условия Пауза является результат проверки предыдущего темпорального условия.

      В случае добавления темпорального оператора Если далее результат проверки критериев формируется в момент проверки предварительного условия.

  11. Выберите один из следующих логических операторов между блоками разметки нажатием на кнопку логического оператора:
    • AND, если требуется, чтобы были выполнены критерии обоих блоков условий.
    • OR, если требуется, чтобы был выполнен критерий хотя бы одного из блоков условий.
  12. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новая разметка отобразится в группе Разметки дерева активов. Группа Разметки создается автоматически и отображается в составе выбранного раздела дерева активов.

В начало

[Topic 263687]

Просмотр графика разметок

После создания разметки вы можете просмотреть на графике интервалы времени данных, отобранные разметкой.

Функциональность доступна после добавления лицензионного ключа.

Чтобы просмотреть график разметок:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите разметку, график которой вы хотите просмотреть.

    Справа отобразится список параметров.

  3. Нажмите на кнопку На графике.

    Справа отобразится панель с графиком разметки.

  4. В раскрывающемся списке Пресет выберите необходимый пресет.
  5. Если требуется, в поле Разметки выберите разметки для отображения интервалов данных.
  6. Если требуется выбрать дату и время для отображения данных, выполните одно из следующих действий:
    • В поле Центр графика выберите дату и время, на которое требуется отображать данные на графике.

      Вертикальная черная пунктирная линия будет указывать на выбранную дату и время (центр графика).

    • Нажмите на кнопку Пиктограмма в виде метки местоположения., которая расположена слева от оси времени, и выберите на оси времени нужную точку.

      Выбранная точка станет новым центром графика. Вертикальная черная пунктирная линия будет указывать на новые дату и время.

  7. Если требуется выбрать интервал времени для отображения данных на графике, выполните одно из следующих действий:
    • Если требуется отображать данные за фиксированный интервал времени, в раскрывающемся списке Масштаб выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
      • 1, 5, 10, 15 и 30 минут;
      • 1, 3, 6 и 12 часов;
      • 1, 2, 15 и 30 дней;
      • 3 и 6 месяцев;
      • 1, 2 и 3 года.

      При необходимости системный администратор может создать, изменить или удалить временные интервалы.

    • Если требуется отображать данные за произвольный интервал времени, нажмите на кнопку Пиктограмма в виде звуковой волны., которая расположена слева от оси времени, выберите на оси времени нужный интервал и нажмите на кнопку Применить. Если требуется еще раз изменить масштаб, повторите это действие.

На графике отобразятся интервалы данных в цветах, заданных для выбранных разметок.

В начало

[Topic 267923]

Копирование разметки

Вы можете создать разметку, скопировав ранее созданную разметку. При копировании будет создана разметка, параметры которой идентичны параметрам исходной разметки в момент ее копирования.

Функциональность доступна после добавления лицензионного ключа.

Чтобы скопировать разметку:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов рядом с названием разметки, которую вы хотите скопировать, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Копировать разметку.

    Справа отобразится панель Копирование разметки.

  3. В поле Название укажите название разметки.

    По умолчанию разметке присваивается название в формате <название исходной разметки>_Cloned_<дата и время копирования>.

  4. В раскрывающемся списке Актив выберите актив, к которому вы хотите отнести разметку.
  5. Нажмите на кнопку Сохранить.

Новая разметка отобразится в группе Разметки дерева активов. Группа Разметки создается автоматически и отображается в составе выбранного раздела дерева активов.

В начало

[Topic 256419]

Изменение разметки

Вы можете изменить параметры разметки.

Изменение параметров разметки недоступно для импортированных ML-моделей и ML-моделей, созданных путем копирования импортированных ML-моделей или по шаблону импортированных ML-моделей.

Функциональность доступна после добавления лицензионного ключа.

Чтобы изменить разметку:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите разметку, которую вы хотите изменить.

    Справа отобразится список параметров.

  3. Нажмите на кнопку Изменить.
  4. Если требуется, измените параметры разметки. Описание параметров см. в инструкции по созданию разметки.
  5. В правом верхнем углу окна нажмите на кнопку Сохранить.
В начало

[Topic 256425]

Удаление разметки

Вы можете удалить разметку, если она не используется для обучения или инференса какой-либо ML-модели.

Функциональность доступна после добавления лицензионного ключа.

Чтобы удалить разметку:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите разметку, которую вы хотите удалить.

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Пиктограмма в виде корзины..
  4. В открывшемся окне подтвердите удаление разметки.
В начало

[Topic 262150]

Работа с импортированными ML-моделями

Этот раздел содержит информацию о работе с импортированными ML-моделями и их элементами.

Функциональность доступна после добавления лицензионного ключа.

ML-модель может быть предоставлена специалистами "Лаборатории Касперского" или сертифицированным интегратором в рамках Услуги построения модели и внедрения Kaspersky MLAD. Такую ML-модель требуется импортировать в Kaspersky MLAD и активировать. Вы не можете создавать новые элементы для импортированной ML-модели, а также удалять уже существующие элементы.

ML-модель импортируется в Kaspersky MLAD уже обученной. Если требуется, вы можете дополнительно обучить предиктивные элементы и элементы на основе эллиптического конверта в составе импортированной ML-модели перед выполнением инференса и/или ее публикацией.

В этом разделе

Импорт ML-модели

Активация импортированной ML-модели

Изменение параметров элемента импортированной ML-модели

В начало

[Topic 248029]

Импорт ML-модели

Если ML-модель была создана специалистами "Лаборатории Касперского" или сертифицированным интегратором, вы можете импортировать эту ML-модель в Kaspersky MLAD.

При импорте ML-модели, размер которой превышает 1 ГБ, работа Kaspersky MLAD может замедлиться.

Импорт ML-моделей доступна системным администраторам и пользователям с правом Загрузка моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы импортировать ML-модель:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов рядом с именем актива, для которого требуется импортировать ML-модель, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Импортировать модель.
  3. В открывшемся окне выберите файл ML-модели.

    Файл ML-модели поставляется в виде архива формата TAR размером не более 1,5 ГБ.

ML-модель будет импортирована в Kaspersky MLAD. Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Если в составе импортированной ML-модели есть предиктивные элементы, элементы на основе эллиптического конверта и/или элементы на основе диагностических правил, в группе Модели будут отображаться подгруппы Предиктивные элементы, Эллиптические конверты и/или Правила соответственно.

После импорта ML-модели присваивается статус Не активирована. Требуется активировать ML-модель. При повторном импорте ML-модели, которая ранее была активирована и затем удалена, повторная активация ML-модели не требуется.

В начало

[Topic 248030]

Активация импортированной ML-модели

После импорта в Kaspersky MLAD ML-модели, подготовленной специалистами "Лаборатории Касперского" или сертифицированным интегратором, ее требуется активировать.

При потере кода для активации ML-модели требуется отправить запрос специалисту "Лаборатории Касперского" для получения нового кода.

Активация импортированных ML-моделей доступна системным администраторам и пользователям с правом Активация моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы активировать импортированную ML-модель:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите импортированную ML-модель.

    Справа появится область деталей.

  3. В поле Код для активации модели введите код, полученный от сотрудников "Лаборатории Касперского", и нажмите на кнопку Активировать в правом верхнем углу окна.

ML-модель активирована. Ей будет присвоен статус Обучена. При необходимости вы можете обучить ML-модель повторно, например, на новых данных.

Для запуска анализа данных телеметрии от объекта мониторинга вы можете запустить инференс ML-модели.

В начало

[Topic 248028]

Изменение параметров элемента импортированной ML-модели

Вы можете изменить некоторые параметры элемента импортированной ML-модели.

Изменение параметров недоступно, если ML-модели присвоен статус Готова к публикации или Опубликована.

Изменение параметров элементов импортированных ML-моделей доступно системным администраторам и пользователям с правом Изменение необученных моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы изменить параметры элемента импортированной ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите элемент ML-модели, который вы хотите изменить.

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Изменить.
  4. Если требуется, измените следующие параметры элемента:
    • Название и описание элемента ML-модели.
    • Период напоминания.

      Этот параметр недоступен для изменения, если ML-модель находится в состоянии Идет исторический инференс или Идет потоковый инференс.

      Изменение этого параметра приведет к изменению чувствительности обнаружения аномалий.

    • Период подавления повторных срабатываний.

      Этот параметр недоступен для изменения, если ML-модель находится в состоянии Идет исторический инференс или Идет потоковый инференс.

      Изменение этого параметра приведет к изменению чувствительности обнаружения аномалий.

    • Интервал наблюдения за аномалией.

      Этот параметр недоступен для изменения, если ML-модель находится в состоянии Идет исторический инференс или Идет потоковый инференс.

      Изменение этого параметра приведет к изменению чувствительности обнаружения аномалий.

    • Доля длительности аномалии в интервале.

      Этот параметр недоступен для изменения, если ML-модель находится в состоянии Идет исторический инференс или Идет потоковый инференс.

      Изменение этого параметра приведет к изменению чувствительности обнаружения аномалий.

    • Цвет точек-индикаторов инцидентов.
    • Статус и причину инцидента.
    • Порог регистрации инцидента.

      Этот параметр недоступен для изменения, если ML-модель находится в состоянии Идет исторический инференс или Идет потоковый инференс.

      Значение порога регистрации инцидентов установлено по результатам обучения элемента импортированной ML-модели. Изменение этого параметра приведет к изменению чувствительности обнаружения аномалий.

    • Экспертное заключение.
  5. В правом верхнем углу окна нажмите на кнопку Сохранить.

В начало

[Topic 262147]

Работа с ML-моделями, созданными вручную

Этот раздел содержит информацию о работе с ML-моделями, созданными вручную и их элементами.

Функциональность доступна после добавления лицензионного ключа.

В случае создания ML-модели вручную вы можете добавлять предиктивные элементы ML-моделей, элементы на основе эллиптических конвертов и/или элементы на основе диагностических правил, изменять и удалять их.

Для проведения инференса ML-модель должна быть обучена. Для этого все предиктивные элементы и элементы на основе эллиптического конверта в составе ML-модели требуется предварительно обучить. При необходимости вы можете просмотреть результаты обучения элементов. Элементы на основе диагностических правил обучать не требуется, поэтому они считаются обученными.

В этом разделе

Создание ML-модели

Добавление предиктивного элемента ML-модели

Изменение предиктивного элемента ML-модели

Добавление элемента ML-модели на основе диагностического правила

Изменение элемента ML-модели на основе диагностического правила

Добавление элемента ML-модели на основе эллиптического конверта

Изменение элемента ML-модели на основе эллиптического конверта

В начало

[Topic 255991]

Создание ML-модели

Создание ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы создать ML-модель:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов рядом с именем актива, для которого вы хотите создать ML-модель, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Создать модель.

    Справа отобразится список параметров.

  3. В поле Название укажите название ML-модели.

    Вы можете указать название ML-модели длиной не более 100 символов.

  4. В поле Описание укажите описание ML-модели.
  5. Если требуется применить разметки для отбора данных для выполнения инференса ML-модели, в блоке параметров Индикатор инференса выберите нужные разметки.
  6. Если требуется просмотреть, какие данные будут отобраны разметками, нажмите на кнопку На графике.

    Разметки отобразятся в цветах, выбранных при их создании.

  7. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов.

В начало

[Topic 256033]

Добавление предиктивного элемента ML-модели

Добавление элементов ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы добавить предиктивный элемент ML-модели:

  1. В основном меню выберите раздел Модели.
  2. Для добавления предиктивного элемента выполните следующие действия:
    1. В дереве активов рядом с названием ML-модели, к которой вы хотите добавить предиктивный элемент, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Создать элемент.
    2. В открывшемся окне выберите тип элемента Предиктивный элемент.
    3. Нажмите на кнопку Создать.

    Справа отобразится список параметров.

  3. В поле Название укажите название элемента ML-модели.
  4. В поле Описание укажите описание элемента ML-модели.
  5. В блоке параметров Общие параметры элемента выполните следующие действия:
    1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

    2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

    3. В поле Интервал наблюдения за аномалией (сек.) укажите период в секундах, в течение которого отслеживается аномальное поведение тега для принятия решения о регистрации инцидента.
    4. В поле Доля длительности аномалии в интервале укажите в виде десятичной дроби долю от периода, заданного в параметре Интервал наблюдения за аномалией (сек.), при достижении которой элемент ML-модели зарегистрирует инцидент.

      Вы можете указать значение в диапазоне от 0 до 1.

    5. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История. В этом цвете также будет отображаться график артефакта, сформированный этим элементом.
    6. Если требуется, в раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
    7. Если требуется, в раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели, если эта причина заранее известна.
    8. В поле Порог регистрации инцидентов укажите пороговое значение ошибки прогноза, при достижении которого происходит регистрация инцидента.

      Значение этого параметра будет автоматически скорректировано после обучения элемента ML-модели. При необходимости вы можете изменить значение этого параметра.

    9. Если требуется, в поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели, если содержание этого заключения заранее известно.
  6. Выберите одну из следующих архитектур предиктивного элемента ML-модели: Dense, RNN, CNN, TCN, Transformer или LR.
  7. Если требуется, включите переключатель Расширенные параметры нейронной сети.

    Переключатель доступен только для элементов с архитектурой Dense, RNN, CNN, TCN или Transformer.

  8. В блоке параметров Основные параметры выполните следующие действия:
    1. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде целого числа или десятичной дроби.
    2. В раскрывающемся списке Входные теги выберите один или несколько тегов, которые служат исходными данными для прогнозирования значений выходных тегов.

    3. В раскрывающемся списке Выходные теги выберите один или несколько тегов, поведение которых прогнозируется элементом модели.

    4. В поле Степень сглаживания укажите коэффициент сглаживания суммарной ошибки прогноза в виде десятичной дроби.

      Чем больше значение коэффициента, тем меньше применяется сглаживание к данным.

    5. В поле Степенной показатель ошибки прогноза укажите степень, в которую возводится значение ошибки прогноза в каждом узле РИВС перед вычислением суммарной ошибки.
  9. В блоке параметров Параметры окон выполните следующие действия:
    1. В поле Входное окно (шаги) укажите размер окна для входных значений, на основе которых элемент ML-модели прогнозирует выходные значения.

      Размер окна указывается в количестве шагов РИВС.

    2. В поле Смещение выходного окна укажите количество шагов РИВС, на которое начало выходного окна будет смещено относительно начала входного окна.
    3. В поле Выходное окно (шаги) укажите длину прогнозирования выходных тегов, вычисляемого на основании входных тегов на входном окне.
  10. Если включен режим расширенной настройки и вы добавляете элемент с Dense-архитектурой, выполните следующие действия:
    1. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на каждом слое элемента ML-модели.

      По умолчанию этот параметр имеет значение 8,4,8.

    2. В поле Функции активации на слоях укажите одну из следующих функций активации на каждом слое элемента ML-модели через запятую без пробелов:
      • relu – нелинейная функция активации, которая преобразует входное значение в значение от 0 до положительной бесконечности.
      • selu – монотонно возрастающая функция, которая включает нормализацию, основанную на центральной предельной теореме.
      • linear – линейная функция, представляющая собой прямую линию и пропорциональная входным данным.
      • sigmoid – нелинейная функция, которая преобразует входные значения в значения от 0 до 1.
      • tanh – функция гиперболического тангенса, которая преобразует входные значения в значения от -1 до 1.
      • softmax – функция для преобразования вектора значений в вероятностное распределение, которое суммируется до 1.

      По умолчанию этот параметр имеет значение relu,relu,relu.

    3. В поле Регуляризация укажите коэффициент регуляризации в виде десятичной дроби для предотвращения переобучения элемента ML-модели.

      По умолчанию этот параметр имеет значение 0.

  11. Если включен режим расширенной настройки и вы добавляете элемент с RNN-архитектурой, выполните следующие действия:
    1. В поле Количество GRU-нейронов на слоях укажите количество GRU-нейронов на слоях через запятую без пробелов.

      По умолчанию этот параметр имеет значение 40,40.

    2. В поле Количество распределенных по времени нейронов на слоях декодирующего блока укажите количество нейронов, распределенных по времени на слоях декодирующего блока, через запятую без пробелов.

      По умолчанию этот параметр имеет значение 40,20.

    3. Если требуется восстанавливать данные, принимаемые на вход сети, включите переключатель Использовать автокодировщик.
    4. В поле Регуляризация укажите коэффициент регуляризации в виде десятичной дроби для предотвращения переобучения элемента ML-модели.

      По умолчанию этот параметр имеет значение 0.

  12. Если включен режим расширенной настройки и вы добавляете элемент с CNN-архитектурой, выполните следующие действия:
    1. В поле Размер фильтров на слоях укажите размер фильтров для каждого слоя элемента через запятую без пробелов.

      По умолчанию этот параметр имеет значение 2,2,2.

    2. В поле Количество фильтров на слоях укажите количество фильтров для каждого слоя элемента ML-модели через запятую без пробелов.

      По умолчанию этот параметр имеет значение 50,50,50.

    3. В поле Регуляризация укажите коэффициент регуляризации в виде десятичной дроби для предотвращения переобучения элемента ML-модели.

      По умолчанию этот параметр имеет значение 0.

    4. В поле Размер окна выборки максимума (MaxPooling) укажите размер окна выборки максимального значения на каждом слое через запятую без пробелов.

      По умолчанию этот параметр имеет значение 2,2,2.

    5. В поле Количество нейронов на слоях декодирующего блока укажите количество нейронов на слоях декодирующего блока.
    6. Если требуется восстанавливать данные, принимаемые на вход сети, включите переключатель Использовать автокодировщик.

  13. Если включен режим расширенной настройки и вы добавляете элемент с TCN-архитектурой, выполните следующие действия:
    1. В поле Регуляризация укажите коэффициент регуляризации в виде десятичной дроби для предотвращения переобучения элемента ML-модели.

      По умолчанию этот параметр имеет значение 0.

    2. В поле Размер фильтров укажите размер фильтров элемента ML-модели.

      По умолчанию этот параметр имеет значение 3.

    3. В поле Количество слоев в остаточном блоке (residual block) укажите количество слоев в остаточном блоке.

      По умолчанию этот параметр имеет значение 1.

    4. В поле Количество фильтров на слоях укажите количество фильтров на каждом слое элемента ML-модели.

      По умолчанию этот параметр имеет значение 64.

    5. В поле Расширения на слоях (dilations) укажите экспоненциальные значения расширения выходных данных на слоях в виде списка, элементы которого перечислены через запятую.

      По умолчанию этот параметр имеет значение 1,2,4,8,16.

    6. В поле Тип слоя перед выходным выберите один из следующих типов слоя, предшествующего выходному слою:
      • TimeDistributedDense (по умолчанию) – слой с полносвязной архитектурой.
      • GRU – слой с рекуррентной архитектурой.
    7. В раскрывающемся списке Функция активации выберите одну из следующих функций активации:
      • linear – линейная функция активации, результат которой пропорционален входному значению.
      • relu – нелинейная функция активации, которая преобразует входное значение в значение от нуля до положительной бесконечности. Если входное значение меньше или равно нулю, функция возвращает значение ноль, иначе функция возвращает входное значение.

      По умолчанию этот параметр имеет значение linear.

  14. Если включен режим расширенной настройки и вы добавляете элемент с Transformer-архитектурой, выполните следующие действия:
    1. В поле Регуляризация в кодирующем блоке укажите коэффициент регуляризации в кодирующем блоке в виде десятичной дроби.

      По умолчанию этот параметр имеет значение 0.01.

    2. В поле Количество голов внимания укажите количество голов внимания (англ. attention heads).

      По умолчанию этот параметр имеет значение 1.

    3. В поле Количество кодирующих блоков укажите количество кодирующих блоков.

      По умолчанию этот параметр имеет значение 1.

    4. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на слоях декодирующего блока.

      По умолчанию этот параметр имеет значение 10,5,10.

  15. В правом верхнем углу окна нажмите на кнопку Сохранить.

При создании первого элемента в составе ML-модели в дереве активов будет автоматически создана группа Предиктивные элементы. Созданный элемент отобразится в этой группе.

Элементу ML-модели будет присвоен статус Не обучен, а ML-модели, к которой относится добавленный элемент, будет присвоен статус Не обучена. Для запуска инференса ML-модели требуется обучить все ее предиктивные элементы и элементы на основе эллиптического конверта.

В начало

[Topic 256426]

Изменение предиктивного элемента ML-модели

Вы можете изменить параметры предиктивного элемента ML-модели.

Изменение параметров недоступно, если ML-модели присвоен статус Готова к публикации или Опубликована.

Изменение элементов ML-моделей доступно системным администраторам и пользователям с правом Изменение необученных моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы изменить предиктивный элемент ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите предиктивный элемент, который вы хотите изменить.

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Изменить.
  4. Если требуется, измените параметры предиктивного элемента ML-модели. Описание параметров см. в инструкции по добавлению предиктивного элемента ML-модели.

    Изменение параметров Период напоминания (сек.), Период подавления повторных срабатываний (сек.), Интервал наблюдения за аномалией (сек.), Доля длительности аномалии в интервале, Порог регистрации инцидентов и/или Степень сглаживания приведет к изменению чувствительности обнаружения аномалий. Эти параметры недоступны для изменения, если ML-модель находится в состоянии Идет исторический инференс или Идет потоковый инференс.

  5. В правом верхнем углу окна нажмите на кнопку Сохранить.
  6. Если были изменены параметры архитектуры нейросетевого элемента, а также параметры элемента в блоках Основные параметры и/или Параметры окон, подтвердите сохранение изменений.

    После внесения изменений в эти параметры элемент ML-модели необходимо повторно обучить.

Элементу будет присвоен статус Не обучен.

В начало

[Topic 256047]

Добавление элемента ML-модели на основе диагностического правила

Добавление элементов ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы добавить элемент ML-модели на основе диагностического правила:

  1. В основном меню выберите раздел Модели.
  2. Для добавления диагностического правила выполните следующие действия:
    1. В дереве активов рядом с названием ML-модели, к которой вы хотите добавить диагностическое правило, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Создать элемент.
    2. В открывшемся окне выберите тип элемента Правило.
    3. Нажмите на кнопку Создать.

    Справа отобразится список параметров.

  3. В поле Название укажите название диагностического правила.
  4. В поле Описание укажите описание диагностического правила.
  5. В блоке параметров Общие параметры элемента выполните следующие действия:
    1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

    2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

    3. В поле Интервал наблюдения за аномалией (сек.) укажите период в секундах, в течение которого отслеживается аномальное поведение тега для принятия решения о регистрации инцидента.
    4. В поле Доля длительности аномалии в интервале укажите в виде десятичной дроби долю от периода, заданного в параметре Интервал наблюдения за аномалией (сек.), при достижении которой элемент ML-модели зарегистрирует инцидент.

      Вы можете указать значение в диапазоне от 0 до 1.

    5. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История. В этом цвете также будет отображаться график артефакта, сформированный этим элементом.
    6. Если требуется, в раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
    7. Если требуется, в раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели, если эта причина заранее известна.
    8. Если требуется, в поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели, если содержание этого заключения заранее известно.
  6. В блоке параметров Параметры правила выполните следующие действия:
    1. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в целого числа или виде десятичной дроби.
    2. Если требуется, включите переключатель Интерпретировать невозможность оценки условия как выполнение правила.

      Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать правило выполненным.

  7. В блоке параметров Фильтрация по времени выполните следующие действия:
    1. Нажмите на кнопку Добавить интервал.
    2. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
    3. Если требуется добавить еще один интервал, нажмите на кнопку Добавить интервал и выполните шаг 7b.
    4. Если требуется удалить интервал, нажмите на кнопку Пиктограмма в виде крестика. справа от нужного интервала.

    Вы можете добавить один или несколько временных интервалов. Если временной интервал не указан, то диагностическое правило применяется в каждом узле РИВС.

  8. Если требуется добавить критерии поведения тегов, выполните следующие действия:
    1. В блоке параметров Условия на теги нажмите на кнопку Условие.

    2. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

      Если требуется проверить поведение, прямо противоположное выбранному критерию поведения из блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

      Например, нажмите на кнопку NOT, если требуется добавить условие отсутствия ступеньки с заданными параметрами.

    3. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
      • Выше – значение тега превышает определенный порог.
      • Ниже – значение тега опускается ниже определенного порога.
      • Растет – линия тренда значений тега растет.
      • Падает – линия тренда значений тега падает.
      • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
      • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
      • Залипание – выбранный тег передает одно и то же значение.
      • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
    4. В поле Окно укажите количество шагов РИВС.
    5. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
      • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и в поле Срабатывание минимальное количество выходов за пороговое значение в рамках окна.
      • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

        По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

        По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

      • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

        Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

      • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

      • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

        По умолчанию значение параметра Разброс равно нулю. При таком значении любое повторяющееся значение тега вызывает срабатывание критерия.

    6. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 8b по 8e.
    7. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев нажатием на кнопку логического оператора:
      • AND, если требуется, чтобы одновременно выполнялись все критерии блока.
      • OR, если достаточно выполнения хотя бы одного из критериев блока.

  9. Если требуется проверить, вызвало ли выполнение предварительного условия выполнение пост-условия в будущем узле РИВС, добавьте темпоральный оператор:
    1. В блоке параметров Условия на теги нажмите на кнопку Пауза.

      Кнопка Пауза доступна после добавления хотя бы одного условия.

    2. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
      • от – интервал между узлом проверки предварительного условия и узлом РИВС, с которого начнется проверка пост-условия (минимальный интервал ожидания).
      • до – интервал между узлом проверки предварительного условия и узлом РИВС, в котором закончится проверка пост-условия (максимальный интервал ожидания).

      Проверка пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

    3. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
      • Если требуется выполнение критериев поведения тегов из пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
      • Если требуется выполнение критериев поведения тегов из пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

      Результат проверки критериев определяется в последнем узле максимального интервала ожидания.

      Если проводится более одной проверки условия с помощью темпорального оператора, то предварительным условием для каждой следующей проверки темпорального условия является результат проверки предыдущего темпорального условия.

  10. Выберите один из следующих логических операторов между блоками правила нажатием на кнопку логического оператора:
    • AND, если требуется, чтобы были выполнены критерии обоих блоков условий.
    • OR, если требуется, чтобы был выполнен критерий хотя бы одного из блоков условий.
  11. В правом верхнем углу окна нажмите на кнопку Сохранить.

При создании первого элемента в составе ML-модели в дереве активов будет автоматически создана группа Правила. Созданный элемент отобразится в этой группе.

Если в составе ML-модели есть только элементы на основе диагностических правил, ей будет присвоен статус Обучена. Вы можете запустить инференс для такой ML-модели. Если в составе ML-модели есть необученные предиктивные элементы и/или элементы на основе эллиптического конверта, перед запуском инференса их требуется обучить.

В начало

[Topic 256428]

Изменение элемента ML-модели на основе диагностического правила

Вы можете изменить параметры элемента ML-модели на основе диагностического правила.

Изменение параметров недоступно, если ML-модели присвоен статус Готова к публикации или Опубликована.

Изменение элементов ML-моделей доступно системным администраторам и пользователям с правом Изменение необученных моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы изменить элемент ML-модели на основе диагностического правила:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите элемент на основе диагностического правила, который вы хотите изменить.

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Изменить.
  4. Если требуется, измените параметры диагностического правила. Описание параметров см. в инструкции по добавлению элемента ML-модели на основе диагностического правила.

    Изменение параметров Период напоминания (сек.), Период подавления повторных срабатываний (сек.), Интервал наблюдения за аномалией (сек.) и/или Доля длительности аномалии в интервале приведет к изменению чувствительности обнаружения аномалий. Эти параметры недоступны для изменения, если ML-модель находится в состоянии Идет исторический инференс или Идет потоковый инференс.

  5. В правом верхнем углу окна нажмите на кнопку Сохранить.
  6. Если был изменен параметр Шаг сетки (сек.), подтвердите сохранение изменений.
В начало

[Topic 275787]

Добавление элемента ML-модели на основе эллиптического конверта

Добавление элементов ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы добавить элемент ML-модели на основе эллиптического конверта:

  1. В основном меню выберите раздел Модели.
  2. Для добавления эллиптического конверта выполните следующие действия:
    1. В дереве активов рядом с названием ML-модели, к которой вы хотите добавить эллиптический конверт, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Создать элемент.
    2. В открывшемся окне выберите тип элемента Эллиптический конверт.
    3. Нажмите на кнопку Создать.

    Справа отобразится список параметров.

  3. В поле Название укажите название элемента ML-модели.
  4. В поле Описание укажите описание элемента ML-модели.
  5. В блоке параметров Общие параметры элемента выполните следующие действия:
    1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

    2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

    3. В поле Интервал наблюдения за аномалией (сек.) укажите период в секундах, в течение которого отслеживается аномальное поведение тега для принятия решения о регистрации инцидента.
    4. В поле Доля длительности аномалии в интервале укажите в виде десятичной дроби долю от периода, заданного в параметре Интервал наблюдения за аномалией (сек.), при достижении которой элемент ML-модели зарегистрирует инцидент.

      Вы можете указать значение в диапазоне от 0 до 1.

    5. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История. В этом цвете также будет отображаться график артефакта, сформированный этим элементом.
    6. Если требуется, в раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
    7. Если требуется, в раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели, если эта причина заранее известна.
    8. В поле Порог регистрации инцидентов укажите пороговое значение, при достижении которого происходит регистрация инцидента.

      Значение этого параметра будет автоматически скорректировано после обучения элемента ML-модели. При необходимости вы можете изменить значение этого параметра.

    9. Если требуется, в поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели, если содержание этого заключения заранее известно.
  6. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде целого числа или десятичной дроби.
  7. В раскрывающемся списке Входные теги выберите один или несколько тегов, которые необходимо включить в ML-модель.
  8. В правом верхнем углу окна нажмите на кнопку Сохранить.

При создании первого элемента в составе ML-модели в дереве активов будет автоматически создана группа Эллиптические конверты. Созданный элемент отобразится в этой группе.

Элементу ML-модели будет присвоен статус Не обучен, а ML-модели, к которой относится добавленный элемент, будет присвоен статус Не обучена. Для запуска инференса ML-модели требуется обучить все ее предиктивные элементы и элементы на основе эллиптического конверта.

В начало

[Topic 275862]

Изменение элемента ML-модели на основе эллиптического конверта

Вы можете изменить параметры элемента ML-модели на основе эллиптического конверта.

Изменение параметров недоступно, если ML-модели присвоен статус Готова к публикации или Опубликована.

Изменение элементов ML-моделей доступно системным администраторам и пользователям с правом Изменение необученных моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы изменить элемент ML-модели на основе эллиптического конверта:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите элемент на основе эллиптического конверта, который вы хотите изменить.

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Изменить.
  4. Если требуется, измените параметры эллиптического конверта. Описание параметров см. в инструкции по добавлению элемента ML-модели на основе эллиптического конверта.

    Изменение параметров Период напоминания (сек.), Период подавления повторных срабатываний (сек.), Интервал наблюдения за аномалией (сек.), Доля длительности аномалии в интервале и/или Порог регистрации инцидентов приведет к изменению чувствительности обнаружения аномалий. Эти параметры недоступны для изменения, если ML-модель находится в состоянии Идет исторический инференс или Идет потоковый инференс.

  5. В правом верхнем углу окна нажмите на кнопку Сохранить.
  6. Если были изменены параметры Шаг сетки (сек.) и/или Входные теги, подтвердите сохранение изменений.

    После внесения изменений в эти параметры элемент ML-модели необходимо повторно обучить.

Элементу будет присвоен статус Не обучен.

В начало

[Topic 268133]

Копирование элемента ML-модели

Вы можете создать элемент ML-модели, скопировав элемент любой ML-модели. При копировании будет создан элемент ML-модели, в котором статус и состояние элемента, параметры архитектуры и обучения соответствуют статусу и состоянию, параметрам архитектуры и обучения исходного элемента в момент его копирования. Если исходный элемент ML-модели в момент его копирования является обученным, то в новом элементе ML-модели будут отображаться результаты обучения исходного элемента.

Функциональность доступна после добавления лицензионного ключа.

Копирование элемента, используемого в импортированной ML-модели, невозможно.

Чтобы скопировать элемент ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов рядом с названием элемента ML-модели, который вы хотите скопировать, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Копировать элемент.

    Справа отобразится панель Копирование элемента.

  3. В поле Название укажите название элемента.

    По умолчанию элементу ML-модели присваивается название в формате <название исходного элемента ML-модели>_Cloned_<дата и время копирования>.

  4. В раскрывающемся списке Модель выберите ML-модель, в состав которой вы хотите скопировать выбранный элемент.
  5. Нажмите на кнопку Сохранить.

Новый элемент ML-модели отобразится в соответствующей группе элементов выбранной ML-модели.

В начало

[Topic 256432]

Удаление элемента ML-модели

При удалении элемента ML-модели Kaspersky MLAD также удаляет результаты инференса выбранного элемента ML-модели.

Удаление элементов ML-моделей доступно системным администраторам и пользователям с правом Удаление моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.
Удаление элемента, используемого в импортированной ML-модели, невозможно.

Чтобы удалить элемент ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите элемент ML-модели, который вы хотите удалить.

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Пиктограмма в виде корзины..
  4. В открывшемся окне подтвердите удаление элемента ML-модели.
В начало

[Topic 248031]

Копирование ML-модели

Копирование ML-моделей доступно системным администраторам и пользователям с правом Копирование моделей из группы прав Управление ML-моделями.

Функциональность доступна после добавления лицензионного ключа.

Вы можете создать ML-модель, скопировав ранее добавленную ML-модель. При копировании будет создана ML-модель, в которой состав элементов, статусы и параметры ML-модели и ее элементов, а также состояние обучения элементов будут идентичны составу элементов, статусам и параметрам ML-модели и ее элементов, состоянию обучения элементов ML-модели в момент ее копирования.

После копирования ML-модели, которая была создана вручную или по шаблону на основе ML-модели, созданной вручную, вы можете добавлять в скопированную ML-модель предиктивные элементы, элементы на основе эллиптического конверта и/или элементы на основе диагностических правил, изменять и удалять их.

После копирования ML-модели, которая была импортирована в программу или создана по шаблону на основе импортированной ML-модели, вы не можете изменять состав элементов скопированной ML-модели.

Перед выполнением инференса вы можете изменить параметры обучения и переобучить элементы скопированной ML-модели.

Чтобы скопировать ML-модель:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите ML-модель, которую вы хотите скопировать.

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Пиктограма в виде двух листов бумаги..

    Справа отобразится панель Копирование модели.

  4. В поле Название укажите название ML-модели.

    Вы можете указать название ML-модели длиной не более 100 символов.

    По умолчанию ML-модели присваивается название в формате <название исходной ML-модели>_Cloned_<дата и время копирования>.

  5. В раскрывающемся списке Актив выберите актив, к которому вы хотите отнести новую ML-модель.
  6. Нажмите на кнопку Сохранить.

Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Если в составе скопированной ML-модели есть предиктивные элементы, элементы на основе эллиптического конверта и/или элементы на основе диагностических правил, в группе Модели будут отображаться подгруппы Предиктивные элементы, Эллиптические конверты и/или Правила соответственно.

В начало

[Topic 262154]

Работа с шаблонами ML-моделей

Этот раздел содержит информацию о работе с шаблонами ML-моделей.

Функциональность доступна после добавления лицензионного ключа.

Вы можете создать шаблон существующей ML-модели для многократного переиспользования ее структуры алгоритма, набора элементов и состояния обучения в момент создания шаблона. Вы можете использовать созданный шаблон для добавления новых ML-моделей.

Если исходная ML-модель, по которой был создан шаблон, была создана вручную, то вы можете добавлять в ML-модель, созданную по такому шаблону, предиктивные элементы, элементы на основе эллиптического конверта и/или элементы на основе диагностических правил, изменять и удалять их.

Если исходная ML-модель, по которой был создан шаблон, была импортирована в Kaspersky MLAD, то вы не можете изменять состав элементов ML-модели, созданной по такому шаблону.

Перед инференсом ML-модели требуется обучить все ее предиктивные элементы и элементы на основе эллиптического конверта.

В этом разделе

Создание шаблона по ML-модели

Изменение шаблона ML-модели

Создание ML-модели по шаблону

Удаление шаблона ML-модели

В начало

[Topic 248034]

Создание шаблона по ML-модели

Создание шаблонов по ML-моделям доступно системным администраторами пользователям с правом Создание шаблонов моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Вы можете создать шаблон ML-модели на основе ранее добавленной ML-модели. В созданных шаблонах будет сохранена структура алгоритма, набор элементов, состав тегов и состояние обучения исходной ML-модели.

Вы можете создать шаблон по ранее добавленной ML-модели, если все ее предиктивные элементы и элементы на основе эллиптического конверта обучены и для всех элементов на основе диагностического правила сформированы условия правил.

Чтобы создать шаблон по ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов рядом с названием ML-модели, по которой вы хотите создать шаблон, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Создать шаблон.

    Справа отобразится список параметров.

  3. В поле Название укажите название шаблона.

    Вы можете ввести не более 100 символов.

    По умолчанию шаблону присваивается название в формате Шаблон_<название ML-модели>_<дата и время создания шаблона>.

  4. Если требуется изменить имена тегов шаблона, в столбце Имя тега шаблона укажите новые имена для нужных тегов.

    Тегам шаблона автоматически присваиваются имена тегов, используемых в ML-модели, по которой создается шаблон. Вы можете указать для тегов шаблона любые другие имена, например, использовать функциональные описания ролей тегов. Имена тегов шаблона не обязаны совпадать с именами тегов ML-модели, на основе которой сформирован шаблон.

  5. Нажмите на кнопку Сохранить.

Новый шаблон ML-модели отобразится в группе Шаблоны дерева активов. Группа Шаблоны создается автоматически и отображается в составе выбранного раздела дерева активов.

В начало

[Topic 265439]

Изменение шаблона ML-модели

Вы можете изменить параметры созданного шаблона ML-модели.

Изменение шаблона ML-модели доступно системным администраторам и пользователям с правом Изменение шаблонов моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы изменить шаблон ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите шаблон, который вы хотите изменить.

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Изменить.
  4. Если требуется, измените параметры шаблона ML-модели. Описание параметров см. в инструкции по созданию шаблона ML-модели.
  5. Нажмите на кнопку Сохранить.
В начало

[Topic 248035]

Создание ML-модели по шаблону

Создание ML-моделей по шаблонам доступно системным администраторами пользователям с правом Создание моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Вы можете создать новую ML-модель на основе доступных шаблонов. При создании ML-модели вы можете указать идентификаторы тегов, которые требуется использовать в новой ML-модели.

Чтобы создать ML-модель по шаблону:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов рядом с названием шаблона, по которому вы хотите создать ML-модель, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Создать модель.

    Справа откроется панель Создание модели.

  3. В поле Название модели укажите название новой ML-модели.

    Вы можете указать название ML-модели длиной не более 100 символов.

  4. В столбце Имя тега модели для каждого тега шаблона выберите из дерева активов тег, который будет использоваться создаваемой по шаблону ML-моделью.
  5. Нажмите на кнопку Сохранить.

Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Если в составе ML-модели есть предиктивные элементы, элементы на основе эллиптического конверта и/или элементы на основе диагностических правил, в группе Модели будут отображаться подгруппы Предиктивные элементы, Эллиптические конверты и/или Правила соответственно.

Состояние созданной ML-модели будет соответствовать состоянию обучения исходной ML-модели в момент создания ее шаблона.

В начало

[Topic 248036]

Удаление шаблона ML-модели

Удаление шаблонов ML-моделей доступно системным администраторами пользователям с правом Удаление шаблонов моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Вы можете удалить шаблон ML-модели из Kaspersky MLAD. Удаление шаблона не приводит к удалению ML-моделей, созданных на основе этого шаблона.

Чтобы удалить шаблон ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите шаблон ML-модели, который требуется удалить.

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Пиктограмма в виде корзины..
  4. Подтвердите удаление шаблона ML-модели.

Выбранный шаблон ML-модели будет удален из Kaspersky MLAD.

В начало

[Topic 248097]

Изменение параметров ML-модели

Вы можете изменить параметры ML-модели, созданной вручную, импортированной в Kaspersky MLAD, созданной по шаблону, а также параметры скопированной ML-модели.

Изменение разметки недоступно для импортированных ML-моделей и ML-моделей, созданных путем копирования импортированных ML-моделей или по шаблону импортированных ML-моделей.

Изменение параметров ML-моделей доступно системным администраторам и пользователям с правом Изменение необученных моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы изменить параметры ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите ML-модель, параметры которой требуется изменить

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Изменить.
  4. Если требуется, измените параметры ML-модели. Описание параметров см. в инструкции по созданию ML-модели.
  5. В правом верхнем углу окна нажмите на кнопку Сохранить.
В начало

[Topic 261883]

Обучение предиктивного элемента ML-модели

Kaspersky MLAD позволяет выполнить обучение предиктивного элемента для ML-модели, созданной вручную, импортированной в Kaspersky MLAD, созданной по шаблону, а также для скопированной ML-модели.

Обучение элементов ML-моделей доступно системным администраторам и пользователям с правом Обучение моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы обучить элемент ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите предиктивный элемент, который вы хотите обучить.

    Справа отобразится список параметров.

  3. Откройте вкладку Обучение и нажмите на кнопку Изменить в правом верхнем углу окна.
  4. В поле Интервал отбора данных укажите интервал времени данных, на которых требуется обучить ML-модель.
  5. Если требуется применить разметки для отбора данных для обучения ML-модели в рамках выбранного интервала, в поле Разметки выберите одну или несколько разметок.

    Выбранные разметки сформируют индикатор обучения.

  6. Если требуется просмотреть, какие данные будут отобраны разметками, нажмите на кнопку На графике.

    Разметки отобразятся в указанных при создании цветах.

    При просмотре данных на графике вы можете выбрать определенный пресет.

  7. Если требуется задать расширенные параметры обучения, включите переключатель Расширенные параметры обучения.
  8. В поле Максимальная продолжительность обучения (сек.) укажите в секундах максимальное время, которое сервер Kaspersky MLAD может затратить на обучение ML-модели.
  9. В поле Размер валидационной выборки укажите в виде десятичной дроби долю валидационной выборки относительно всего набора данных для обучения ML-модели.

    Вы можете указать значение в диапазоне от 0 до 1.

    По умолчанию этот параметр имеет значение 0.2.

  10. В поле Максимальное количество эпох укажите максимальное количество эпох для обучения ML-модели.

    По умолчанию этот параметр имеет значение 500.

  11. В поле Количество эпох для ранней остановки обучения укажите количество эпох, в течение которых качество обучения не улучшается для ранней остановки обучения ML-модели.

    Ранняя остановка обучения ML-модели применяется для избежания переобучения модели. При этом обучение ML-модели считается успешно завершившимся.

    По умолчанию этот параметр имеет значение 15.

  12. В поле Разрешение графиков результатов обучения укажите в виде десятичной дроби разрешение графиков для отображения результатов обучения на вкладке Результаты обучения.

    Вы можете указать значение в диапазоне от 0 до 1.

  13. В поле Размер пакета укажите количество элементов выборки, которое требуется передать на обучение в рамках итерации.

    По умолчанию этот параметр имеет значение 16.

    Этот параметр недоступен для элемента с TCN-архитектурой.

  14. В поле Количество блоков укажите количество блоков, на которое требуется разбить данные для обучения ML-модели.

    По умолчанию этот параметр имеет значение 4.

  15. В раскрывающемся списке Режим инференса выберите одно из следующих значений:
    • Если требуется загрузить все пакеты данных для обучения в оперативную память, выберите Быстрый инференс.

      Этот режим инференса позволяет выполнить инференс быстрее.

    • Если требуется загружать в оперативную память по одному пакету данных, выберите Экономия памяти.

      Этот режим инференса позволяет выполнить инференс с минимальными затратами оперативной памяти, но медленнее, чем в режиме Быстрый инференс.

  16. В раскрывающемся списке Режим обучения выберите одно из следующих значений:
    • Если требуется загрузить все данные для обучения модели в оперативную память, выберите Загрузить все данные в оперативную память.
    • Если требуется загружать в оперативную память по одному блоку данных и сформировать валидационные блоки из конца набора данных, выберите Сформировать валидационные блоки из конца данных.
    • Если требуется загружать в оперативную память по одному блоку данных без формирования валидационных блоков, выберите Проводить валидацию в каждом блоке обучающих данных.

      Валидационные данные формируются из каждого обучающего блока данных.

  17. В раскрывающемся списке Режим распределения памяти выберите один из следующих параметров:
    • Зарезервировать минимальный объем свободной памяти. При выборе этого параметра при обучении ML-модели служба Trainer будет оставлять свободным минимальный объем памяти, указанный в поле Объем памяти, МБ.
    • Зарезервировать максимальный объем памяти на обучение модели. При выборе этого параметра для обучения ML-модели служба Trainer будет использовать максимальный объем оперативной памяти, указанный в поле Объем памяти, МБ.
  18. Если требуется учесть результаты предыдущего обучения при обучении ML-модели на новых данных, включите параметр Инициализировать веса модели значениями из результатов предыдущего обучения.
  19. Если требуется перемешать данные для улучшения качества обучения ML-модели, включите параметр Перемешать данные.
  20. В поле Инициализация генератора псевдослучайных чисел укажите значение, на основании которого будет сгенерирована последовательность псевдослучайных чисел.
  21. В поле Коэффициент скорости обучения укажите коэффициент, с помощью которого будут корректироваться веса элемента ML-модели на каждой итерации обучения.

    По умолчанию этот параметр имеет значение 0.0001.

  22. В раскрывающемся списке Алгоритм оптимизации обучения выберите один из следующих алгоритмов:
    • Adadelta – алгоритм, основанный на адаптивной скорости обучения для каждого измерения.
    • Adagrad – алгоритм, в котором скорость обучения зависит от частоты обновления параметров во время обучения.
    • Adam – алгоритм, основанный на адаптивной оценке первого и второго момента распределения параметров.
    • RMSprop – алгоритм, использующий скользящее среднее квадратов градиента для адаптивного нормирования скорости обучения на каждом шаге.
    • SGD – алгоритм стохастического градиентного спуска.
  23. В раскрывающемся списке Функция потерь выберите одну из следующих функций:
    • MSE – для расчета среднеквадратичной ошибки.
    • MSLE – для расчета средней логарифмической ошибки.
    • MAE – для расчета средней абсолютной ошибки.
    • MAPE – для расчета средней абсолютной процентной ошибки.
  24. В правом верхнем углу окна нажмите на кнопку Сохранить.

    В случае изменения параметров обучения для ранее обученного элемента необходимо подтвердить сохранение изменений.

  25. В информационном блоке, расположенном над параметрами обучения, нажмите на кнопку Обучить элемент.

    В информационном блоке будет отображаться номер текущей эпохи обучения элемента.

После завершения обучения вы можете просмотреть результаты обучения элемента ML-модели на вкладке Результаты обучения.

После успешного обучения всех предиктивных элементов и элементов на основе эллиптического конверта в составе ML-модели ей будет присвоен статус Обучена. Если требуется, вы можете повторно обучить элемент ML-модели, нажав на кнопку Перезапустить обучение.

В начало

[Topic 289991]

Обучение элемента ML-модели на основе эллиптического конверта

Kaspersky MLAD позволяет выполнить обучение элемента на основе эллиптического конверта для ML-модели, созданной вручную, импортированной в Kaspersky MLAD, созданной по шаблону, а также для скопированной ML-модели.

Обучение элементов ML-моделей доступно системным администраторам и пользователям с правом Обучение моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы обучить элемент ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите элемент на основе эллиптического конверта, который вы хотите обучить.

    Справа отобразится список параметров.

  3. Откройте вкладку Обучение и нажмите на кнопку Изменить в правом верхнем углу окна.
  4. В поле Интервал отбора данных укажите интервал времени данных, на которых требуется обучить ML-модель.
  5. Если требуется применить разметки для отбора данных для обучения ML-модели в рамках выбранного интервала, в поле Разметки выберите одну или несколько разметок.

    Выбранные разметки сформируют индикатор обучения.

  6. Если требуется просмотреть, какие данные будут отобраны разметками, нажмите на кнопку На графике.

    Разметки отобразятся в указанных при создании цветах.

    При просмотре данных на графике вы можете выбрать определенный пресет.

  7. Если требуется задать расширенные параметры обучения, включите переключатель Расширенные параметры обучения.
  8. В поле Доля выборки для оценки среднего и ковариации укажите в виде десятичной дроби долю обучающей выборки, на которой производится расчет ковариации и среднего значения.

    Вы можете указать значение в диапазоне от 0 до 0.5 включительно.

  9. В поле Доля выбросов в выборке укажите в виде десятичной дроби долю выбросов (аномалий) в обучающей выборке.

    Вы можете указать значение в диапазоне от 0 до 1. Этот параметр автоматически переопределяет значение параметра Порог регистрации инцидентов, заданного при создании элемента. Чем выше значение доли выбросов в обучающей выборке, тем ниже значение порога регистрации инцидентов. После обучения элемента вы можете отрегулировать порог регистрации инцидентов вручную.

  10. В поле Инициализация генератора псевдослучайных чисел укажите значение, на основании которого будет сгенерирована последовательность псевдослучайных чисел.
  11. В поле Разрешение графиков результатов обучения укажите в виде десятичной дроби разрешение графиков для отображения результатов обучения на вкладке Результаты обучения.

    Вы можете указать значение в диапазоне от 0 до 1. Чем выше указанное значение, тем лучше качество графиков.

  12. Если предполагается, что значения тегов центрированы, и их среднее значение равно нулю, включите переключатель Данные центрированы.
  13. В правом верхнем углу окна нажмите на кнопку Сохранить.

    В случае изменения параметров обучения для ранее обученного элемента необходимо подтвердить сохранение изменений.

  14. В информационном блоке, расположенном над параметрами обучения, нажмите на кнопку Обучить элемент.

После завершения обучения вы можете просмотреть результаты обучения элемента ML-модели на вкладке Результаты обучения.

После успешного обучения всех предиктивных элементов и элементов на основе эллиптического конверта в составе ML-модели ей будет присвоен статус Обучена. Если требуется, вы можете повторно обучить элемент ML-модели, нажав на кнопку Перезапустить обучение.

В начало

[Topic 258344]

Просмотр результатов обучения элемента ML-модели

Вы можете просмотреть результаты обучения предиктивных элементов и элементов на основе эллиптического конверта.

Просмотр результатов обучения элементов ML-моделей доступно системным администраторам и пользователям с правом Обучение моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы просмотреть результаты обучения элемента ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите элемент ML-модели, результат обучения которого вы хотите просмотреть.

    Справа отобразится панель с параметрами выбранного элемента.

  3. Выберите вкладку Результаты обучения.

В случае успешного обучения элемента ML-модели на вкладке Результаты обучения отображаются следующие сведения о результатах обучения:

  • Сообщение об успешном завершении обучения элемента ML-модели.

    Если требуется просмотреть параметры обучения элемента, указанные при его создании, нажмите на кнопку Параметры обучения.

  • Пользователь – имя пользователя, который запустил обучение элемента ML-модели.
  • Начало обучения – дата и время начала обучения элемента ML-модели службой Trainer.
  • Окончание обучения – дата и время окончания обучения элемента ML-модели. Веса элемента ML-модели обновлены службой Trainer.
  • Общий интервал времени – время, которое было потрачено сервером Kaspersky MLAD на обучение элемента ML-модели.
  • Продолжительность интервалов – суммарная продолжительность интервалов времени данных с учетом разметок в обучающей выборке.
  • Число узлов РИВС – количество узлов РИВС, входящих в обучающую выборку.
  • Графики с результатами обучения для предиктивных элементов ML-модели:
    • Ошибки обучения и валидации – график, отображающий ошибки обучения и валидации в зависимости от эпохи обучения.
    • Прогноз обученной модели – графики, отображающие прогноз обученной модели для выходных тегов и общую ошибку прогноза.
  • Графики с результатами обучения для эллиптических конвертов ML-модели:
    • Степень отклонения тегов – график, отображающий удаление точки, описывающей состояние объекта мониторинга в каждый момент времени в фазовом пространстве, от центра эллиптической области нормальных состояний. Горизонтальная оранжевая линия соответствует порогу и показывает максимальное удаление, при котором состояние считается принадлежащим области нормальных состояний.
    • Значения тегов – графики, отображающие значения каждого тега во время обучения.
    • Распределение значений тегов – гистограммы распределения значений каждого тега во время обучения.
    • Корреляция тегов – матрица, отображающая взаимосвязи тегов, используемых при обучении элемента ML-модели.
В начало

[Topic 261891]

Запуск и остановка инференса ML-модели

Вы можете запускать и останавливать инференс ML-модели со статусами Обучена или Опубликована на исторических или поступающих данных телеметрии.

Функциональность доступна после добавления лицензионного ключа.

Чтобы запустить инференс ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите ML-модель, инференс которой вы хотите запустить.

    Справа отобразится список параметров.

  3. Выберите вкладку Инференс.
  4. В раскрывающемся списке Вид инференса выберите одно из следующих значений:
    • Исторический  – для запуска инференса ML-модели на исторических данных телеметрии. При выборе этого значения укажите интервал времени данных для работы ML-модели.
    • Потоковый  – для выполнения инференса ML-модели на данных телеметрии, поступающих в режиме реального времени.
  5. Нажмите на кнопку Запустить.

    При запуске исторического инференса на данных, на которых ранее был проведен инференс, предыдущие результаты инференса на этих данных будут удалены.

Если был запущен исторический инференс, Kaspersky MLAD добавит ML-модель в очередь на инференс.

Чтобы остановить инференс ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите ML-модель, инференс которой вы хотите остановить.

    Справа отобразится список параметров.

  3. Выберите вкладку Инференс.
  4. Нажмите на кнопку Остановить.

Kaspersky MLAD остановит инференс для выбранной ML-модели.

В начало

[Topic 248099]

Просмотр графа потока данных в ML-модели

Вы можете просматривать граф потока данных в ML-моделях.

Функциональность доступна после добавления лицензионного ключа.

Чтобы просмотреть граф потоков данных в ML-модели:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите ML-модель, граф потока данных который вы хотите просмотреть.

    Справа отобразится список параметров.

  3. Выберите вкладку Граф потока данных.

    Справа отобразится граф потока данных в ML-модели.

  4. Если требуется просмотреть параметры элемента графа, наведите на него курсор мыши.

    Отобразится окно, в котором перечислены значения параметров выбранного элемента.

    Схема описывает поток данных между элементами ML-модели.

    Граф потока данных в ML-модели

В начало

[Topic 263993]

Подготовка ML-модели к публикации

При необходимости после обучения ML-модели и проверки результатов инференса вы можете подготовить ее к публикации. ML-модель, подготовленная к публикации, будет недоступна для изменения.

Подготовка ML-модели к публикации может выполняться системным администраторам и пользователям с правом Изменение необученных моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы подготовить ML-модель к публикации:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите ML-модель, которую вы хотите подготовить к публикации.

    Справа отобразится список параметров.

  3. Нажмите на кнопку Подготовить к публикации.

ML-модели будет присвоен статус Готова к публикации. Сообщите сотруднику, ответственному за публикацию ML-моделей, о ее готовности, или, если у вас есть необходимые права, опубликуйте ML-модель.

Если требуется внести изменения в ML-модель перед ее публикацией, нажмите на кнопку Вернуться в режим правки. ML-модели будет возвращен статус Обучена.

В начало

[Topic 263994]

Публикация ML-модели

Вы можете опубликовать ML-модель. После запуска инференса ML-модель будет регистрировать учетные инциденты на рабочих данных от объекта мониторинга. В отличие от инцидентов, сформированных в процессе инференса неопубликованной ML-моделью, учетные инциденты предполагают принятие мер и ведение отчетности по ним в рамках производственного процесса.

Публикация ML-моделей доступна системным администраторам и пользователям с правом Изменение необученных моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы опубликовать ML-модель:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите ML-модель, которую вы хотите опубликовать.

    Справа отобразится список параметров.

  3. Нажмите на кнопку Опубликовать.

ML-модели будет присвоен статус Опубликована.

В начало

[Topic 248033]

Удаление ML-модели

Вы можете удалить созданные ранее и/или импортированные ML-модели из Kaspersky MLAD. Если требуется, вы можете повторно загрузить ML-модель, которая была ранее импортирована и затем удалена.

После удаления ML-модели ее артефакты (например, прогнозы, индивидуальные ошибки, ошибки прогноза, индикаторы выполнения правила), а также инциденты, зарегистрированные ML-моделью, будут удалены.

Удаление ML-моделей доступно системным администраторами пользователям с правом Удаление моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы удалить ML-модель:

  1. В основном меню выберите раздел Модели.
  2. В дереве активов выберите ML-модель, которую требуется удалить.

    Справа отобразится список параметров.

  3. В правом верхнем углу окна нажмите на кнопку Пиктограмма в виде корзины..
  4. Подтвердите удаление ML-модели.

Выбранная ML-модель будет удалена из Kaspersky MLAD.

В начало

[Topic 248100]

Управление пресетами

Пресет – это набор тегов, сформированный пользователем в произвольном порядке или созданный автоматически при регистрации инцидента. Набор тегов в составе пользовательского пресета может соответствовать определенному аспекту технологического процесса или участку объекта мониторинга.

В разделе Пресеты вы можете создавать пользовательские пресеты. Созданные вами пресеты будут отображаться только для вашей учетной записи.

При создании пресетов вы можете выполнять следующие действия:

  • Выбирать теги, данные которых будут отображаться на графиках в разделах История и Мониторинг.
  • Управлять графическими областями в составе пресета. Графическая область – это совокупность тегов, данные которых совместно отображаются путем наложения на одном графике в разделах История и Мониторинг. В графической области могут отображаться данные для одного и более тегов пресета.
  • Управлять отображением тегов пресета в разделе Временной срез. Для этого вы можете задавать выражения с простыми арифметическими действиями (например, сложение, вычитание, умножение и деление), чтобы рассчитать значения тегов в составе пресета.

Пользовательские пресеты и теги, входящие в их состав, отображаются в левой части окна в виде дерева. С помощью кнопок Пиктограмма в виде знака плюс в квадрате. и Пиктограмма в виде знака минус в квадрате. слева от названий пресетов вы можете отобразить и скрыть теги, входящие в состав пресетов.

Для просмотра получаемых данных на графиках в разделах История и Мониторинг вы также можете загрузить пресеты в Kaspersky MLAD из JSON-файла.

При необходимости вы можете изменить необходимые пресеты, сохранить их в JSON-файл, а также удалить их.

Окно раздела "Пресеты" отображает список доступных пресетов и графические области, входящие в состав выбранного пресета.

Раздел Пресеты

В этом разделе

Просмотр пресета

Создание пресета

Загрузка пресетов из файла

Изменение пресета

Сохранение пресетов в файл

Удаление пресетов

В начало

[Topic 248101]

Просмотр пресета

Вы можете просматривать пресеты, созданные и загруженные вами ранее в Kaspersky MLAD для вашего объекта мониторинга.

Чтобы просмотреть пресет:

  1. В основном меню выберите раздел Пресеты.
  2. На открывшейся странице в дереве пресетов слева выберите нужный пресет.

    Справа отобразится список графических областей, входящих в состав выбранного пресета.

  3. Если требуется просмотреть информацию по тегам, входящим в состав пресета, выполните следующие действия:
    1. Слева от названия нужного пресета нажмите на кнопку Пиктограмма в виде знака плюс в квадрате..

      Под выбранным пресетом отобразится список тегов, входящих в его состав.

    2. Для просмотра параметров тега нажмите на нужный тег в составе пресета.

      Справа отобразится список параметров тега, заданных при его создании.

Если требуется, вы можете изменить пресет или создать новый пресет.

В начало

[Topic 248102]

Создание пресета

В Kaspersky MLAD вы можете создавать пресеты и при необходимости задавать параметры их отображения в разделе Временной срез.

Вы можете задавать графические области. Графические области определяют состав тегов, данные которых отображаются на одном графике, а также место отображения графика тегов в разделах История и Мониторинг. Графические области, в которых указан один тег, называются единичными. Единичные графические области создаются автоматически после выбора тегов для пресета.

При необходимости вы можете указать выражение, по которому требуется рассчитывать значения тегов в составе пресета для отображения этих значений на графике в разделе Временной срез. Например, с помощью заданных выражений вы можете просмотреть индивидуальные ошибки тегов, прогнозируемые значения тегов, а также значения тегов, полученные от датчиков объекта мониторинга, в один и тот же момент времени. Вы можете использовать следующие переменные в выражениях:

  • $tagValue – полученное значение тега (по результатам наблюдения);
  • $tagError – индивидуальная ошибка тега;
  • $tagPrediction – прогнозируемое значения тега;
  • $tagX – значение координаты расположения датчика объекта мониторинга по оси абсцисс, заданного при создании тега;
  • $tagY – значение координаты расположения датчика объекта мониторинга по оси ординат, заданного при создании тега;
  • $tagZ – значение координаты расположения датчика объекта мониторинга по оси аппликат, заданного при создании тега.

Чтобы создать пресет:

  1. В основном меню выберите раздел Пресеты и нажмите на кнопку Пиктограмма в виде плюса..

    Справа отобразится панель Создание пресета. В левой части панели отобразится дерево активов.

  2. В поле Название пресета укажите название пресета.

  3. В дереве активов установите флажки около тегов, которые необходимо добавить в пресет.

    Для добавления всех тегов, входящих в состав определенного пресета, выберите этот пресет в поле Выберите пресет. Для добавления тега по его имени начните вводить имя тега в поле Поиск по имени тега и выберите нужный тег.

    Если требуется удалить теги из пресета, в дереве активов снимите флажки около тех тегов, которые требуется удалить.

  4. Нажмите на кнопку Сохранить выбор.

    Справа отобразятся графические области, созданные автоматически для каждого выбранного тега. Количество графических областей соответствует количеству тегов в составе пресета.

  5. Если требуется удалить графические области, выполните одно из следующих действий:
    • Нажмите на кнопку Удалить все области в блоке параметров Графические области для удаления всех графических областей пресета.
    • Нажмите на кнопку Пиктограмма в виде корзины. в правом верхнем углу блока нужной графической области и подтвердите удаление графической области.

    Удаление графической области не приводит к удалению тегов в ее составе из пресета. Вы можете добавить теги из удаленных графических областей в другие области.

  6. Если требуется изменить существующую графическую область, выполните одно из следующих действий:
    • Для добавления тега в графическую область нажмите на значок плюса в блоке графической области и выберите тег.

      Если требуется, вы можете скопировать имя выбранного тега нажатием на кнопку Пиктограма в виде двух листов бумаги. справа от нужного имени. Вы можете использовать скопированное имя тега, например, в качестве названия графической области.

    • Для удаления тега из графической области нажмите на кнопку Пиктограмма в виде крестика. напротив нужного тега в блоке графической области.
  7. Если требуется добавить графическую область, выполните следующие действия:
    1. Нажмите на кнопку Пустая область.
    2. Выберите тег для добавления в графическую область.

      Если выбранный тег используется в составе единичной графической области, в окне браузера отобразится соответствующее информационное сообщение.

      Если требуется, вы можете скопировать имя выбранного тега нажатием на кнопку Пиктограма в виде двух листов бумаги. справа от нужного имени. Вы можете использовать скопированное имя тега, например, в качестве названия графической области.

    3. Если требуется добавить еще один или более тегов в графическую область, нажмите на значок плюса и выберите теги.

      Если требуется, вы можете скопировать имя выбранного тега нажатием на кнопку Пиктограма в виде двух листов бумаги. справа от нужного имени. Вы можете использовать скопированное имя тега, например, в качестве названия графической области.

  8. Если требуется добавить единичные графические области для тегов, которые не используются в других графических областях пресета, нажмите на кнопку Единичные графики.

    Справа отобразятся единичные графические области для тегов, которые не были использованы в ранее созданных графических областях.

  9. Если требуется изменить расположение графической области внутри пресета, перетащите графическую область вверх или вниз, удерживая за точки слева (Пиктограмма в виде восьми точек в две колонны.) от ее названия.
  10. Если требуется изменить параметры отображения графической области в разделах История и Мониторинг, выполните следующие действия:
    1. Нажмите на кнопку Пиктограмма в виде шестеренки. в правом верхнем углу нужного блока графической области.

      Справа отобразится панель с параметрами отображения графической области.

    2. В поле Название графической области укажите название графической области.
    3. Если требуется, в поле Описание укажите описание графической области.
    4. В раскрывающемся списке Режим масштабирования оси выберите один из следующих режимов:
      • Режим единой оси – для отображения данных тегов используется общая ось ординат.
      • Режим приведения – для каждого тега данные масштабируются по оси ординат индивидуально, независимо от данных других тегов в составе графической области.
    5. Если был выбран режим единой оси в качестве режима масштабирования, выполните одно из следующих действий:
      • Включите переключатель Автоматический, если требуется автоматически масштабировать график с учетом минимального и максимального значений данных среди всех тегов графической области.
      • Выключите переключатель Автоматический и укажите верхнюю и нижнюю границы отображения тегов графической области.

        Если значения тега будут выходить за указанные границы, то они не будут отображаться в графической области. Допустимые границы отображения значений тега имеют приоритет над отображением порогов блокировки, даже если включена функция Всегда показывать пороги блокировки.

    6. Если требуется добавить дополнительные горизонтальные пороговые линии для тегов на графике, нажмите на кнопку Добавить пороговую линию и укажите пороговое значение и цвет линии для отображения на графике.

      Дополнительные пороговые линии помогают визуально оценить колебания значений тегов в определенных пределах. Вы можете добавить несколько пороговых линий.

      Если требуется удалить добавленную пороговую линию, нажмите на кнопку Пиктограмма в виде крестика. напротив заданного порогового значение и цвета нужной линии.

    7. Нажмите на кнопку Сохранить.
  11. Если требуется настроить отображение пресета в разделе Временной срез, выполните следующие действия:
    1. Нажмите на кнопку Отображение пресета в разделе Временной срез.

      Справа отобразится панель Отображение пресета в разделе Временной срез.

    2. Включите переключатель Отображать пресет в разделе Временной срез.
    3. В поле Подпись оси X укажите подпись, которая отображается по оси абсцисс.
    4. Для отображения на графике значений тегов пресета, рассчитываемых по выражению, нажмите на кнопку Добавить график и укажите следующие значения:
      • В поле Название введите название выражения, по которому рассчитываются значения тегов.
      • В поле Подпись оси Y введите подпись, которая отображается по оси ординат.
      • В поле Выражение для расчета введите выражение, по которому рассчитываются значения тегов.

        Вы можете задать выражения с простыми арифметическими действиями (например, сложение, вычитание, умножение и деление). Например, если от датчиков поступают значения температуры по Фаренгейту, для отображения на графике значений температуры по Цельсию вы можете указать следующее выражение:

        5/9 * ($tagValue - 32)

      • В поле Цвет графика выберите цвет графика, который будет отображаться для пресета в разделе Временной срез.

      Если требуется, вы можете добавить несколько выражений для раздела Временной срез.

    5. Если требуется удалить выражение в пресете для раздела Временной срез, нажмите на кнопку Пиктограмма в виде корзины. справа от нужного выражения.
    6. Нажмите на кнопку Сохранить.
  12. Нажмите на кнопку Сохранить.

    Если какие-либо теги пресета не были добавлены хотя бы в одну графическую область, в окне браузера отобразится соответствующее информационное сообщение. Теги, не использованные в графических областях, не будут отображены на графиках в разделах История и Мониторинг.

Новый пресет отобразится в разделе Пресеты в дереве пресетов слева и в раскрывающемся списке пресетов в разделах История и Мониторинг. Пресет, для которого выполнен пункт 11 этой инструкции, также отобразится в раскрывающемся списке пресетов в разделе Временной срез.

Если требуется, вы можете изменить расположение пресетов в дереве пресетов. Для этого нужно перетащить пресет вверх или вниз дерева, удерживая за точки слева (Пиктограмма в виде шести точек в две колонны.) от его названия.

В начало

[Topic 248105]

Загрузка пресетов из файла

Вы можете загрузить пресеты в Kaspersky MLAD из файла формата JSON.

Чтобы загрузить пресеты из файла в Kaspersky MLAD:

  1. В основном меню выберите раздел Пресеты.
  2. В верхней части открывшейся страницы нажмите на кнопку Пиктограмма в виде листа бумаги со стрелкой, направленной в сторону листа..
  3. Выберите файл формата JSON с описанием пресетов на локальном диске.

Выбранный файл будет загружен в Kaspersky MLAD. Новые пресеты отобразятся в списке пресетов в дополнение к ранее созданным пресетам. При этом, если название пресета, загружаемого из файла, совпадает с названием существующего пресета, то загружаемому пресету будет присвоено название, заданное в файле JSON.

В начало

[Topic 248103]

Изменение пресета

Вы можете изменять созданные и загруженные вами ранее пресеты.

Если требуется, вы можете удалить теги из состава пресета с помощью вертикального меню в дереве пресетов. Для этого откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. справа от нужного тега, выберите пункт Удалить тег и подтвердите удаление тега из пресета.

Чтобы изменить пресет:

  1. В основном меню выберите раздел Пресеты.
  2. Выполните одно из следующих действий:
    • В дереве пресетов слева выберите нужный пресет и нажмите на кнопку Изменить в правом верхнем углу страницы.
    • В вертикальном меню Пиктограмма в виде трех точек, расположенных горизонтально. справа от нужного пресета выберите пункт Изменить пресет.

    Справа отобразится панель Изменение пресета. В левой части панели отобразится дерево активов.

  3. Если требуется, измените следующие параметры пресета:
    • Название пресета.
    • Состав тегов в пресете.

      При удалении тега из пресета Kaspersky MLAD также удаляет его из всех графических областей, в составе которых использовался этот тег. Для каждого тега, добавленного в пресет, будут автоматически созданы единичные графические области.

    • Состав графических областей в пресете.

      Удаление графической области не приводит к удалению тегов в ее составе из пресета. Вы можете добавить теги из удаленных графических областей в другие области.

    • Состав тегов в графических областях.
    • Расположение графической области внутри пресета.
    • Параметры отображения графической области в разделах История и Мониторинг.
    • Параметры отображения пресета в разделе Временной срез.
  4. Нажмите на кнопку Сохранить.

    Если какие-либо теги пресета не были добавлены хотя бы в одну графическую область, в окне браузера отобразится соответствующее информационное сообщение. Теги, не использованные в графических областях, не будут отображены на графиках в разделах История и Мониторинг.

Измененный пресет обновится в дереве пресетов в разделе Пресеты и в раскрывающемся списке пресетов в разделах История и Мониторинг. Измененный пресет, для которого заданы параметры отображения в разделе Временной срез, также отобразится в раскрывающемся списке пресетов в разделе Временной срез.

Если требуется, вы можете изменить расположение пресетов в дереве пресетов. Для этого нужно перетащить пресет вверх или вниз дерева, удерживая за точки слева (Пиктограмма в виде шести точек в две колонны.) от его названия.

В начало

[Topic 248106]

Сохранение пресетов в файл

Вы можете сохранить в файл формата JSON созданные и загруженные вами ранее в Kaspersky MLAD пресеты.

Чтобы сохранить в файл созданные и загруженные в Kaspersky MLAD пресеты:

  1. В основном меню выберите раздел Пресеты.
  2. В верхней части открывшейся страницы нажмите на кнопку Пиктограмма в виде листа бумаги со стрелкой, направленной от листа..

Созданные и загруженные в Kaspersky MLAD пресеты будут сохранены на локальном диске в файл формата JSON.

В начало

[Topic 248104]

Удаление пресетов

Вы можете удалять созданные или загруженные вами ранее пресеты.

Чтобы удалить пресет:

  1. В основном меню выберите раздел Пресеты.
  2. Выполните одно из следующих действий:
    • В дереве пресетов выберите нужный пресет и нажмите на кнопку Удалить в правом верхнем углу страницы.
    • В вертикальном меню Пиктограмма в виде трех точек, расположенных горизонтально. справа от нужного пресета выберите пункт Удалить пресет.
  3. Подтвердите удаление пресета.

Пресет будет удален из списка пресетов.

Чтобы удалить все пресеты:

  1. В основном меню выберите раздел Пресеты и нажмите на кнопку Пиктограмма в виде корзины., расположенную над деревом пресетов.
  2. Подтвердите удаление пресетов.

Все пресеты будут удалены.

В начало

[Topic 251716]

Управление службами

В разделе Службы отображается таблица, содержащая информацию о службах и их статусах. В веб-интерфейсе Kaspersky MLAD службы сгруппированы по их функциональным областям, и для каждой службы отображается следующая информация:

  • Название – название службы.
  • Статус – текущий статус службы. В Kaspersky MLAD предусмотрены следующие статусы служб:
    • Обновление – был инициализирован запуск, перезапуск или остановка службы с помощью одной из кнопок в столбце Действия.
    • Запущена – служба запущена.
    • Запускается – служба в процессе запуска.
    • Ошибка при запуске – возникла ошибка при запуске службы.
    • Остановлена – служба остановлена.
    • Перезапускается – служба в процессе перезапуска.
    • Не инициализирована – невозможно запустить службу из-за некорректного запуска Kaspersky MLAD.
  • Действия – доступные действия (запустить, остановить, перезапустить).

Управление статусами служб из подраздела Основные недоступно в веб-интерфейсе Kaspersky MLAD.

Окно раздела "Службы" содержит таблицу с информацией о службах и их статусах.

Раздел Службы

В этом разделе

Просмотр статусов служб

Запуск, остановка и перезапуск служб

В начало

[Topic 248107]

Просмотр статусов служб

Вы можете просмотреть статусы служб, чтобы убедиться, что службы успешно запущены или остановлены.

Просмотр статусов служб доступен системным администраторам и пользователям с правом Просмотр статусов служб программы из группы прав Работа со службами программы.

Kaspersky MLAD проверяет статусы служб каждые 30 секунд.

Чтобы просмотреть статусы служб,

в основном меню выберите раздел Службы.

Откроется раздел Службы, в котором отображается таблица, содержащая доступные службы, их статусы, а также кнопки для запуска, остановки и перезапуска служб.

В начало

[Topic 248016]

Запуск, остановка и перезапуск служб

Kaspersky MLAD позволяет запускать, останавливать и перезапускать службы.

Запуск, остановка и перезапуск служб доступны системным администраторам и пользователям с правом Управление статусами служб программы из группы прав Работа со службами программы. Функциональность управления статусами служб из подраздела Обработка данных доступна после добавления лицензионного ключа.

Управление статусами служб из подраздела Основные недоступно в веб-интерфейсе Kaspersky MLAD.

В разделе Службы вы можете управлять статусами следующих служб:

  • Anomaly Detector. Эту службу необходимо включить и настроить, если требуется анализировать данные телеметрии и выявлять аномалии в поведении объекта мониторинга.
  • Trainer. Эту службу необходимо включить, если требуется обучить элементы ML-моделей на основе данных телеметрии.
  • Similar Anomaly. Эту службу необходимо включить и настроить, если требуется группировать схожие инциденты.
  • Event Processor. Эту службу необходимо включить и настроить, если требуется выявлять паттерны и аномальные последовательности событий.
  • Stream Processor. Эту службу необходимо включить и настроить, если требуется приводить данные телеметрии к равноинтервальной временной сетке и регистрировать инциденты при обнаружении потери данных и поступлении данных слишком рано или поздно.
  • HTTP Connector. Этот коннектор необходимо включить и настроить, если требуется получать данные телеметрии по протоколу HTTP или HTTPS.
  • OPC UA Connector. Этот коннектор необходимо включить и настроить, если требуется получать данные телеметрии по протоколу OPC UA.
  • AMQP Connector. Этот коннектор необходимо включить и настроить, если требуется получать данные телеметрии и принимать сообщения о регистрации инцидентов по протоколу AMQP.
  • KICS Connector. Этот коннектор необходимо включить и настроить, если требуется получать данные телеметрии от Kaspersky Industrial CyberSecurity for Networks.
  • MQTT Connector. Этот коннектор необходимо включить и настроить, если требуется получать данные телеметрии и принимать сообщения о регистрации инцидентов по протоколу MQTT.
  • CEF Connector. Этот коннектор необходимо включить и настроить, если требуется получать данные телеметрии и принимать сообщения о регистрации инцидентов по технологии CEF.
  • WebSocket Connector. Этот коннектор необходимо включить и настроить, если требуется получать данные телеметрии и принимать сообщения о регистрации инцидентов по протоколу WebSocket.
  • Mail Notifier. Эту службу необходимо включить и настроить, если требуется отправлять уведомления о зарегистрированных инцидентах по электронной почте.
  • Logger. Эту службу необходимо включить, если требуется вести и хранить журналы работы Kaspersky MLAD. По умолчанию эта служба включена.

Чтобы запустить, остановить или перезапустить службу:

  1. В основном меню выберите раздел Службы.
  2. На открывшейся странице выберите один из следующих подразделов: Обработка данных, Коннекторы или Другие.
  3. Для нужной службы выполните одно из следующих действий:
    • Если вы хотите запустить службу, нажмите на кнопку Пиктограмма в виде треугольника, указывающего вправо..
    • Если вы хотите остановить службу, нажмите на кнопку Пиктограмма в виде квадрата..
    • Если вы хотите перезапустить службу, нажмите на кнопку Пиктограмма в виде двух круглых вращающихся стрелок..

    Новый статус службы отобразится в столбце Статус.

В начало

[Topic 248108]

Устранение неисправностей

Этот раздел содержит описание возможных неисправностей в работе Kaspersky MLAD и способов их устранения.

В этом разделе справки

При подключении к Kaspersky MLAD браузер выводит предупреждение о сертификате

Заканчивается свободное пространство на жестком диске

Непредвиденная перезагрузка операционной системы

Не удается подключиться к веб-интерфейсу Kaspersky MLAD

Не отображаются графики данных или графические области в разделах История и Мониторинг

Не выполняется передача событий между Kaspersky MLAD и внешними системами

Невозможно загрузить данные для просмотра в разделе Процессор событий

Неправильно обрабатываются данные в разделе Процессор событий

Не отображаются события в разделе Процессор событий

Не отображаются ранее созданные мониторы и заданные параметры конфигурации внимания в разделе Процессор событий

Не отображается результат применения разметки

Отображается сообщение об остановленной службе Trainer

Обучение элемента ML-модели завершилось с ошибкой

Не приходят уведомления об инцидентах по электронной почте

Требуется изменить язык локализации Справки

В начало

[Topic 248109]

При подключении к Kaspersky MLAD браузер выводит предупреждение о сертификате

Проблема

При попытке подключения к Kaspersky MLAD браузер выводит предупреждение о том, что сертификат безопасности или устанавливаемое соединение не являются доверенными. Содержание предупреждения зависит от используемого браузера.

Решение

После установки Kaspersky MLAD для подключения к веб-интерфейсу по умолчанию используется самоподписанный сертификат. При использовании самоподписанного сертификата браузер отображает предупреждение о том, что сертификат безопасности или устанавливаемое соединение не являются доверенными. Для получения доверенного сертификата вам нужно обратиться в отдел информационной безопасности или отдел информационных технологий Заказчика. установки полученного доверенного сертификата вам нужно обратиться к квалифицированному техническому специалисту Заказчика, сотруднику "Лаборатории Касперского" или сертифицированному интегратору. Сотрудник может обновить сертификаты для подключения к Kaspersky MLAD через веб-интерфейс.

Вы можете временно использовать самоподписанный сертификат для подключения к Kaspersky MLAD (например, при пробной эксплуатации). Для использования самоподписанного сертификата в окне предупреждения браузера выберите вариант, позволяющий продолжить подключение. После подключения к Kaspersky MLAD в окне браузера будет отображаться предупреждающее сообщение о сертификате. Текст сообщения зависит от используемого браузера.

Если браузер отображает предупреждение после установки доверенного сертификата, то могла произойти подмена сертификата злоумышленником. Требуется обратиться в Службу технической поддержки.

В начало

[Topic 248110]

Заканчивается свободное пространство на жестком диске

Проблема

На жестком диске компьютера, на котором установлен Kaspersky MLAD, заканчивается свободное пространство.

Решение

Для работы программы компьютер должен удовлетворять аппаратным и программным требованиям.

Не допускайте полного израсходования свободного места на жестком диске. Периодически проверяйте наличие свободного места с помощью команды df -h.

Чтобы программа работала правильно,

освободите на жестком диске компьютера достаточный объем пространства, соответствующий минимальным требованиям к объему свободного пространства. Вы можете освободить место на жестком диске следующими способами:

  • Перенесите резервные копии Kaspersky MLAD, дистрибутив Kaspersky MLAD и посторонние файлы на другой диск или сервер.
  • Создайте образ диска, на котором установлен Kaspersky MLAD, замените жесткий диск на более емкий и разверните образ на новом диске.

В начало

[Topic 248112]

Непредвиденная перезагрузка операционной системы

Проблема

Неожиданная перезагрузка компьютера с установленным Kaspersky MLAD.

Решение

Дождитесь окончания загрузки компьютера. После загрузки возможны следующие варианты состояния Kaspersky MLAD:

  • Работоспособность Kaspersky MLAD восстановилась полностью.
  • Работоспособность Kaspersky MLAD не восстановилась.

Если неисправность сохраняется, перезапустите Kaspersky MLAD. Если после перезапуска проблема не устранена, обратитесь в Службу технической поддержки "Лаборатории Касперского". Будьте готовы предоставить журналы работы процессов Kaspersky MLAD и другие данные по запросу специалистов Службы технической поддержки. Журналы работы процессов располагаются в директориях, перечисленных в статье Директории для хранения данных программы. Для доступа к журналам нужно иметь root-права в операционной системе.

В начало

[Topic 248113]

Не удается подключиться к веб-интерфейсу Kaspersky MLAD

Проблема

При подключении к веб-интерфейсу Kaspersky MLAD после ввода правильного пароля отображается ошибка Error! Invalid server error.

Решение

Часто ошибка Error! Invalid server error возникает в случае, когда сервер Kaspersky MLAD не может обработать запрос, например, из-за того, что на жестком диске сервера, на котором установлена программа, закончилось свободное место.

Чтобы восстановить правильную работу программы,

освободите на жестком диске сервера достаточный объем пространства, соответствующий минимальным требованиям к объему свободного пространства. Вы можете освободить место на жестком диске следующими способами:

  • Перенесите резервные копии Kaspersky MLAD, дистрибутив Kaspersky MLAD и посторонние файлы на другой диск или сервер.
  • Если Kaspersky MLAD установлен на виртуальной машине, увеличьте объем виртуального жесткого диска виртуальной машины.
  • Создайте образ диска, на котором установлен Kaspersky MLAD, замените жесткий диск на более емкий и разверните образ на новом диске.

В начало

[Topic 248115]

Не отображаются графики данных или графические области в разделах История и Мониторинг

Проблема

В разделах История и Мониторинг не отображаются графики данных или графические области.

Возможны следующие причины:

  • Пресеты не импортированы в Kaspersky MLAD.
  • Выбранный пресет не содержит теги.
  • В выбранном пресете не заданы графические области.
  • В разделе История выбран интервал времени, для которого отсутствуют данные.
  • Коннектор, используемый для получения данных от объекта мониторинга, не запущен.
  • Объект мониторинга отключен.

Решение

Импортируйте или создайте пресеты, содержащие теги и графические области.

Для отображения данных в разделе Мониторинг убедитесь, объект мониторинга включен. Включите коннектор, используемый для получения данных от объекта мониторинга. Выберите интервал времени и пресет.

Для отображения данных в разделе История выберите пресет, дату и интервал времени, в котором присутствуют данные по тегам пресета.

В начало

[Topic 248116]

Не выполняется передача событий между Kaspersky MLAD и внешними системами

Проблема

События не поступают в Kaspersky MLAD и/или оповещения об активации мониторов не отправляются во внешние системы.

Решение

Чтобы восстановить обмен событиями с внешними системами:

  1. Запустите службу Event Processor и коннектор CEF Connector.
  2. При настройке службы Event Processor выполните следующие действия:
    1. В поле Конфигурационный файл процессора событий загрузите конфигурационный файл, описывающий параметры событий.
    2. В поле Интервал получения событий эпизода (сек.) укажите интервал времени в секундах, необходимый для формирования эпизода, учитывая скорость получения событий от объекта мониторинга.
  3. Для получения событий в файле .env укажите IP-адрес и номер порта, по которым требуется осуществлять подключение к внешнему источнику событий.
  4. Для отправки событий укажите IP-адрес и номер порта для подключения к внешней системе при настройке коннектора CEF Connector.
В начало

[Topic 248117]

Невозможно загрузить данные для просмотра в разделе Процессор событий

Проблема

После перезапуска Kaspersky MLAD невозможно загрузить данные для просмотра истории событий и/или истории паттернов в разделе Процессор событий (недоступна кнопка Выполнить запрос). Такая же проблема наблюдается после изменения параметров службы Event Processor.

Решение

Подождите несколько минут. После перезапуска Kaspersky MLAD состояние службы Event Processor восстанавливается. Длительность процесса восстановления состояния при значительном объеме обработанных событий и зарегистрированных паттернов может занимать несколько минут. До момента восстановления состояния службы Event Processor в разделе Процессор событий не выполняются запросы и не обновляются данные, а также в это время не обрабатываются данные поступающие от коннектора CEF Connector. Эти данные временно сохраняются в очереди сообщений системы и обрабатываются после восстановления состояния службы Event Processor.

В начало

[Topic 248118]

Неправильно обрабатываются данные в разделе Процессор событий

Проблема

Создается большое количество коротких паттернов.

Решение

В параметрах службы Event Processor увеличьте длину эпизода для уменьшения количества регистрации коротких паттернов.

Проблема

Приходит большое количество оповещений об активации монитора.

Решение

Для уменьшения количества оповещений об активации монитора проверьте созданные ранее мониторы и удалите ненужные. Также рекомендуется уточнить параметры активации мониторов: Скользящее окно и Порог.

В начало

[Topic 248119]

Не отображаются события в разделе Процессор событий

Проблема

При выполнении запроса для просмотра истории событий в разделе Процессор событий → История событий не отображаются события, которые отображались ранее.

Решение

Убедитесь, что Kaspersky MLAD сохраняет состояние службы Event Processor в таблицу базы данных.

Если состояние службы Event Processor сохраняется в файл в битовом формате, то Kaspersky MLAD сохраняет состояние службы с частотой, заданной в поле Периодичность создания резервных копий компонента. При перезапуске службы Event Processor результаты обработки потока событий, полученных процессором событий с момента последнего сохранения состояния службы, будут утеряны.

В начало

[Topic 248120]

Не отображаются ранее созданные мониторы и заданные параметры конфигурации внимания в разделе Процессор событий

Проблема

После перезапуска или изменения параметров службы Event Processor в разделе Процессор событий → Мониторинг не отображаются ранее созданные мониторы и заданные параметры конфигурации внимания.

Решение

Процессор событий сохраняет созданные мониторы и заданные параметры конфигурации внимания после сохранения состояния службы Event Processor в таблицу базы данных или файл в битовом формате. Если Kaspersky MLAD сохраняет состояние службы в таблицу базы данных, для сохранения созданных мониторов и заданных параметров конфигурации внимания рекомендуется не перезапускать службу Event Processor и не изменять ее параметры до обработки первого эпизода событий от объекта мониторинга. Если программа сохраняет состояние службы Event Processor в файл в битовом формате, для сохранения созданных мониторов и заданных параметров конфигурации внимания рекомендуется не перезапускать службу Event Processor и не изменять ее параметры до первого резервного копирования службы. Частота резервного копирования службы Event Processor зависит от значения параметра Периодичность создания резервных копий компонента.

Для получения событий требуется настроить параметры службы Event Processor и коннектора CEF Connector и запустить их. Если требуется обрабатывать зарегистрированные инциденты в качестве событий, требуется также настроить службу Anomaly Detector и коннектор, необходимый для получения данных телеметрии от объекта мониторинга, и запустить их. Перейдите в раздел Информационная панель и убедитесь, что события поступают в Kaspersky MLAD в онлайн-режиме.

Если неисправность сохраняется, обратитесь в Службу технической поддержки "Лаборатории Касперского".

В начало

[Topic 265699]

Не отображается результат применения разметки

Проблема

В разделе Модели при просмотре графика разметок отсутствует окраска интервалов данных, которые должны быть отобраны разметкой.

Решение

Выбранный интервал времени может быть слишком коротким и может не содержать достаточного количества данных для принятия разметкой решения об отображении интервалов данных на графике. Укажите больший по продолжительности интервал времени для отображения данных на графике разметок в поле Масштаб.

В начало

[Topic 265708]

Отображается сообщение об остановленной службе Trainer

Проблема

При переходе на вкладку Обучение элемента ML-модели отображается сообщение Служба Trainer остановлена. При этом служба Trainer была запущена системным администратором или пользователем с правом Управление статусами служб программы из группы прав Работа со службами программы.

Решение

Подождите около двух секунд. Если служба Trainer запущена, сообщение автоматически исчезнет.

В начало

[Topic 265713]

Обучение элемента ML-модели завершилось с ошибкой

Проблема

Обучение элемента ML-модели завершилось с ошибкой. Ошибка обучения может возникнуть как сразу после начала обучения, так и после выполнения некоторого числа эпох обучения.

Решение

Если обучение элемента ML-модели завершилось с ошибкой сразу после начала обучения, убедитесь, что по всем тегам в составе ML-модели есть данные в рамках интервала обучения, заданного в параметре Интервал отбора данных, с учетом применения разметок (индикатора обучения). Для этого при изменении параметров обучения нажмите на кнопку На графике и визуально проконтролируйте, что в рамках заданного интервала обучения отображаются отобранные разметками интервалы данных (как минимум один), и что в этих интервалах данных отображаются наблюдения для всех тегов, участвующих в обучении элемента ML-модели.

Если обучение элемента ML-модели завершилось с ошибкой после того, как обучение продолжалось некоторое время, то выбранная архитектура элемента, параметры элемента или параметры обучения элемента не подходят для решения вашей задачи с учетом имеющихся данных, так как целевые метрики качества ML-модели не могут быть достигнуты. Попробуйте использовать элемент другого типа или архитектуры или измените параметры элемента или параметры его обучения.

В начало

[Topic 291445]

Не приходят уведомления об инцидентах по электронной почте

Проблема

Не приходят уведомления об инцидентах по электронной почте.

Решение

Убедитесь, что правильно выполнена настройка взаимодействия Kaspersky MLAD с SMTP-сервером и служба Mail Notifier запущена. Создайте уведомление об инцидентах и укажите адреса электронной почты и типы инцидентов, по которым требуется отправлять уведомления. Включите отправку уведомлений с помощью переключателя Состояние.

В начало

[Topic 248121]

Требуется изменить язык локализации Справки

Проблема

Требуется изменить язык локализации Справки в веб-интерфейсе Kaspersky MLAD.

Для изменения языка локализации Справки на веб-сайте Службы технической поддержки по адресу https://support.kaspersky.ru/ выберите нужный язык локализации в правом верхнем углу страницы.

Решение

Чтобы изменить язык локализации Справки в веб-интерфейсе программы:

  1. Откройте браузер, установленный на вашем компьютере.
  2. В адресной строке браузера введите веб-адрес Kaspersky MLAD, полученный от квалифицированного технического специалиста Заказчика, специалиста "Лаборатории Касперского" или сертифицированного интегратора.
  3. Для открытия Справки выполните одно из следующих действий:
    • В верхнем правом углу открывшейся страницы ввода учетных данных нажмите на ссылку Справка.
    • На странице ввода учетных данных введите имя пользователя и пароль и в нижнем левом углу открывшейся страницы нажмите на кнопку Пиктограмма в виде книги..

    Откроется новая вкладка браузера со Справкой программы.

  4. В веб-адресе укажите необходимый язык локализации:
    • ru – если вы хотите открыть Справку на русском языке (например, https://<веб-адрес Kaspersky MLAD>/help/ru/171583.htm);
    • en – если вы хотите открыть Справку на английском языке (например, https://<веб-адрес Kaspersky MLAD>/help/en/171583.htm).

После подключения к программе вы можете изменить язык интерфейса и Справки в меню пользователя.

В начало

[Topic 248122]

Обращение в Службу технической поддержки

Этот раздел содержит информацию о способах и условиях получения технической поддержки.

Если вы не нашли решения вашей проблемы в документации или других источниках информации о программе, рекомендуется обратиться в Службу технической поддержки. Сотрудники Службы технической поддержки ответят на ваши вопросы об установке и использовании программы.

Услуги технической поддержки предоставляются при наличии действующего Договора об оказании технической поддержки. Объем предоставляемых услуг технической поддержки определяется действующим Договором об оказании технической поддержки.

Перед обращением в Службу технической поддержки ознакомьтесь с правилами предоставления технической поддержки.

Вы можете связаться со специалистами Службы технической поддержки, написав сотрудникам Службы технической поддержки по электронной почте mlad-support@kaspersky.com.

Специалисты Службы технической поддержки могут запросить у вас сведения из системы ведения журналов Kaspersky MLAD.

В начало

[Topic 265584]

Список ограничений

Kaspersky MLAD имеет ряд ограничений, не критичных для работы программы:

  • Оповещения об активации мониторов службы Event Processor отправляются во внешние системы только через коннектор CEF Connector. Отправка оповещений по электронной почте не предусмотрена.
  • Оповещения об активации мониторов службы Event Processor не сохраняются в базе данных Kaspersky MLAD.
  • Служба Event Processor обрабатывает только категориальные данные. Все значения параметров событий представляются или преобразуются в тип данных – строка. Разнообразие значений строк для каждого параметра события может быть большим (до десятков тысяч значений), но конечным.
  • Производительность обработки данных для текущей версии процессора событий составляет около пяти тысяч событий в секунду и может уменьшаться при большом количестве голов внимания и мониторов. Для работы с большим потоком событий требуется значительный объем оперативной памяти. Оценка необходимого объема зависит от потока событий, разнообразия событий в потоке и параметров конфигурации внимания и мониторов.
  • Служба Event Processor чувствительна к настройке ее параметров. Неправильно заданные параметры событий, размер и время формирования эпизодов, конфигурации внимания могут существенно снизить эффективность и производительность службы.
  • Рекомендуется сохранять состояние службы Event Processor в таблице базы данных. В случае сохранения состояния службы в файл в битовом формате, Kaspersky MLAD сохраняет состояние службы Event Processor согласно заданной периодичности создания резервной копии службы. Для сохранения и восстановления состояния службы Event Processor требуется некоторое время (до нескольких минут случае большого объема обрабатываемых данных). Перезапуск службы приведет к потере данных с момента последнего сохранения в файл в битовом формате.
  • Kaspersky MLAD совместим с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.
  • Kaspersky MLAD рассчитан на работу с потоком тегов, скорость которого не превышает 10 000 тегов в секунду (допустимы кратковременные всплески не более 20%). При скорости потока тегов, превышающей указанное значение, возможна задержка обработки тегов, формирования прогнозов и выявления аномалий.
  • Компьютеры, на которых установлены Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks, должны находиться в одной сети.
  • Обновление программы с сохранением данных поддерживается только для версии Kaspersky MLAD 5.0.0-001 или выше. Для перехода от Kaspersky MLAD 4.0.0 к версии Kaspersky MLAD 5.0.0 и выше необходимо произвести новую установку Kaspersky MLAD и вручную импортировать данные из ранее установленной версии Kaspersky MLAD 4.0.0. Для получения подробной информации о переходе от Kaspersky MLAD 4.0.0 к Kaspersky MLAD версии 5.0.0 или выше рекомендуется обратиться в Службу технической поддержки "Лаборатории Касперского".
  • Откат программы к предыдущей установленной версии поддерживается только для версии Kaspersky MLAD 5.0.0-001 или выше.
  • Отсутствует возможность использования элементов модели на основе детектора XGBoost.
  • В дереве активов в разделе Активы не отображается значок, выбранный при создании или изменении тегов или активов.
  • В разделе Инциденты в окне выбора периода при перемещении вправо по оси времени в блоках для выбора начала и окончания периода отображается год начала заданного периода.
  • После загрузки конфигурации активов и тегов в разделе Модели не отображаются разметки, созданные ранее для загруженных активов.
  • В разделах Мониторинг и История вертикальная ось, отображающая при наведении курсора мыши на график артефакта элемента ML-модели в нижней части страницы, не совпадает с вертикальной осью, отображающейся в графических областях в верхней части страницы.
  • В разделе Пресеты для тега, входящего в состав пресета, отображается снятый флажок при поиске по имени этого тега в дереве активов. Если установить флажок для этого тега, становится доступной кнопка Сохранить выбор при фактическом отсутствии изменений в составе тегов пресета. Список тегов, отображающийся в дереве активов в соответствии с поисковым запросом, прокручивается при выборе тега в составе актива с большим количеством тегов.
  • В разделе Модели в некоторых случаях не нажимается кнопка Импортировать модель в вертикальном меню выбранного актива. Для корректной работы необходимо навести курсор мыши на правую часть кнопки и нажать ее.
  • В разделе Модели невозможен предварительный просмотр разметки, для которой выбран хотя бы один тег, по которым в Kaspersky MLAD не поступали наблюдения.
  • В разделе Модели разметка, используемая в составе импортированной ML-модели, отображается после повторного импорта ML-модели, при этом создается копия разметки.
  • В разделе Активы после удаления головного элемента иерархической структуры (Root) невозможно создать новые активы и/или теги.
  • В разделе История в раскрывающемся списке для выбора элементов ML-моделей отображаются удаленные элементы ML-моделей.
  • Служба Similar Anomaly перестает работать при повторном запуске исторического инференса. При повторном запуске исторического инференса рекомендуется выключить службу Similar Anomaly.
  • В разделе Модели при увеличении масштаба отображения разметки во время ее просмотра не отображается горизонтальная полоса прокрутки. Часть элементов управления просмотром разметки становится недоступна.
  • Kaspersky MLAD хранит всю историю полученных значений тегов, а также прогнозируемых значений тегов. Поэтому требуется предварительно рассчитать размер хранилища, исходя из показателей скорости обновления данных (тегов в секунду) и временного интервала хранения истории мониторинга данных телеметрии.
  • В разделе Модели не всегда отображаются результаты обучения предиктивного элемента после его успешного обучения. Для отображения результатов необходимо обновить страницу.
  • Значение параметра Часовой пояс объекта мониторинга, заданного системным администратором в основных параметрах Kaspersky MLAD, применяется только к датам и времени при выборе интервалов времени разметок. В остальных разделах веб-интерфейса, в которых для отображения данных можно выбрать дату и время, этот параметр не применяется.
В начало

[Topic 248124]

Параметры конфигурационного файла .env

Изменение параметров конфигурационного файла выполняет только квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Конфигурационный файл .env заполняется для настройки коннектора CEF Connector и содержит параметры, приведенные в таблице ниже.

Параметры конфигурационного файла .env

Параметр

Описание

CEF_CONNECTOR_INCOMING_IP

IP-адрес, по которому будет осуществляться подключение внешнего источника событий к коннектору CEF Connector.

CEF_INCOMING_PORT

Номер порта, по которому будет осуществляться подключение внешнего источника событий к коннектору CEF Connector.

AUDIT_LOGGER_LOGIN

Имя пользователя службы Database.

AUDIT_LOGGER_PASSWORD

Пароль пользователя службы Database.

DEFAULT_ADMINISTRATOR_USER

Имя первого пользователя программы с ролью системного администратора.

DEFAULT_ADMINISTRATOR_PASSWORD

Пароль первого пользователя программы с ролью системного администратора.

Для применения изменений, внесенных в конфигурационный файл, требуется перезапустить Kaspersky MLAD.

В начало

[Topic 248125]

Параметры и пример Excel-файла, содержащего конфигурацию активов и тегов

Конфигурационный файл создается квалифицированным техническим специалистом Заказчика, сотрудником "Лаборатории Касперского" или сертифицированным интегратором. Системный администратор загружает конфигурацию активов и тегов иерархической структуры в разделе Активы в меню администратора.

Конфигурационный файл содержит следующие вкладки:

  • readme – вкладка, содержащая общую информацию о конфигурационном файле.
  • directory_types – вкладка, описывающая типы активов иерархической структуры с помощью следующих параметров:
    • directory_type_id – идентификатор типа актива. Идентификатор присваивается автоматически при экспорте дерева активов.
    • directory_type – уникальное название типа актива.
    • parameter<номер параметра>_label – названия специальных параметров, где <номер параметра> соответствует значению из диапазона от 1 до 5. Если у актива заданного типа отсутствует какой-либо специальный параметр, оставьте соответствующее поле в конфигурационном файле пустым.
    • description – описание типа актива. Поле не обязательно для заполнения.
  • directories – вкладка, описывающая активы иерархической структуры с помощью следующих параметров:
    • directory_id – идентификатор актива. Идентификатор присваивается автоматически при экспорте дерева активов.
    • directory_type – тип актива. Тип выбирается из типов активов, заданных на вкладке directory_types.
    • directory_type row – номер строки на вкладке directory_types, на которой описан выбранный тип актива. Поле заполняется автоматически.
    • directory_name – уникальное имя актива в рамках его родительского актива.
    • directory_info – описание актива. Поле не обязательно для заполнения.
    • parent – родительский актив. Если импортируемый актив находится на верхнем уровне иерархии активов, оставьте поле parent пустым.
    • parent row – номер строки, на которой описан выбранный родительский актив. Поле заполняется автоматически.
    • parent_id – идентификатор родительского актива. Идентификатор присваивается автоматически при экспорте дерева активов.
    • parameter<номер параметра> – названия специальных параметров, где <номер параметра> соответствует значению из диапазона от 1 до 5. Названия специальных параметров заполняются автоматически, если для выбранного типа актива определены специальные параметры.
    • value<номер параметра> – значения специальных параметров, где <номер параметра> соответствует значению из диапазона от 1 до 5. Если у актива отсутствует специальный параметр, оставьте поле для ввода соответствующего значения пустым.
  • tags – вкладка, описывающая теги иерархической структуры с помощью следующих параметров:
    • tag_id – идентификатор тега. Значение идентификатора присваивается автоматически в диапазоне от 1 до 1 000 000 при экспорте первичных элементов иерархической структуры.
    • tag_name – уникальное имя тега.
    • alternate_name – уникальное альтернативное имя тега. Поле не обязательно для заполнения.
    • tag_description – описание тега.
    • parent – родительский актив, к которому относится тег. Если для импортируемого тега родительским элементом является головной элемент иерархической структуры, оставьте поле parent пустым.
    • parent_row – номер строки на вкладке directories, на которой описан выбранный родительский актив. Поле заполняется автоматически.
    • parent_id – идентификатор родительского актива. Идентификатор присваивается автоматически при экспорте дерева активов.
    • tag_type – тип тега. Поле не обязательно для заполнения.
      • PV – для обозначения измерений или наблюдаемых значений физических параметров.
      • CV – для обозначения вычисляемых значений физических параметров.
      • IV – для обозначения тегов, не зависящих от других тегов.
      • SV – для обозначения уставки.
      • MV – для обозначения регулируемых значений физических параметров.
      • B – для обозначения тегов в битовом формате.
      • X – для обозначения наблюдений, не являющимися тегами.

      Если вы затрудняетесь определить тип тега, вы можете использовать вопросительный знак (?) в качестве типа тега.

    • tag_units – единица измерения тега.
    • red_min – нижний порог предельно допустимого значения тега. Поле не обязательно для заполнения.
    • red_max – верхний порог предельно допустимого значения тега. Поле не обязательно для заполнения.
    • yellow_min – нижний порог сигнализации, при достижении которого оператору следует обратить внимание на поведение тега. Поле не обязательно для заполнения.
    • yellow_max – верхний порог сигнализации, при достижении которого оператору следует обратить внимание на поведение тега. Поле не обязательно для заполнения.
    • validity_min – нижний порог физически возможных значений тега. Поле не обязательно для заполнения.
    • validity_max – верхний порог физически возможных значений тега. Поле не обязательно для заполнения.
    • display_min – нижняя граница отображения значений тега на графиках. Поле не обязательно для заполнения.
    • display_max – верхняя граница отображения значений тега на графиках. Поле не обязательно для заполнения.
    • scale – выражение, по которому требуется рассчитать значение тега из значения, переданного в Kaspersky MLAD. Вместо выражения вы можете указать конкретное число, на которое требуется умножить значение передаваемого тега. Если перерасчет значения тега не требуется, оставьте поле пустым.
    • comment – комментарий к тегу.
    • x – координата расположения датчика объекта мониторинга по оси абсцисс. Поле не обязательно для заполнения.
    • y – координата расположения датчика объекта мониторинга по оси ординат. Поле не обязательно для заполнения.
    • z – координата расположения датчика объекта мониторинга по оси аппликат. Поле не обязательно для заполнения.
    • bias – значение, которое необходимо добавить к значению тега, переданному в Kaspersky MLAD. Укажите 0, если не требуется конвертация значения не требуется.

      Конвертация значений, поступающих в Kaspersky MLAD выполняется при включенном переключателе Масштабировать полученные значения тегов в параметрах используемого коннектора. Значение bias добавляется к результату умножения полученного значения тега на значение multiplier.

    • multiplier – значение, на которое необходимо умножить значение тега, переданное в Kaspersky MLAD. Укажите 1, если конвертация значения не требуется.

      Конвертация значений, поступающих в Kaspersky MLAD выполняется при включенном переключателе Масштабировать полученные значения тегов в параметрах используемого коннектора. Умножение полученного значения тега на значение multiplier выполняется перед добавлением значения bias.

Ниже приведен пример файла в формате XLSX, который содержит описания активов и тегов и их конфигурацию.

Вкладка directory_types

directory_type_id

directory_type

parameter1_label

parameter2_label

parameter3_label

parameter4_label

parameter5_label

description

 

Завод

Процесс

Регион

 

 

 

Отдельная производственная единица

 

Агрегат

Производитель

Модель

Год изготовления

Ответственный

 

Промышленная установка

 

Уставки

 

 

 

 

 

Набор уставок

Вкладка directories

directory_id

directory_type

directory_type row

directory_name

directory_info

parent

parent row

parent_id

parameter1

value1

parameter2

value2

parameter3

value3

parameter4

value4

parameter5

value5

 

Завод

2

Химический завод

Tennessee Eastman Process

 

 

 

Процесс=

TEP

Регион=

США

 

 

 

 

 

 

 

Агрегат

3

Реактор

Химический реактор

Химический завод

2

 

Производитель=

Chemical Machines

Модель=

R1/12-13

Год изготовления=

2001

Ответственный=

Иванов Иван Иванович

 

 

 

Уставки

4

Уставки

Уставки реактора

Химический завод; Реактор

3

 

 

 

 

 

 

 

 

 

 

 

Вкладка tags

tag_id

tag_name

alternate_tag_name

tag_description

parent

parent_row

parent_id

tag_type

tag_units

red_min

red_max

yellow_min

yellow_max

validate_min

validate_max

display_min

display_max

scale

comment

x

y

z

bias

multiplier

 

Reactor_pressure_setpoint

 

Уставка давления реактора

Химический завод; Реактор; Уставки

4

 

SV

кПа

 

 

 

 

 

 

 

 

 

 

 

 

 

0

6,89476

 

A_feed_stream1

 

Расход реагента A

Химический завод; Реактор

3

 

PV

тыс. н.куб.м/ч

 

0,6

 

 

 

 

 

 

 

 

 

 

 

0

1

 

Нет отклика температуры реактора

 

Rule

Химический завод

2

 

PV

 

 

 

 

 

 

 

 

 

 

 

 

 

 

0

1

В начало

[Topic 256180]

Параметры и пример JSON-файла, описывающего пресеты

Файл формата JSON с описанием пресетов создается квалифицированным техническим специалистом Заказчика, сотрудником "Лаборатории Касперского" или сертифицированным интегратором. Файл с описанием пресетов загружается пользователем в разделе Пресеты.

В JSON-файле задается информация о пресетах в параметре presets, который в свою очередь содержит следующие параметры:

  • name – название пресета.

  • code – идентификатор пресета в базе данных Kaspersky MLAD. Идентификатор присваивается автоматически при загрузке файла.
  • sort – порядковый номер отображения пресета в разделе Пресеты.
  • tags – список идентификаторов тегов, входящих в состав пресета.
  • icon – название значка пресета.
  • css_class – название CSS-класса для отображения значка пресета.
  • is_display_on_time_slice – параметр, определяющий, требуется ли отображать пресет в разделе Временной срез. Если параметр имеет значение true, пресет отображается в разделе Временной срез.
  • evaluations – параметр, описывающий график в разделе Временной срез, с помощью следующих параметров:
    • axis_x_name – подпись для оси абсцисс на графике.
    • evaluations – параметр, описывающий выражение, по которому рассчитываются значения тегов для их отображения на графике, с помощью следующих параметров:
      • name – название выражения, по которому рассчитывается значение тегов для их отображения на графике.
      • yAxis – подпись для оси ординат на графике.
      • expression – выражение, по которому рассчитываются значения тегов.
      • expression_color – цвет графика, который будет отображаться для пресета. Цвет графика задается в соответствии с кодированием цвета в аддитивной цветовой модели RGB с альфа-каналом с помощью следующих параметров:
        • a – альфа-параметр, определяющий непрозрачность цвета. Вы можете указать значение в диапазоне от 0 до 1.
        • b – координата синего канала модели RGB. Вы можете указать значение в диапазоне от 0 до 255.
        • g – координата зеленого канала модели RGB. Вы можете указать значение в диапазоне от 0 до 255.
        • r – координата красного канала модели RGB. Вы можете указать значение в диапазоне от 0 до 255.
  • graphic_areas – группа параметров, описывающих графические области в составе пресета.
    • name – название графической области.
    • description – описание графической области.
    • sort – порядковый номер отображения графической области в пресете в разделах Пресеты, История и Мониторинг.
    • display_max – верхняя граница отображения тегов графической области. Если параметр is_scale_mode_auto имеет значение true, укажите null в качестве значение параметра display_max.
    • display_min – нижняя граница отображения тегов графической области. Если параметр is_scale_mode_auto имеет значение true, укажите null в качестве значение параметра display_min.
    • additional_thresholds – группа параметров, описывающих дополнительные пороговые линии.
      • id – идентификатор дополнительной пороговой линии. Идентификатор присваивается автоматически при загрузке файла.
      • value – пороговое значение.
      • color – цвет графика, который будет отображаться для дополнительной пороговой линии. Цвет графика задается в соответствии с кодированием цвета в аддитивной цветовой модели RGB с альфа-каналом с помощью следующих параметров:
        • a – альфа-параметр, определяющий непрозрачность цвета. Вы можете указать значение в диапазоне от 0 до 1.
        • r – координата красного канала модели RGB. Вы можете указать значение в диапазоне от 0 до 255.
        • g – координата зеленого канала модели RGB. Вы можете указать значение в диапазоне от 0 до 255.
        • b – координата синего канала модели RGB. Вы можете указать значение в диапазоне от 0 до 255.
    • scale_mode – режим масштабирования оси. Для параметра scale_mode вы можете указать одно из следующих значений:
      • single_axis – для отображения данных на графике используется общая ось ординат.
      • cast – для каждого тега данные масштабируются по оси ординат индивидуально, независимо от данных других тегов в составе графической области.
    • is_scale_mode_auto – параметр, определяющий способ масштабирования графика в режиме единой оси. Если параметр имеет значение true, график тегов масштабируется автоматически с учетом минимального и максимального значений данных среди всех тегов графической области.
    • tag_id_list – список идентификаторов тегов, входящих в состав графической области.
    • graphic_area_id – идентификатор графической области. Идентификатор присваивается автоматически при загрузке файла.
    • preset_id – идентификатор пресета, к которому относится графическая область. Идентификатор присваивается автоматически при загрузке файла.

Ниже приведен пример файла в формате JSON, который содержит описания пресетов.

{ "presets": [ { "name": "Продукт", "code": null, "sort": 0, "tags": [ 51, 52, 53, 49, 50 ], "icon": "logout-signout", "css_class": null, "is_display_on_time_slice": false, "evaluations": { "axis_x_name": "", "evaluations": [] }, "graphic_areas": [ { "name": "F_product", "description": "Доля реаг. F в конечном продукте", "sort": 0, "display_max": null, "display_min": null, "additional_thresholds": [], "scale_mode": "single_axis", "is_scale_mode_auto": true, "tag_id_list": [ 51 ], "graphic_area_id": null, "preset_id": null }, ... ], }, ... { "name": "Охладитель", "code": null, "sort": 0, "tags": [ 64 ], "icon": "graph", "css_class": null, "is_display_on_time_slice": false, "evaluations": { "axis_x_name": "", "evaluations": [] }, "graphic_areas": [ { "name": "Condenser_cool_water_flow", "description": "Упр. расходом охл. воды конденсатора", "sort": 0, "display_max": null, "display_min": null, "additional_thresholds": [], "scale_mode": "single_axis", "is_scale_mode_auto": true, "tag_id_list": [ 64 ], "graphic_area_id": null, "preset_id": null } ] } ] }

В начало

[Topic 248126]

Параметры и пример JSON-файла, содержащего конфигурацию параметров для службы Event Processor

Конфигурационный файл создается техническим специалистом Заказчика, сотрудником "Лаборатории Касперского" или сертифицированным интегратором. Системный администратор загружает конфигурационный файл процессора событий при настройке параметров службы Event Processor.

При повторной загрузке конфигурационного файла, в котором определены другие параметры событий, параметры событий, определенные в предыдущем конфигурационном файле, станут недоступны для настройки в веб-интерфейсе программы.

Коннектор CEF Connector получает информацию о каждом обнаруженном событии от внешних систем в CEF-формате:

CEF:<версия формата CEF>|<имя поставщика внешней системы>|<название программы внешней системы>|<версия программы внешней системы>|<уникальный идентификатор типа события>|<описание события>|<уровень важности события>|<параметр 1>=<значение параметра 1> ... <параметр N>=<значение параметра N>

где:

  • CEF:<версия формата CEF>|<имя поставщика внешней системы>|<название программы внешней системы>|<версия программы внешней системы>|<уникальный идентификатор типа события>|<описание события>|<уровень важности события>| – заголовок события.
  • <параметр 1>=<значение параметра 1> ... <параметр N>=<значение параметра N> – тело события, содержащее последовательность пар <параметр события>=<значение параметра события>.

Конфигурационный файл описывает параметры в событиях, полученных коннектором CEF Connector. Имена параметров событий в Kaspersky MLAD могут совпадать с именами параметров, полученных в CEF-формате коннектором CEF Connector. При необходимости вы можете указать другие имена параметров, которые необходимо обрабатывать в Kaspersky MLAD, по определенным правилам. Правила соответствия параметров событий задаются в параметре mapping_fields конфигурационного файла.

Параметры nodes и links конфигурационного файла предназначены для описания способа построения графа результатов поиска событий. Граф представляет собой отображение отношений параметров событий, вершины которого задаются в параметре nodes, а дуги задаются в параметре links.

Конфигурационный файл содержит следующие параметры:

  • timestamp_field – название параметра для обозначения даты и времени в событиях, полученных коннектором CEF Connector от внешней системы.
  • timetamp_scale – единица измерения времени событий.
  • sep – разделитель между параметрами значений в событиях, полученных коннектором CEF Connector.
  • sep_kv – разделитель ключа и значения в событиях, полученных коннектором CEF Connector.
  • sep_cef_caption – разделитель в заголовке событий, полученных коннектором CEF Connector.
  • mapping_fields – правила соответствия параметров событий, полученных коннектором CEF Connector, с именами параметров событий для обработки в Kaspersky MLAD. При необходимости вы можете задать условия записи параметров событий в Kaspersky MLAD в зависимости от значений других параметров, полученных коннектором CEF Connector. Этот параметр не является обязательным для заполнения.
  • fields – список параметров событий, обрабатываемых службой Event Processor. Имена этих параметров могут соответствовать именам параметров, полученных в CEF-формате, так и именам параметров, заданных в правилах с помощью параметра mapping_fields.
  • nodes – группа параметров, описывающих вершины графа отношений параметров событий с помощью следующих параметров:
    • name – имя параметра события, соответствующего вершине графа.
    • depth – порядковый номер отображения вершины графа слева направо при просмотре истории событий.
    • tooltip – параметр, включающий параметр templates. В параметре templates задается надпись, которая будет отображаться при наведении курсора мыши на вершину графа.
    • fieldShortCut – параметр, определяющий альтернативное имя параметра события. На графе отношений параметров событий альтернативное имя отображается в квадратных скобках рядом со значением параметра, соответствующего вершине графа. Этот параметр не является обязательным для заполнения.
  • links – группа параметров, описывающих дуги графа (отношения параметров событий) с помощью следующих параметров:
    • source – имя первого параметра события, образующего связь на графе.
    • target – имя второго параметра события, образующего связь на графе.
    • tooltip – параметр, включающий параметр templates. В параметре templates задается надпись, которая будет отображаться при наведении курсора мыши на дугу графа. Вы можете использовать следующие переменные с помощью двойных фигурных скобок:
      • Любой параметр из списка параметров событий fields.
      • onIntervalActivationsCount – количество обнаружений события в потоке событий за период, заданный при просмотре истории событий.
      • onIntervalLastActivationTimestamp – дата и время последнего обнаружения события в потоке событий за период, заданный при просмотре истории событий.
      • lastActivationTimestamp – дата и время последнего обнаружения события в потоке событий.
      • totalActivationsCount – количество обнаружений события в потоке событий.
    • isGraphGroup – параметр, определяющий способ отображения связи на графе отношений параметров событий. Если параметр имеет значение true, то события с разными значениями параметров, которые не используются в качестве вершин графа, отображаются как одна группа событий. Если параметр имеет значение false, то события с разными значениями параметров отображаются как разные события. По умолчанию этот параметр имеет значение false.

Ниже приведен пример файла в формате JSON, который содержит конфигурацию параметров для службы Event Processor. Файл содержит описание параметров событий для процессора событий. В соответствии со значениями, указанными в параметре mapping_fields, в Kaspersky MLAD будут отображаться события со следующими параметрами события:

  • EventType – соответствует параметру cat в событии, полученном коннектором CEF Connector.
  • User_Name – соответствует параметру cs1, если для параметра cs1Label получено значение user.
  • Destination_Host – соответствует параметру cs1, если для параметра cs1Label получено значение destination.
  • Access_Result – соответствует параметру cs1, если для параметра cs1Label получено значение access.
    { "timestamp_field": "TimeStamp", "timestamp_scale": "ms", "sep": " ", "sep_kv": "=", "sep_cef_caption": "|", "mapping_fields": { "cat": "User_Host", "cs1": {"map_label": "cs1Label", "values": {"user": "User_Name", "destination": "Destination_Host", "access": "Access_Result"}} }, "fields": [ "User_Host", "User_Name", "Destination_Host", "Access_Result" ], "nodes": [ { "name": "User_Name", "depth": 0, "tooltip": { "templates": [ "User: {{User_Name}}" ] }, "fieldShortCut": "User" }, { "name": "User_Host", "depth": 1, "tooltip": { "templates": [ "User host: {{User_Host}}" ] }, "fieldShortCut": "Src" }, { "name": "Destination_Host", "depth": 2, "tooltip": { "templates": [ "Destination: {{Destination_Host}}" ] }, "fieldShortCut": "Dst" } ], "links": [ { "source": "User_Name", "target": "User_Host", "tooltip": { "templates": [ "{{User_Name}} » {{User_Host}}", "Count: {{onIntervalActivationsCount}}" ] }, "isGraphGroup": true }, { "source": "User_Host", "target": "Destination_Host", "tooltip": { "templates": [ "{{User_Host}} » {{Destination_Host}}", "DeviceEventClassID: {{Access_Result}}", "Count: {{onIntervalActivationsCount}}" ] } } ] }
В начало

[Topic 248127]

Просмотр журнала Kaspersky MLAD

В Kaspersky MLAD используется система ведения журналов Grafana для отслеживания состояния служб программы, а также для отслеживания событий информационной безопасности.

Отслеживание событий информационной безопасности Kaspersky MLAD в подсистеме ведения журналов

В таблице ниже приведены типы событий ИБ, которые отслеживаются в Kaspersky MLAD.

Типы событий информационной безопасности

Идентификатор события информационной безопасности в системе ведения журналов

Тип события информационной безопасности

login

Подключение и попытки подключения пользователей к Kaspersky MLAD

access_control

Проверка прав пользователей при выполнении действий в веб-интерфейсе Kaspersky MLAD

logout

Завершение подключения пользователей к Kaspersky MLAD

service_control

Запуск, остановка и перезапуск служб Kaspersky MLAD

user_control

Изменение учетных записей пользователей

system_settings_control

Изменение параметров Kaspersky MLAD

model_control

Создание, изменение и удаление моделей

tag_control

Импорт, создание, изменение и удаление тегов

log_control

Удаление журналов событий ИБ из базы данных Kaspersky MLAD при превышении объема хранения журналов или при истечении срока их хранения

Каждая запись о событии ИБ содержит следующие параметры:

  • event_id – идентификатор события ИБ.
  • timestamp – дата и время события ИБ.
  • event_type – идентификатор типа события ИБ.
  • sub_type – уточнение типа события ИБ.
  • severity – важность события ИБ. В Kaspersky MLAD предусмотрены следующие уровни важности событий ИБ:
    • 1 – низкий.

      К этим событиям ИБ относятся записи о предоставлении доступа пользователям на выполнение какого-либо действия в веб-интерфейсе и об успешном выполнении каких-либо действий пользователей.

    • 5 – средний.

      К этим событиям ИБ относятся записи о действиях пользователей в веб-интерфейсе по управлению ML-моделями, тегами, учетными записями и паролями, а также записи о достижении заданных порогов по времени и объему хранения журналов событий ИБ.

    • 8 – высокий.

      К этим событиям ИБ относятся записи об указании пользователями неправильных имени пользователя и/или пароля при подключении к веб-интерфейсу программы, а также записи о неуспешных попытках смены пароля.

    • 10 – высший.

      К этим событиям ИБ относятся записи о попытках подключения к веб-интерфейсу программы с помощью системной или заблокированной учетной записи, а также записи о попытках выполнения каких-либо действий в программе при отсутствии соответствующих прав доступа.

  • username – имя пользователя, действия которого привели к записи события ИБ.
  • ip_address – IP-адрес компьютера, с которого пользователем было произведено действие, записанное в журналы событий ИБ.
  • outcome – результат события ИБ. Результат OK соответствует успешному выполнению операции пользователем. Результат FAIL соответствует отказу в выполнении операции пользователем.
  • msg – краткое содержание события ИБ.
  • info – подробное описание события ИБ.

Отслеживание состояния служб Kaspersky MLAD в подсистеме ведения журналов

Для обозначения служб Kaspersky MLAD, состояние которых отслеживается в подсистеме ведения журналов, используются наименования соответствующих им контейнеров или образов в Docker. В качестве имени образа в большинстве случаев используется сокращенное название службы. Имя контейнера формируется по следующему шаблону:

<директория программы>-<название образа>-#,

где: # – номер контейнера Docker.

По умолчанию Kaspersky MLAD использует директорию mlad-release-5.0.0-<номер установочной сборки>.

В журнале Kaspersky MLAD записи о состоянии служб программы хранятся только за последние 48 часов.

Ниже приведена таблица соответствия служб Kaspersky MLAD и имен образов и контейнеров Docker.

Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker

Служба Kaspersky MLAD

Имя образа

Имя контейнера

Anomaly Detector

anomaly_detector

mlad-release-5.0.0-<номер установочной сборки>-anomaly_detector-1

Time Series Database

influxdb

mlad-release-5.0.0-<номер установочной сборки>-influxdb-1

Message Broker

kafka

mlad-release-5.0.0-<номер установочной сборки>-kafka-1

Keeper

keeper

mlad-release-5.0.0-<номер установочной сборки>-keeper-1

Logger

logger

mlad-release-5.0.0-<номер установочной сборки>-logger-1

Database

postgres

mlad-release-5.0.0-<номер установочной сборки>-postgres-1

Similar Anomaly

similar_anomaly

mlad-release-5.0.0-<номер установочной сборки>-similar_anomaly-1

Event Processor

event-processor

mlad-release-5.0.0-<номер установочной сборки>-event-processor-1

Stream Processor

stream-processor

mlad-release-5.0.0-<номер установочной сборки>-stream-processor-1

Trainer

trainer

mlad-release-5.0.0-<номер установочной сборки>-trainer-1

Web Server

nginx-ui

mlad-release-5.0.0-<номер установочной сборки>-nginx-ui-1

API Server

web-server

mlad-release-5.0.0-<номер установочной сборки>-web-server-1

Mail Notifier

postman

mlad-release-5.0.0-<номер установочной сборки>-postman-1

OPC UA Connector

opcua-connector

mlad-release-5.0.0-<номер установочной сборки>-opcua-connector-1

MQTT Connector

mqtt-connector

mlad-release-5.0.0-<номер установочной сборки>-mqtt-connector-1

AMQP Connector

amqp-connector

mlad-release-5.0.0-<номер установочной сборки>-amqp-connector-1

HTTP Connector

http-connector

mlad-release-5.0.0-<номер установочной сборки>-http-connector-1

KICS Connector

kics3-connector

mlad-release-5.0.0-<номер установочной сборки>-kics3-connector-1

CEF Connector

cef-connector

mlad-release-5.0.0-<номер установочной сборки>-cef-connector-1

WebSocket Connector

ws-connector

mlad-release-5.0.0-<номер установочной сборки>-ws-connector-1

Docker API Server

docker-api-server

mlad-release-5.0.0-<номер установочной сборки>-docker-api-server-1

Migrations

migrations

mlad-release-5.0.0-<номер установочной сборки>-migrations-1

Push Server

push-server

mlad-release-5.0.0-<номер установочной сборки>-push-server-1

 

webstatic

mlad-release-5.0.0-<номер установочной сборки>-webstatic-1

Для служб Time Series Database, Message Broker, Logger, Database, Web Server, а также образа webstatic используется уровень ведения журналов Инфо. Уровни ведения журналов для остальных служб Kaspersky MLAD задаются системным администратором при настройке параметров программы.

В этом разделе

Сценарий: просмотр журналов событий информационной безопасности

Сценарий: оценка основных метрик Kaspersky MLAD

Сценарий: просмотр метрик и журналов контейнера

В начало

[Topic 248128]

Сценарий: просмотр журналов событий информационной безопасности

Перед началом работы с подсистемой ведения журналов рекомендуется ознакомиться с руководством пользователя системы Grafana.

Объем и время хранения записей событий ИБ задаются при настройке параметров безопасности.

Запись журналов событий информационной безопасности в базу данных Kaspersky MLAD ведется автоматически. Если требуется, системный администратор может указать параметры внешней системы, в которую требуется отправлять журналы событий ИБ.

Сценарий просмотра журналов событий информационной безопасности состоит из следующих этапов:

  1. Переход в подсистему ведения журналов

    Перейдите в систему ведения журналов нажатием на кнопку Пиктограмма в виде листа бумаги с текстом.. Откроется интерфейс Grafana, в котором требуется указать имя и пароль пользователя Kaspersky MLAD.

    Доступно только системным администраторам и пользователям с правом Работа с журналами программы.

  2. Переход в раздел с журналами событий информационной безопасности

    Перейдите в раздел Security audit.

  3. Анализ журналов событий информационной безопасности

    Проанализируйте записи журналов событий ИБ за выбранный период. Вы можете выполнить фильтрацию по параметрам журналов событий ИБ. Для этого в столбце с нужным параметром журналов нажмите на кнопку Пиктограмма в виде фильтра., установите флажки около нужных критериев фильтрации и нажмите на кнопку Ok. Для сброса критериев фильтрации снимите нужные флажки и нажмите на кнопку Ok.

  4. Экспорт журналов событий информационной безопасности

    Для выгрузки в текстовый файл журналов событий ИБ за выбранный период, в разделе Security audit в вертикальном меню Пиктограмма в виде трех точек, расположенных вертикально. в правом верхнем углу таблицы журналов событий ИБ выберите InspectData и в открывшейся панели нажмите на кнопку Download CSV.

В начало

[Topic 248129]

Сценарий: оценка основных метрик Kaspersky MLAD

Перед началом работы с подсистемой ведения журналов рекомендуется ознакомиться с руководством пользователя системы Grafana.

При первом подключении к подсистеме ведения журналов требуется изменить пароль, установленный по умолчанию.

В этом подразделе приводится последовательность действий, которые требуется выполнить для оценки работоспособности и общего состояния Kaspersky MLAD.

Сценарий оценки работоспособности и общего состояния Kaspersky MLAD состоит из следующих этапов:

  1. Переход в подсистему ведения журналов

    Перейдите в систему ведения журналов нажатием на кнопку Пиктограмма в виде листа бумаги с текстом.. Откроется интерфейс Grafana, в котором требуется указать имя и пароль пользователя Kaspersky MLAD.

    Доступно только системным администраторам и пользователям с правом Работа с журналами программы.

  2. Анализ основных метрик Kaspersky MLAD

    В разделе Summary docker metrics проанализируйте графики основных метрик Kaspersky MLAD за выбранный период.

    Для каждого контейнера служб Kaspersky MLAD отображаются следующие метрики:

    • CPU usage – история загрузки центрального процессора контейнером. Измеряется в процентах.
    • RAM usage – история использования контейнером оперативной памяти. Измеряется в байтах.
    • Disk usage Read/Write – история нагрузки контейнера на дисковую подсистему (операции записи и чтения). Измеряется в байтах.
    • Network usage – история задействования контейнером сетевых ресурсов. Измеряется в байтах в секунду.
В начало

[Topic 248130]

Сценарий: просмотр метрик и журналов контейнера

Перед началом работы с подсистемой ведения журналов рекомендуется ознакомиться с руководством пользователя системы Grafana.

В журнале Kaspersky MLAD хранятся записи только за последние 48 часов.

В этом подразделе приводится последовательность действий, которые требуется выполнить для оценки работоспособности и просмотра журналов определенного контейнера из комплекта поставки Kaspersky MLAD.

Сценарий оценки работоспособности и просмотра журналов определенного контейнера состоит из следующих этапов:

  1. Переход в подсистему ведения журналов

    Перейдите в систему ведения журналов нажатием на кнопку Пиктограмма в виде листа бумаги с текстом.. Откроется интерфейс Grafana, в котором требуется указать имя и пароль пользователя Kaspersky MLAD.

    Доступно только системным администраторам и пользователям с правом Работа с журналами программы.

  2. Переход в раздел с метриками и журналами контейнера

    Перейдите в раздел Service detailed monitoring и выберите нужный контейнер из раскрывающегося списка Container.

  3. Анализ метрик контейнера

    Проанализируйте графики метрик Kaspersky MLAD для выбранного контейнера за необходимый период, которые отображаются в разделе Service detailed monitoring.

    В разделе Service detailed monitoring представлены следующие метрики:

    • Memory – история использования контейнером оперативной памяти. Измеряется в байтах.
    • CPU – история загрузки центрального процессора контейнером. Измеряется в процентах.
    • File system – история нагрузки контейнера на дисковую подсистему (операции записи и чтения). Измеряется в байтах.
    • Network – история задействования контейнером сетевых ресурсов. Измеряется в байтах в секунду.
  4. Анализ журналов контейнера

    Проанализируйте записи журналов контейнера за выбранный период, которые отображаются под информационной панелью с метриками. Вы можете выполнить поиск по записям журналов контейнера. Для этого введите поисковый запрос в поле Log search и нажмите на клавишу ENTER. Для сброса результатов поиска очистите поле Log search и нажмите на клавишу ENTER.

  5. Экспорт журналов контейнера

    Для выгрузки в текстовый файл журналов контейнера за выбранный период, в разделе Service detailed monitoring в вертикальном меню Пиктограмма в виде трех точек, расположенных вертикально. в правом верхнем углу блока нужной метрики выберите InspectData и в открывшейся панели нажмите на кнопку Download CSV.

В начало

[Topic 248131]

Специальные символы регулярных выражений

Для поиска событий, паттернов и значений параметров событий в разделе Процессор событий вы можете использовать регулярные выражения. Kaspersky MLAD поддерживает использование следующих специальных символов в регулярных выражениях:

  • ^ – Соответствует началу значения параметра. Например, ^А означает, что поиск в параметре события будет осуществляться по значениям, начинающимся с символа А.
  • $ – Соответствует концу значения параметра. Например, А$ означает, что поиск в параметре события будет осуществляться по значениям, заканчивающимся символом А.
  • . – Соответствует одному любому символу.
  • | – Разделяет допустимые варианты символов или совокупности символов в значении параметра. Например, к(о|и)т соответствует как значению параметра кот, так и кит.
  • \ – Символ, указывающий на то, что следующий символ является обычным символом в значении параметра, а не специальным. Вы можете использовать символ \ для поиска специальных символов в значении параметра. Например, \. описывает точку в значении параметра, а \\ описывает обратную косую черту.
  • [] – Соответствует любому символу из набора допустимых символов. Например, [абв] соответствует появлению одного из трех указанных символов.

    Для поиска по диапазону значений вы можете использовать символ -. Если требуется найти символы, которые не входят в указанный диапазон, вы можете использовать символ ^ внутри квадратных скобок. Например, [^0-9] задает возможность появления любого символа, кроме цифр.

Для указания нужного количества повторений выражения в значениях параметров событий вы можете использовать следующие специальные символы:

  • ? – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или один раз.
  • * – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или более раз.
  • + – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра один или более раз.
  • {} – Символьный класс, позволяющий указать нужное количество повторений предшествующего выражения. Вы можете указать количество повторений одним из следующих способов:
    • {n} – Выражение, предшествующее фигурным скобкам, встречает в значении параметра ровно n раз.
    • {m,n} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра от m до n раз включительно.
    • {m,} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра не менее m раз.
    • {,n} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра не более n раз.

Вы также можете использовать скобки () для объединения элементов выражения в группу. Например, (к[ои]т){2} найдет вхождения коткот, киткит, киткот и коткит.

В начало

[Topic 260272]

Наборы шифров для защищенного TLS-соединения

Для защищенного TLS-соединения по протоколу TLS-1.2 рекомендуется использовать следующий набор шифров:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256;
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384;
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256;
  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256;
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384.

Для защищенного TLS-соединения по протоколу TLS-1.3 рекомендуется использовать следующий набор шифров:

  • TLS_AES_128_GCM_SHA256;
  • TLS_AES_256_GCM_SHA384;
  • TLS_CHACHA20_POLY1305_SHA256;
  • TLS_AES_128_CCM_SHA256.
В начало

[Topic 90]

Глоссарий

ML-модель

Алгоритм, основанный на методах машинного обучения, задачей которого является анализ телеметрии объекта мониторинга и обнаружение аномалий.

Актив

Раздел иерархической структуры, представляющий, например, завод, цех или отдельный агрегат объекта мониторинга.

Аномалия

Нештатное, неожиданное и не предусмотренное производственным процессом отклонение в поведении объекта мониторинга.

Артефакт

Последовательность числовых значений (временной ряд), сформированная в результате инференса ML-модели. ML-модель может сформировать артефакты, связанные с полученными от объекта мониторинга значениями тегов, а также артефакты элементов ML-моделей.

АСУ ТП

Аббревиатура от "автоматизированная система управления технологическим процессом". Группа технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях.

Внимание

Специальная конфигурация процессора событий, которую требуется настроить для отслеживания событий и паттернов по отдельным подмножествам истории событий, а также для выявления общности в поведении объекта мониторинга.

Градиентный бустинг

Техника машинного обучения для задач классификации и регрессии, которая строит модель прогноза в форме ансамбля прогнозирующих моделей, обычно деревьев решений (XGBoost).

Графическая область

Совокупность тегов, данные которых совместно отображаются путем наложения на одном графике в разделах История и Мониторинг. В графической области могут отображаться данные для одного и более тегов пресета.

Иерархическая структура объекта мониторинга

Способ представления объекта мониторинга в виде дерева, конечные узлы которого соответствуют тегам, по которым поступают данные телеметрии.

Индикатор инференса

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет инференс.

Индикатор обучения

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет обучение.

Инференс

Работа ML-модели с данными телеметрии для выявления аномального поведения.

Инцидент

Обнаруженное отклонение от ожидаемого (нормального) поведения объекта мониторинга.

Коннектор

Служба, которая обеспечивает обмен данными с внешними системами.

Монитор

Источник извещений о выявлении процессором событий паттернов, событий или значений параметров событий в соответствии с заданными критериями мониторинга. Критерии мониторинга определяют голову внимания, дополнительные фильтры на значения параметров событий, а также скользящий временной интервал и количество последовательных активаций монитора на скользящем временном интервале.

Паттерн

Последовательность событий или других паттернов, на которые разбивается поток событий от объекта мониторинга.

Пресет

Набор тегов, сформированный пользователем в произвольном порядке или созданный автоматически при регистрации инцидента. Набор тегов в составе пользовательского пресета может соответствовать определенному аспекту технологического процесса или участку объекта мониторинга.

Равноинтервальная временная сетка (РИВС)

Бесконечная последовательность моментов времени, следующих друг за другом через равные интервалы, к которой приводится поток поступающих данных телеметрии.

Разметка

Инструмент для отбора интервалов времени. Разметки используются для формирования индикаторов обучения и инференса ML-модели. В составе разметки могут быть использованы два вида критериев: условия на поведение конкретных тегов (отбираются интервалы времени, в которых эти условия соблюдаются) и фильтр по времени (интервалы времени отбираются независимо от поведения тегов).

Роль учетной записи

Совокупность прав доступа, определяющая набор доступных пользователю действий при подключении к веб-интерфейсу приложения. В Kaspersky MLAD предусмотрены роль системного администратора и пользовательские роли.

Семплирование

Метод корректировки обучающей выборки с привязкой к шагам временной шкалы в исходном наборе данных.

Событие

Набор значений из заранее заданного перечня параметров, описывающих то, что произошло на объекте мониторинга в определенный момент времени.

Тег

Переменная, которая содержит значение какого-либо параметра технологического процесса (например, температуры).

Топ-тег

Параметр технологического процесса, который оказал наибольшее влияние на регистрацию инцидента.

Топик AMQP

Иерархический путь к источнику данных, на базе которого отправляются сообщения по протоколу AMQP.

Топик MQTT

Иерархический путь к источнику данных, на базе которого отправляются сообщения по протоколу MQTT.

Уведомление

Сообщение с информацией об инциденте (инцидентах), которое программа отправляет через системы доставки сообщений (например, по электронной почте) на указанные адреса.

В начало

[Topic 248140]

Информация о стороннем коде

Информация о стороннем коде содержится в файле legal_notices.txt, расположенном в директории установки программы (в поддиректории legal).

В начало

[Topic 248141]

Уведомления о товарных знаках

Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.

Ubuntu, LTS являются зарегистрированными товарными знаками Canonical Ltd.

Словесный знак Grafana и логотип Grafana являются зарегистрированными товарными знаками/знаками обслуживания или товарными знаками/знаками обслуживания Coding Instinct AB в США и других странах и используются с разрешения Coding Instinct. Мы не являемся аффилированной, поддерживаемой или спонсируемой со стороны Coding Instinct или сообщества Grafana компанией.

Docker и логотип Docker являются товарными знаками или зарегистрированными товарными знаками компании Docker, Inc. в США и/или других странах. Docker, Inc. и другие стороны могут также иметь права на товарные знаки, описанные другими терминами, используемыми в настоящем документе.

Google, Chrome, Google Chrome – товарные знаки Google LLC.

TensorFlow и любые связанные с ним обозначения являются товарными знаками Google LLC.

Intel, Core и Xeon – товарные знаки Intel Corporation, зарегистрированные в Соединенных Штатах Америки и в других странах.

Linux – товарный знак Linus Torvalds, зарегистрированный в США и в других странах.

Microsoft и Excel являются товарными знаками группы компаний Microsoft.

OpenSSL является товарным знаком правообладателя OpenSSL Software Foundation.

Python – товарный знак или зарегистрированный товарный знак Python Software Foundation.

PGP – товарный знак или зарегистрированный в США и других странах товарный знак Symantec Corporation или аффилированных компаний.

В начало