AI рейтинг и статус активов

Сервис AI рейтинг и статус активов доступен для установки при условии, что лицензия содержит модуль AI.

AI-сервис позволяет уточнить критичность корреляционных событий, сгенерированных в результате срабатывания правил корреляции.

AI-сервис получает из доступных кластеров хранения корреляционные события, содержащие непустое поле Affected assets, выстраивает ожидаемую последовательность событий и обучает модель AI. На основании цепочки срабатываний корреляционных правил AI-сервис высчитывает, является ли такая последовательность срабатываний характерной в этой инфраструктуре. Нехарактерные паттерны повышают рейтинг актива.

По результатам расчетов AI-сервиса в карточке активов становится доступным для просмотра Рейтинг AI и Статус. Если лицензию удалить, поля Рейтинг AI и Статус будут скрыты из карточки актива. Если лицензию снова добавить, значения полей Рейтинг AI и Статус снова будут отображаться.

Рейтинг – это число, которое отражает степень нетипичной активности на активе, на которую стоит обратить внимание. Доступные значения поля Статус: Low, Medium, High, Critical. Значение рейтинга может быть от 0 до 1.

Существует 4 диапазона, по которым присваивается значение статуса:

0 <= рейтинг < 0.25 - Low

0.25 <= рейтинг < 0.5 - Medium

0.5 <= рейтинг < 0.75 - High

0.75 <= рейтинг <= 1 - Critical

Вы можете осуществлять поиск активов с помощью фильтра по полям Рейтинг AI и Статус. Также вы можете настроить проактивную категоризацию активов по полям Рейтинг AI и Статус и тогда, как только AI-сервис присвоит активу рейтинг, актив будет перемещен в заданную для такого уровня риска категорию.

Вы можете создать структуру из нескольких категорий и автоматически наполнять их активами в соответствии с вычисленными значениями риска.

В разделе Параметры → Аудит активов вы можете настроить создание событий аудита при добавлении актива в категорию. События аудита могут учитываться в правилах корреляции, а также их можно отслеживать на панели мониторинга и в отчетах.

Чтобы отслеживать изменение категории активов на панели мониторинга, создайте виджет События с запросом следующего вида:

SELECT count(ID) AS `metric`, formatDateTime(toTimeZone(fromUnixTimestamp64Milli(Timestamp), 'Europe/Moscow'), '%d.%m.%Y %H:%m:%S') AS `value` FROM `events`

where DeviceVendor = 'Kaspersky' and DeviceProduct = 'KUMA' and

DeviceEventCategory = 'Audit assets' and DeviceAction= 'asset added to category'

and DeviceCustomString1 = 'Main/Categorized assets/ML/score>0.5'

GROUP BY Timestamp ORDER BY value LIMIT 250

Чтобы отслеживать распределение активов по статусам на панели мониторинга, создайте виджет Активы по уровню важности. Виджет Активы по уровню важности доступен, если лицензия содержит модуль AI. На круговом графике будет отображаться количество активов с группировкой по статусу.

После каждого перезапуска AI-сервиса, AI-сервис заново обучает модель и выполняет переоценку рейтинга активов, указанных в событиях за сегодня.

В директории, указанной в конфигурационном файле, хранятся события, которые AI-сервис получил из кластеров хранения KUMA за указанное количество дней. Например, если в конфигурационном файле указано 12 дней, AI-сервис будет получать события за последние 12 дней. Самые давние события удаляются из директории. В этой же директории будет храниться обученная модель.

Переобучение модели происходит в полночь по UTC. Переоценка рейтинга активов происходит раз в час для всех активов, которые были в событиях за сегодня по UTC.

Журналы сервиса хранятся в /var/log/syslog.

В этом разделе

Установка и удаление сервиса AI рейтинг и статус активов

Параметры настройки сервиса AI рейтинг и статус активов

Идентификатор статьи: 292782, Последнее изменение: 18 апр. 2025 г.

В начало