Схема потока данных телеметрии и событий
В Kaspersky MLAD обмен данными с внешними системами обеспечивается за счет коннекторов. Для получения данных телеметрии (тегов) и/или событий от внешних систем требуется настроить коннекторы HTTP Connector, MQTT Connector, AMQP Connector, OPC UA Connector, KICS Connector, CEF Connector и WebSocket Connector.
Если в программе настроена передача событий и инцидентов в сторонние системы, программа отправляет зарегистрированные события и инциденты в сторонние системы по выбору системного администратора. Системный администратор программы самостоятельно выбирает сторонние системы и типы событий и инцидентов для передачи в сторонние системы. Обработка и сохранение полученных данных в сторонней системе выполняется в соответствии с ее функциональностью и назначением.
Данные телеметрии объекта мониторинга проходят первичную обработку в службе Stream Processor, которая приводит полученные теги к равноинтервальной временной сетке. При обнаружении потери данных телеметрии и наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно, служба Stream Processor регистрирует инциденты.
Служба Stream Processor передает данные, приведенные к РИВС, в ML-модель службы Anomaly Detector. Если при обработке полученных данных детекторы в основе ML-модели обнаруживают отклонения от нормального поведения объекта мониторинга, то служба Anomaly Detector регистрирует инциденты. При обнаружении схожих инцидентов служба Similar Anomaly формирует группы инцидентов.
Вы можете просмотреть зарегистрированные инциденты и группы инцидентов в разделе Инциденты. Kaspersky MLAD также отправляет уведомления об инцидентах на заданные адреса электронной почты и/или во внешние системы с помощью коннекторов.
События, поступившие в Kaspersky MLAD, проходят обработку в службе Event Processor. В качестве событий процессор событий также может обрабатывать инциденты, зарегистрированные службой Anomaly Detector. Процессор событий выявляет в потоке событий закономерности в виде повторяющихся событий и паттернов, а также новые события и паттерны. При активации мониторов служба Event Processor также отправляет оповещения о выявлении событий, паттернов и значений параметров событий в соответствии с заданными критериями мониторинга во внешние системы с помощью коннектора CEF Connector. Вы также можете просмотреть информацию о событиях, паттернах и мониторах в разделе Процессор событий.
На рисунке ниже показан поток данных телеметрии и событий в Kaspersky MLAD.
Поток данных телеметрии и событий в Kaspersky MLAD