Работа с основным меню

Этот раздел содержит описание пользовательских задач, выполняемых в основном меню программы.

Доступ к функциям программы в основном меню зависит от роли, назначенной учетной записи пользователя. Пользователям с ролью системного администратора доступны все функции программы.

Сценарий: работа с Kaspersky MLAD

В этом разделе описаны действия пользователя при работе в основном меню Kaspersky MLAD.

Сценарий работы с программой состоит из следующих этапов:

1. Создание пресетов для мониторинга участков защищаемого объекта

   Для быстрого доступа к необходимым данным рекомендуется создать пресеты, которые включают в себя теги, соответствующие агрегатам установки. Если требуется, вы можете изменить уже существующие пресеты.

2. Просмотр исторических данных

   Перейдите в раздел История, чтобы просмотреть исторические данные технологических параметров, результаты их обработки Kaspersky MLAD – сформированные прогнозы и выделенные инциденты. Выберите необходимый пресет и укажите дату и интервал времени для просмотра данных. Вы можете просматривать исторические данные, используя навигацию.

3. Мониторинг в онлайн-режиме

   Для просмотра поступающих значений технологических параметров, их прогнозируемых значений и ошибок в онлайн-режиме, перейдите в раздел Мониторинг. Выберите необходимый пресет и интервал времени для отображения поступающих данных.

4. Просмотр данных в разделе Временной срез

   Для просмотра значений технологических параметров, полученных от датчиков объекта мониторинга в один и тот же момент времени, перейдите в раздел Временной срез. Выберите необходимый пресет и укажите дату и интервал времени для просмотра данных. Вы можете просматривать данные, используя навигацию.

5. Работа с инцидентами

   Перейдите в раздел Инциденты и просмотрите информацию о зарегистрированных инцидентах. Проанализируйте инциденты и добавьте экспертные заключения или замечания, в которых вы можете указать, являются ли зарегистрированные инциденты аномалиями.

   Если вы подписаны на уведомления об инцидентах, при возникновении аномальной ситуации вы получите сообщение по электронной почте. В сообщении указываются дата и время начала инцидента, а также ссылка, по которой вы можете перейти в раздел История.

6. Работа с событиями и паттернами

   Просмотрите события и паттерны, выявленные процессором событий в разделе Процессор событий. Для отслеживания определенных событий, паттернов или значений параметров событий создайте мониторы.

Просмотр сводных данных в разделе Информационная панель

В разделе Информационная панель представлена сводная информация о количестве тегов и событий, поступающих в Kaspersky MLAD, зарегистрированных инцидентах и о статусе служб.

Информация на странице разбита на следующие блоки:

• Поступающие данные – график, на котором отображается количество поступающих в Kaspersky MLAD тегов и событий. Вы можете включить или выключить отображение на графике поступающих тегов и событий, нажав на соответствующую легенду подписи данных, которая расположена под графиком. Левая шкала графика отображает диапазон количества тегов, поступающих в секунду. Правая шкала графика отображает диапазон количество событий, поступающих в секунду.
• Последние инциденты – таблица, содержащая информацию о последних зарегистрированных инцидентах.
  • ID – идентификатор зарегистрированного инцидента.
  • Дата и время – дата и время возникновения инцидента.
  • Детектор – название детектора, который зарегистрировал инцидент.
  • Топ-тег – название параметра технологического процесса, для которого зарегистрирован инцидент.

  При нажатии на значок плюса () около инцидента в таблице инцидентов раскрывается окно с техническими характеристиками выбранного инцидента и тега:

  • Инцидент – блок, содержащий информацию об инциденте:
    • Имя модели – название используемой ML-модели.
    • Ветка модели – название используемой ветки ML-модели.
    • Детектор – название детектора, который зарегистрировал инцидент.
    • Значение MSE – значение индивидуальной ошибки MSE.
    • Пороговое значение – пороговое значение MSE для используемой ветки ML-модели на момент регистрации инцидента.
  • Топ-тег – блок, содержащий информацию о теге, для которого зарегистрирован инцидент:
    • Имя топ-тега (ID топ-тега) – название и идентификатор тега, поведение которого привело к регистрации инцидента.
    • Значение топ-тега – зарегистрированное в момент инцидента значение топ-тега.
    • Пороги блокировки – пороги значений топ-тега, при достижении которых требуется принять экстренные меры реагирования на АСУ ТП.
    • Описание – описание топ-тега.
    • Единицы измерения – единицы измерения значений топ-тега.
• Машинное обучение – таблица, в которой отображается статус служб, используемых для работы и обучения ML-модели, а также имя активной ML-модели.
• Статусы служб – таблица, в которой для каждой службы отображается ее статус.

Из раздела Информационная панель вы можете перейти в раздел История, нажав на дату и время инцидента в таблице Последние инциденты. В разделе История отображается подробная информация о зарегистрированных Kaspersky MLAD инцидентах.

Раздел Информационная панель

Просмотр поступающих данных в разделе Мониторинг

В разделе Мониторинг вы можете просматривать поступающие в реальном времени значения тегов, входящих в пресет и их прогнозируемые значения. В раскрывающемся списке вы можете выбрать необходимый пресет для просмотра данных по интересующим вас тегам. В список входят пресеты, которые можно создать в разделе Пресеты. Для каждого тега, входящего в выбранный пресет, поступающие значения отображаются в виде графика. Вы можете настроить отображение графиков, а также выбрать ветку определенной ML-модели, чтобы просмотреть результаты работы этой ветки: предсказанные детектором Forecaster значения тегов и их ошибки или значения, полученные в результате работы диагностических правил.

В нижней части страницы расположен блок, отображающий суммарную среднеквадратичную ошибку MSE (далее также "ошибка MSE" или "суммарная ошибка"), а также количество зарегистрированных инцидентов (цветные точки-индикаторы). Оранжевая линия отображает порог MSE, при превышении которого Kaspersky MLAD регистрирует инцидент.

В зависимости от выбранного масштаба времени и плотности инцидентов одна точка-индикатор может соответствовать одному или нескольким близко расположенным инцидентам, зарегистрированных одним или несколькими разными детекторами. Цвет точек-индикаторов соответствует цвету ветки ML-модели, с помощью которой был зарегистрирован инцидент. Для точек-индикаторов, которые соответствуют группе инцидентов, зарегистрированных разными ветками, а также для инцидентов, зарегистрированных детектором Limit Detector зарезервированы специальные цвета.

Для инцидентов, зарегистрированных детектором Rule Detector, значение ошибки MSE будет отсутствовать. При анализе таких инцидентов требуется обращать внимание на маркер срабатывания правила (цветная точка-индикатор) ниже графика ошибки MSE для выбранной ветки ML-модели.

Раздел Мониторинг

Просмотр данных для определенного пресета в разделе Мониторинг

Kaspersky MLAD позволяет выбирать пресеты, для которых отображаются данные, поступающие в реальном времени.

Чтобы просмотреть поступающие данные для определенного пресета в режиме реального времени:

1. В основном меню выберите раздел Мониторинг.
2. На открывшейся странице в раскрывающемся списке Пресет выберите необходимый пресет.

На странице отобразятся графики для тегов, которые входят в выбранный пресет.

Если требуется, вы можете изменить временной интервал отображения данных, настроить отображение графиков или выбрать определенную ветку ML-модели. Также вы можете изменить состав отображаемых тегов, изменив пресет.

Выбор определенной ветки ML-модели в разделе Мониторинг

В разделе Мониторинг вы можете просматривать поступающие в реальном времени значения тегов, входящих в пресет, их прогнозируемые значения и ошибки MSE.

Если для объекта мониторинга используется ML-модель, которая имеет несколько веток для обработки и предсказания данных, Kaspersky MLAD позволяет выбрать определенную ветку ML-модели для отображения результатов работы соответствующего элемента модели:

• Для ветки ML-модели, в основе которой лежит детектор Forecaster, результаты работы отображаются в виде предсказанных значений для отдельных тегов, индивидуальных ошибок предсказания отдельных тегов, а также общей ошибки MSE и точек-индикаторов инцидентов, зарегистрированных детектором.
• Для ветки ML-модели, в основе которой лежит детектор Rule Detector, результаты работы представлены в виде значений, полученных в результате работы диагностических правил, и точек-индикаторов инцидентов.
• Для детектора Limit Detector ветка ML-модели не создается. Точки-индикаторы инцидентов, зарегистрированных с помощью этого детектора, отображаются, если включено использование детектора Limit Detector и включен режим отображения индикаторов для всех тегов.

Для отображения предсказанных значений тега на графиках в разделе Мониторинг, а также для вывода значений, полученных в результате работы диагностических правил, требуется настроить отображение графиков.

Чтобы просмотреть результаты работы определенной ветки ML-модели:

1. В основном меню выберите раздел Мониторинг.
2. На открывшейся странице в раскрывающемся списке Ветка модели установите флажки около нужных веток ML-модели.

   Имена выбранных веток отобразятся в поле.

   Ветки, которые относятся к используемой в текущий момент ML-модели, расположены в верхней части списка. В нижней части списка отображаются ветки других неиспользуемых в текущий момент ML-моделей, которые загружены в Kaspersky MLAD. Ветка ML-модели отображается в раскрывающемся списке только после того, как в Kaspersky MLAD появятся данные, полученные в результате ее работы.

   На графиках выбранного пресета отобразятся предсказанные значения тегов или значения, полученные в результате работы диагностических правил, в зависимости от типа детектора в выбранной ветке ML-модели.

   Если требуется скрыть отображение результатов работы выбранных ранее веток ML-модели, снимите флажки около этих веток (одна из веток должна остаться активной для отображения графиков в разделе Мониторинг).

3. Если требуется отображать ошибку MSE, которая получена в результате обработки данных определенной веткой ML-модели, выполните следующие действия:
   1. Нажмите на кнопку настройки , которая расположена под графиками тегов в левой части страницы.
   2. В появившейся справа панели Параметры отображения графиков MSE в раскрывающемся списке Ветка модели выберите ветку. Вы можете выбрать только одну ветку ML-модели из списка.
   3. Нажмите на кнопку Закрыть.

На графике ошибки MSE отобразятся значения ошибки MSE для выбранной веткой ML-модели. В нижней части графика отображаются точки-индикаторы инцидентов, зарегистрированных выбранными ветками ML-модели. Если включен режим отображения индикаторов для всех тегов, то отображаются точки-индикаторы инцидентов, зарегистрированных всеми ветками ML-модели.

Выбор интервала времени в разделе Мониторинг

Kaspersky MLAD позволяет выбирать временной интервал (масштаб) отображения поступающих данных.

Чтобы выбрать временной интервал:

1. В основном меню выберите раздел Мониторинг.
2. На открывшейся странице в раскрывающемся списке выберите нужный интервал времени. По умолчанию для выбора доступны следующие значения:
   • 1, 5, 10, 15 и 30 минут;
   • 1, 3, 6 и 12 часов;
   • 1, 2, 15 и 30 дней;
   • 3 и 6 месяцев;
   • 1, 2 и 3 года.

   Если требуется, системный администратор может создать, изменить или удалить временные интервалы.

На странице отобразятся графики заданного пресета для выбранного интервала времени.

Настройка параметров отображения графиков в разделе Мониторинг

Kaspersky MLAD позволяет настроить параметры отображения графиков пресетов в разделе Мониторинг.

Чтобы настроить параметры отображения графиков пресетов:

1. В основном меню выберите раздел Мониторинг.
2. На открывшейся странице нажмите на кнопку настройки , которая расположена в верхней части экрана.

   Справа появится панель Параметры отображения графиков.

3. В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.

   По умолчанию параметр Высота графиков имеет значение 55 px.

4. В раскрывающемся списке Для перехода в раздел История использовать выберите пресет, графики которого по умолчанию будут отображаться при переходе в раздел История.
5. Если требуется, с помощью переключателя Отображать графики наблюдений в выбранном цвете включите отображение графиков наблюдений тегов в определенном цвете и в поле Цвет графиков наблюдений выберите цвет.
6. Если требуется, с помощью переключателя Отображать графики предсказаний в выбранном цвете включите отображение графиков предсказаний тегов в определенном цвете и в поле Цвет графиков предсказаний выберите цвет.
7. Если требуется, с помощью переключателя Имя и описание тега включите отображение имени и описания тега на графиках.
8. Если требуется, с помощью переключателя Предсказанное значение тега включите отображение на графиках прогнозируемого значения тега и значений, полученных в результате работы диагностических правил.
9. Если требуется, с помощью переключателя Персональная ошибка тега включите отображение персональной ошибки тега на графиках.
10. Если требуется, с помощью переключателя Отображать индикаторы для всех инцидентов включите отображение точек-индикаторов инцидентов, зарегистрированных всеми ветками ML-модели.

    Если этот режим выключен, то будут отображаться только точки-индикаторы для инцидентов, которые были зарегистрированы выбранными ветками ML-модели.

11. Если требуется отображать установленные технические пределы для тега на графиках, выполните следующие действия:
    1. Включите переключатель Пороги блокировки.
    2. Если требуется всегда отображать установленные технические пределы, включите переключатель Всегда показывать пороги блокировки.

       Если этот режим выключен, то технические пределы будут отображаться, только если значение тега достигло соответствующего предела в отображаемой на экране области графика.

12. Если требуется, с помощью переключателя Дополнительные пороговые линии включите отображение дополнительных пороговых линий на графике.
13. Нажмите на кнопку Закрыть для возвращения к просмотру графиков в разделе Мониторинг.

Установленные параметры отображения графиков пресетов в разделе Мониторинг будут применены.

Просмотр данных в разделе История

В разделе История доступна история поступивших данных, результат их обработки Kaspersky MLAD с формированием прогнозов и регистрации инцидентов. Вы можете выбрать необходимый пресет в раскрывающемся списке. В список входят пресеты, которые можно создать в разделе Пресеты. Для каждого тега, входящего в выбранный пресет, поступающие значения отображаются в виде графика. Вы можете настроить отображение графиков, выбрать интервал времени для просмотра данных, а также выбрать ветку определенной ML-модели, чтобы просмотреть результаты работы этой ветки: предсказанные детектором Forecaster значения тегов и их ошибки или значения, полученные в результате работы диагностических правил.

В нижней части страницы расположен блок, отображающий суммарную среднеквадратичную ошибку MSE (далее также "ошибка MSE" или "суммарная ошибка"), а также количество зарегистрированных инцидентов (цветные точки-индикаторы). Оранжевая линия отображает порог MSE, при превышении которого Kaspersky MLAD регистрирует инцидент.

В зависимости от выбранного масштаба времени и плотности инцидентов одна точка-индикатор может соответствовать одному или нескольким близко расположенным инцидентам, зарегистрированным одним или несколькими разными детекторами. Цвет точек-индикаторов соответствует цвету ветки ML-модели, с помощью которой был зарегистрирован инцидент. Для точек-индикаторов, которые соответствуют группе инцидентов, зарегистрированных разными ветками, а также для инцидентов, зарегистрированных детектором Limit Detector зарезервированы специальные цвета.

Для инцидентов, зарегистрированных детектором Rule Detector, значение ошибки MSE будет отсутствовать. При анализе таких инцидентов требуется обращать внимание на маркер срабатывания правила (цветная точка-индикатор) ниже графика ошибки MSE для выбранной ветки ML-модели.

Раздел История

Просмотр исторических данных для определенного пресета

Kaspersky MLAD позволяет выбирать пользовательские пресеты, для которых отображаются исторические данные. Вы также можете просмотреть информацию о динамическом пресете Tags for event #N, если вы перешли в раздел История из раздела Инциденты нажатием на значение даты регистрации инцидента. Динамический пресет Tags for event #N содержит теги, оказавшие наибольшее влияние на формирование зарегистрированного инцидента.

Чтобы просмотреть исторические данные для определенного пресета:

1. В основном меню выберите раздел История.
2. На открывшейся странице в раскрывающемся списке Пресет выберите необходимый пресет.

На странице отобразятся графики для тегов, которые входят в выбранный пресет.

Вы можете просматривать всю историю данных, используя навигацию по времени. Если необходимо, вы можете изменить дату и интервал времени. Также вы можете изменить состав тегов в пресете, создать новый пресет или выбрать определенную ветку ML-модели.

Выбор определенной ветки ML-модели в разделе История

В разделе История доступна история поступивших данных, результат их обработки Kaspersky MLAD с формированием прогнозов и регистрацией инцидентов.

Если для объекта мониторинга используется ML-модель, которая имеет несколько элементов для обработки данных, Kaspersky MLAD позволяет выбрать определенную ветку ML-модели для отображения результатов работы соответствующего элемента модели:

• Для ветки ML-модели, в основе которой лежит детектор Forecaster, результаты работы отображаются в виде предсказанных значений для отдельных тегов, индивидуальных ошибок предсказания отдельных тегов, а также общей ошибки MSE и точек-индикаторов инцидентов, зарегистрированных детектором.
• Для ветки ML-модели, в основе которой лежит детектор Rule Detector, результаты работы представлены в виде значений, полученных в результате работы диагностических правил, и точек-индикаторов инцидентов.
• Для детектора Limit Detector ветка ML-модели не создается. Точки-индикаторы инцидентов, зарегистрированных с помощью этого детектора, отображаются, если включено использование детектора Limit Detector и включен режим отображения индикаторов для всех тегов.

Для отображения предсказанных значений тега на графиках в разделе История, а также для вывода значений, полученных в результате работы диагностических правил, требуется настроить отображение графиков.

Чтобы просмотреть результаты работы определенной ветки ML-модели:

1. В основном меню выберите раздел История.
2. На открывшейся странице в раскрывающемся списке Ветка модели установите флажки около нужных веток ML-модели.

   Имена выбранных веток отобразятся в поле.

   Ветки, которые относятся к используемой в текущий момент ML-модели, расположены в верхней части списка. В нижней части списка отображаются ветки других неиспользуемых в текущий момент ML-моделей, которые загружены в Kaspersky MLAD. Ветка ML-модели отображается в раскрывающемся списке только после того, как в Kaspersky MLAD появятся данные, полученные в результате ее работы.

   На графиках выбранного пресета отобразятся предсказанные значения тегов или значения, полученные в результате работы диагностических правил, в зависимости от типа детектора в выбранной ветке ML-модели.

   Если требуется скрыть отображение результатов работы выбранных ранее веток ML-модели, снимите флажки около этих веток (одна из веток должна остаться активной для отображения графиков в разделе История).

3. Если требуется отображать ошибку MSE, которая получена в результате обработки данных определенной веткой ML-модели, выполните следующие действия:
   1. Нажмите на кнопку настройки , которая расположена под графиками тегов в левой части страницы.
   2. В появившейся справа панели Параметры отображения графиков MSE в раскрывающемся списке Ветка модели выберите ветку. Вы можете выбрать только одну ветку ML-модели из списка.
   3. Нажмите на кнопку Закрыть.

На графике ошибки MSE отобразятся значения ошибки MSE для выбранной ветки ML-модели.

В нижней части графика отображаются точки-индикаторы инцидентов, зарегистрированных выбранными ветками ML-модели. Если включен режим отображения индикаторов для всех тегов, то отображаются точки-индикаторы инцидентов, зарегистрированных всеми ветками ML-модели.

Выбор даты и интервала времени в разделе История

Kaspersky MLAD позволяет выбирать дату, а также фиксированный интервал времени (масштаб) отображения исторических данных или произвольный интервал времени, например, когда был зафиксирован инцидент.

Чтобы выбрать дату для отображения исторических данных:

1. В основном меню выберите раздел История.
2. Нажмите на значок календаря () и в открывшемся окне выберите дату и время, на которое требуется отображать исторические данные на графиках.
3. Нажмите на кнопку Применить.

   На графиках вертикальная синяя линия будет указывать на выбранную дату и время (центр графика).

4. Если требуется выбрать новые дату и время (точку) на графике, нажмите на значок местоположения (), который расположен слева от оси времени, и выберите на оси времени нужную точку.

   Выбранная точка станет новым центром графика. Вертикальная синяя пунктирная линия будет указывать на новые дату и время.

Чтобы выбрать интервал времени для отображения исторических данных:

1. В основном меню выберите раздел История.
2. На открывшейся странице выполните одно из следующих действий:
   • Если требуется отображать данные за фиксированный интервал времени, в раскрывающемся списке выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
     • 1, 5, 10, 15 и 30 минут;
     • 1, 3, 6 и 12 часов;
     • 1, 2, 15 и 30 дней;
     • 3 и 6 месяцев;
     • 1, 2 и 3 года.

     При необходимости системный администратор может создать, изменить или удалить временные интервалы.

   • Если требуется отображать данные за произвольный интервал времени, нажмите на значок выбора интервала (), который расположен слева от оси времени, выберите на оси времени нужный интервал и нажмите на . Если требуется еще раз изменить масштаб, повторите это действие.

На графиках заданного пресета отобразятся значения тегов за выбранный интервал времени.

Навигация по времени в разделе История

Kaspersky MLAD предоставляет возможность навигации по времени для удобного просмотра исторических данных.

Чтобы использовать навигацию по времени при просмотре данных:

1. В основном меню выберите раздел История.
2. На открывшейся странице выберите интервал времени, за который требуется просмотреть данные.
3. С помощью значков стрелки влево () и стрелки вправо (), расположенных в верхней части страницы, перемещайтесь по оси времени влево или вправо.

Сдвиг по оси времени на графике просмотра исторических данных будет происходить на выбранный интервал времени.

Навигация по времени

На графиках вертикальная синяя пунктирная линия указывает на середину выбранного временного интервала и совпадает с выбранными датой и временем. Если выбран интервал 1 день, то на графике отображаются исторические данные за 12 часов до и после выбранных даты и времени относительно пунктирной линии. Если требуется, вы можете изменить временной интервал.

Настройка параметров отображения графиков в разделе История

Kaspersky MLAD позволяет настроить параметры отображения графиков пресетов в разделе История.

Чтобы настроить параметры отображения графиков пресетов:

1. В основном меню выберите раздел История.
2. На открывшейся странице нажмите на кнопку настройки , которая расположена в верхней части экрана.

   Справа появится панель Параметры отображения графиков.

3. В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.

   По умолчанию параметр Высота графиков имеет значение 55 px.

4. Если требуется, с помощью переключателя Отображать графики наблюдений в выбранном цвете включите отображение графиков наблюдений тегов в определенном цвете и в поле Цвет графиков наблюдений выберите цвет.
5. Если требуется, с помощью переключателя Отображать графики предсказаний в выбранном цвете включите отображение графиков предсказаний тегов в определенном цвете и в поле Цвет графиков предсказаний выберите цвет.
6. Если требуется, с помощью переключателя Имя и описание тега включите отображение имени и описания тега на графиках.
7. Если требуется, с помощью переключателя Предсказанное значение тега включите отображение на графиках прогнозируемого значения тега и значений, полученные в результате работы диагностических правил.
8. Если требуется, с помощью переключателя Персональная ошибка тега включите отображение персональной ошибки тега на графиках.
9. Если требуется, с помощью переключателя Отображать индикаторы для всех инцидентов включите отображение точек-индикаторов инцидентов, зарегистрированных всеми ветками ML-модели.

   Если этот режим выключен, то будут отображаться только точки-индикаторы для инцидентов, которые были зарегистрированы выбранными ветками ML-модели.

10. Если требуется отображать установленные технические пределы для тега на графиках, выполните следующие действия:
    1. Включите переключатель Пороги блокировки.
    2. Если требуется всегда отображать установленные технические пределы, включите переключатель Всегда показывать пороги блокировки.

       Если этот режим выключен, то технические пределы будут отображаться, только если значение тега достигло соответствующего предела в отображаемой на экране области графика.

11. Если требуется, с помощью переключателя Дополнительные пороговые линии включите отображение дополнительных пороговых линий на графике.
12. Нажмите на кнопку Закрыть для возвращения к просмотру графиков в разделе История.

Установленные параметры отображения графиков пресетов в разделе История будут применены.

Просмотр данных в разделе Временной срез

В разделе Временной срез вы можете просматривать значения технологических параметров, полученные от датчиков объекта мониторинга в один и тот же момент времени. Датчики должны быть однотипными (иметь одинаковую размерность) и расположены в пространстве линейно, например, датчики давления в трубе нефтепровода.

Данные представлены в виде графиков, которые позволяют увидеть, был ли зафиксирован инцидент в выбранный момент времени и где находится вероятный источник инцидента.

В нижней части страницы расположен блок, отображающий индивидуальные ошибки тегов. Данные представлены в виде столбчатой диаграммы. Величина ошибки для каждого тега отображается при наведении курсора мыши на столбец. Справа от графиков тегов пресета расположен график ошибки MSE.

В разделе Временной срез в раскрывающемся списке вы можете выбрать пресет, дату и время получения данных. В список входят специальные пресеты, которые можно создать в разделе Пресеты. В специальном пресете должны присутствовать только однотипные теги, у которых указаны координаты по оси абсцисс. Вы можете дополнительно указать динамически вычисляемые для каждого тега выражения, основанные на реальных и предсказываемых значениях тегов, индивидуальных ошибках предсказания, а также значениях координат тегов и задаваемых в выражениях константах.

Также вы можете настроить отображение графиков, выбрать интервал времени для просмотра данных, а также выбрать определенный элемент ML-модели, чтобы просмотреть персональные ошибки тегов пресета, полученные в результате обработки данных выбранным элементом ML-модели.

Раздел Временной срез

Просмотр данных для определенного пресета в разделе Временной срез

Чтобы просмотреть данные для определенного пресета:

1. В основном меню выберите раздел Временной срез.
2. На открывшейся странице в раскрывающемся списке Пресет выберите необходимый пресет.

На странице отобразятся графики для тегов, которые входят в выбранный пресет.

Если требуется, вы можете изменить временной интервал отображения данных, настроить отображение графика или выбрать ветку ML-модели. Также вы можете изменить состав отображаемых тегов, изменив пресет.

Выбор определенной ветки ML-модели в разделе Временной срез

Если для объекта мониторинга используется ML-модель, которая имеет несколько веток для обработки и предсказания данных, Kaspersky MLAD позволяет выбрать определенную ветку ML-модели для отображения в разделе Временной срез персональных ошибок тегов, полученных в результате работы этой ветки.

Чтобы просмотреть персональные ошибки тега, полученные в результате обработки данных определенной веткой ML-модели:

1. В основном меню выберите раздел Временной срез.
2. На открывшейся странице в раскрывающемся списке Ветка модели выберите нужную ветку ML-модели.

   Имя выбранной ветки отобразится в поле.

На графиках тегов выбранного пресета отобразятся персональные ошибки тегов, полученные в результате обработки данных выбранной веткой ML-модели.

Выбор даты и интервала времени в разделе Временной срез

Kaspersky MLAD позволяет выбрать дату и временной интервал (масштаб) отображения поступающих данных.

Чтобы выбрать дату для отображения поступающих данных:

1. В основном меню выберите раздел Временной срез.
2. Нажмите на значок календаря () и в открывшемся окне выберите дату и время, для которых требуется отображать данные на графиках.
3. Нажмите на кнопку Применить.

   На графиках отобразятся значения тегов для выбранных даты и времени.

Чтобы выбрать интервал времени для отображения поступающих данных:

1. В основном меню выберите раздел Временной срез.
2. На открывшейся странице в раскрывающемся списке в верхней части страницы выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
   • 1, 5, 10, 15 и 30 минут;
   • 1, 3, 6 и 12 часов;
   • 1, 2, 15 и 30 дней;
   • 3 и 6 месяцев;
   • 1, 2 и 3 года.

   Если требуется, системный администратор может создать, изменить или удалить временные интервалы.

На странице отобразятся графики заданного пресета для выбранного интервала времени.

Навигация по времени в разделе Временной срез

Kaspersky MLAD предоставляет возможность навигации по времени для удобного просмотра данных.

Чтобы использовать навигацию по времени при просмотре данных:

1. В основном меню выберите раздел Временной срез.
2. На открывшейся странице выберите интервал времени, за который требуется просмотреть данные.
3. С помощью значков стрелки влево () и стрелки вправо (), расположенных в верхней части страницы, перемещайтесь по оси времени влево или вправо.

Сдвиг по оси времени на графике просмотра данных будет происходить на выбранный интервал времени.

Навигация по времени

Настройка параметров отображения графиков в разделе Временной срез

Kaspersky MLAD позволяет настроить параметры отображения графиков пресетов в разделе Временной срез.

Чтобы настроить параметры отображения графиков пресетов:

1. В основном меню выберите раздел Временной срез.
2. На открывшейся странице нажмите на кнопку настройки , которая расположена в верхней части экрана.

   Справа появится панель Параметры отображения графиков.

3. В раскрывающемся списке Высота графиков выберите одно из следующих значений: 55 px, 110 px, 145 px, 190 px.

   По умолчанию параметр Высота графиков имеет значение 55 px.

4. Нажмите на кнопку Закрыть для возвращения к просмотру графиков.

Установленные параметры отображения графиков будут применены.

Работа с событиями и паттернами

В разделе Процессор событий представлены данные о

событиях

Набор значений, описывающих изменение состояния объекта мониторинга по заранее заданному перечню параметров, с указанием момента времени, когда произошло изменение.

паттернов

Последовательность событий или других паттернов, на которые разбивается поток событий от объекта мониторинга.

В разделе Процессор событий вы можете просматривать историю полученных событий и историю регистрации новых и/или устойчиво повторяющихся паттернов. Вы также можете настраивать отображение параметров событий и параметры регистрации паттернов. На вкладке Мониторинг вы можете осуществлять мониторинг определенных событий, паттернов или значений параметров событий, поступающих в процессор событий в потоке данных от объектов мониторинга.

В случае перезапуска Kaspersky MLAD восстанавливает состояние службы Event Processor и приостанавливает обработку данных, поступающих от коннектора CEF Connector. Эти данные временно сохраняются во внутренней очереди брокера сообщений программы. До восстановления службы Event Processor на вкладках раздела Процессор событий будет отображаться уведомление о том, что служба Event Processor остановлена. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления службы может занимать несколько минут.

Раздел Процессор событий

Настройка параметров в разделе Процессор событий

Перед обработкой событий службой Event Processor требуется настроить параметры конфигурации внимания и отображение параметров событий.

Управление параметрами конфигурации внимания и отображением параметров событий доступно системным администраторам.

Большое количество направлений внимания может привести к замедлению работы основных служб Kaspersky MLAD (прием данных, обнаружение аномалий, работа веб-интерфейса). Для уточнения количества направлений внимания рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.

Чтобы настроить параметры конфигурации внимания и отображение параметров событий:

1. В основном меню выберите раздел Процессор событий → Мониторинг.
2. На открывшейся странице нажмите на кнопку Параметры.

   Справа появится панель Параметры процессора событий.

3. В блоке Настройка конфигурации внимания для каждого параметра события, выполните одно из следующих действий:
   • Если требуется регистрировать паттерны по всем значениям параметра события, в раскрывающемся списке выберите Все значения параметра.
   • Если требуется регистрировать паттерны по конкретному значению параметра события, в раскрывающемся списке выберите значение параметра. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.

     Если значение параметра отсутствует в списке, введите нужное значение и выберите Создать значение: <значение параметра события>.

   • Если требуется регистрировать паттерны по шаблону значения параметра событий, включите переключатель Регулярное выражение для нужного параметра события, в раскрывающемся списке введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

     Для поиска паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.

   Каждое направление внимания задается значением параметра, которое должно присутствовать во всех событиях этого направления. При настройке направлений внимания вы можете указать определенные значения или шаблоны значений одного или нескольких параметров или задать направления внимания для всех возможных значений одного либо нескольких параметров.

4. Если требуется настроить отображение фильтров параметров событий в блоке Фильтры на вкладках История событий и История паттернов, в блоке Настройка отображения фильтров параметров событий установите флажки рядом с названиями нужных параметров событий.

   По умолчанию в блоке Настройка отображения фильтров параметров событий отображаются параметры событий от службы Anomaly Detector. Для отображения пользовательских параметров событий требуется загрузить конфигурационный файл службы Event Processor. По умолчанию выбраны все доступные параметры событий.

   Если включена функция Обрабатывать инциденты как события, в процессор событий поступают события со следующими параметрами:

   • incident_detection_system – название детектора, который зарегистрировал инцидент.
   • incident_model_name – название используемой ML-модели.
   • incident_tag_name – имя тега, поведение которого привело к регистрации инцидента.
   • incident_group_name – название группы инцидентов, в которую входит зарегистрированный инцидент.
   • incident_triggered_tag_value – значение тега, поведение которого привело к регистрации инцидента.
   • incident_id – идентификатор зарегистрированного инцидента.
   • incident_tag_id – идентификатор тега, поведение которого привело к регистрации инцидента.

   При необходимости вы можете изменить порядок отображения параметров событий в блоке Фильтры. Для этого нужно перетащить нужный параметр события вверх или вниз в блоке Настройка отображения фильтров параметров событий, удерживая за название параметра события.

5. Нажмите на кнопку Применить для сохранения внесенных изменений.

Работа с мониторами

Развернуть все | Свернуть все

Управление мониторами доступно системным администраторам.

В разделе Процессор событий → Мониторинг вы можете создавать мониторы для отслеживания определенных событий, паттернов или значений параметров событий.

На вкладке Мониторинг отображаются все созданные в программе мониторы со следующей краткой информацией:

• Название монитора.
• Порог монитора.

  Количество активаций монитора на скользящем окне, при достижении которого программа отправляет оповещение об активации монитора во внешнюю систему.

• Скользящее окно, за время которого ведется учет количества активаций монитора.
• Количество активаций монитора на скользящем окне.

При необходимости вы можете просмотреть подробную информацию о каждом мониторе, нажав в таблице на кнопку Информация, которая расположена рядом с названием необходимого монитора.

На вкладке Гистограмма вы также можете посмотреть краткую статистику количества зарегистрированных активаций по каждому созданному монитору.

Создание монитора

Управление мониторами доступно системным администраторам.

Чтобы создать монитор:

1. В основном меню выберите раздел Процессор событий → Мониторинг.
2. Нажмите на кнопку Создать монитор.

   Справа появится панель Создание монитора.

3. В поле Название укажите имя монитора.
4. В поле Скользящее окно (сек.) укажите интервал в секундах от текущего момента времени назад по временной последовательности, за который монитор будет обрабатывать поступившие значения параметров, события или паттерны.
5. В поле Порог укажите количество активаций монитора на скользящем окне, после достижения которого монитор отправит оповещение во внешнюю систему.
6. В поле Размер стека укажите количество активаций монитора, которое требуется отображать при просмотре информации о мониторе.
7. В раскрывающемся списке Тип подписки выберите одно из следующих значений:
   • Если требуется обрабатывать данные по значениям параметров событий, выберите Значения параметров.
   • Если требуется обрабатывать данные по событиям, выберите События.
   • Если требуется обрабатывать данные по обнаруженным паттернам, выберите Паттерны.
8. Если требуется отслеживать новые события, паттерны или значения параметров событий, в блоке Фильтры включите переключатель Только новые.
9. Для фокусировки внимания модели на определенные направления развития событий, выполните одно из следующий действий:
   • Если вы выбрали События в раскрывающемся списке Тип подписки, выберите Внимание для нужного параметра события. Если требуется отслеживать события без указания направления внимания, снимите флажок Внимание.
   • Если вы выбрали Паттерны в раскрывающемся списке Тип подписки, установите флажок Внимание для нужного параметра события.

   Вы можете выбрать только одно направление внимания.

10. Для каждого параметра события, выполните одно из следующих действий:
    • Если требуется обрабатывать данные по всем значениям параметра события, в раскрывающемся списке выберите Все значения параметра.

      Этот пункт отображается, если вы указали направление внимания для текущего параметра события.

    • Если требуется обрабатывать данные только по новым значениям параметра события, в раскрывающемся списке выберите Новые значения параметра.

      Этот пункт отображается только при включенной функции Только новые для обработки данных по событиям.

    • Если требуется обрабатывать данные по конкретному значению параметра события, в раскрывающемся списке выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.

      Если значение параметра отсутствует в списке, введите нужное значение и выберите Создать значение: <значение параметра события>.

    • Если требуется обрабатывать данные по шаблону значения параметра событий, включите переключатель Регулярное выражение для нужного параметра события, в раскрывающемся списке введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

      Для поиска паттернов с помощью регулярных выражений используйте специальные символы регулярных выражений.

11. Нажмите на кнопку Создать.

Новый монитор будет создан и отобразится на вкладке Мониторинг.

Удаление монитора

Управление мониторами доступно системным администраторам.

Чтобы удалить монитор:

1. В основном меню выберите раздел Процессор событий → Мониторинг.
2. Нажмите на кнопку Удалить в ячейке того монитора, информацию о котором вы хотите удалить, и подтвердите свои действия.

Монитор будет удален.

Просмотр истории событий

Kaspersky MLAD позволяет просматривать события, которые поступили от внешних источников событий. Для просмотра событий требуется загрузить их в разделе Процессор событий → История событий.

Просмотр истории событий доступен системным администраторам.

Kaspersky MLAD отображает поступившие события в виде графа отношений параметров событий. Вершины графа соответствуют значениям параметров событий, а дуги между вершинами графа соответствуют связям между значениями параметров поступивших событий. Вы можете навести курсор мыши на граф события и просмотреть информацию о параметрах событий и их значениях. Вы также можете навести курсор мыши на дугу графа события и просмотреть информацию о количестве связей между значениями параметров событий.

Вы также можете просмотреть информацию о выявленных событиях в виде таблицы.

Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Список параметров событий определяется в конфигурационном файле для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет системный администратор на этапе настройки службы Event Processor.

Чтобы загрузить данные для просмотра поступивших событий:

1. В основном меню выберите раздел Процессор событий → История событий.
2. В блоке Фильтры выберите даты и время начала и окончания периода, за который вы хотите загрузить и просмотреть события, нажав на значок календаря (). Для настройки параметров событий выполните одно из следующих действий:
   • Если вы хотите загрузить события по конкретным значениям параметров событий, в раскрывающихся списках выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списках.
   • Если вы хотите загрузить события по шаблону значений, включите переключатель Регулярное выражение для нужных параметров события, в раскрывающихся списках введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

     Для поиска с помощью регулярных выражений используйте специальные символы регулярных выражений.

   Для каждого объекта мониторинга количество и наименование параметров событий индивидуально.

3. Нажмите на кнопку Выполнить запрос.

   В центральной части страницы в виде графа отобразятся данные о найденных программой событиях.

4. Если требуется просмотреть полученные события в виде таблицы, выберите вкладку Таблица.

   В центральной части страницы отобразится таблица, которая содержит информацию о выявленных событиях.

Просмотр истории паттернов

Развернуть все | Свернуть все

В разделе Процессор событий → История паттернов вы можете найти и просмотреть структуру устойчиво повторяющихся и/или новых паттернов. Процессор событий формирует паттерны только по определенным направлениям, которые задаются в конфигурации внимания системным администратором.

Просмотр истории паттернов доступен системным администраторам.

Вы также можете просмотреть структуру выявленных паттернов до уровня событий. Процессор событий представляет паттерны, события и значения параметров событий как послойную иерархию вложенных элементов. Например, паттерн четвертого слоя состоит из вложенных паттернов третьего слоя, в свою очередь паттерн третьего слоя состоит из паттернов второго слоя, а паттерн второго слоя состоит из событий – элементов первого слоя. Значения параметров события являются элементами нулевого терминального слоя.

Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Список параметров событий определяется в файле конфигурации для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет системный администратор на этапе настройки службы Event Processor.

Чтобы просмотреть зарегистрированные паттерны:

1. В основном меню выберите раздел Процессор событий → История паттернов.
2. В блоке Фильтры настройте следующие параметры отображения паттернов на странице:
   1. В поле Начало периода нажмите на значок календаря () и в открывшемся окне выберите дату и время начала периода, за который вы хотите просматривать паттерны.
   2. В поле Конец периода нажмите на значок календаря () и в открывшемся окне выберите дату и время окончания периода, за который вы хотите просматривать паттерны.
   3. В раскрывающемся списке Тип паттернов выберите одно из следующих значений:
      • Стабильные – паттерны, которые были зарегистрированы службой Event Processor два и более раза.
      • Новые – новые паттерны, зарегистрированные службой Event Processor впервые.
      • Все – все паттерны, зарегистрированные службой Event Processor.
   4. Для просмотра паттернов по определенному направлению внимания, выберите Внимание для нужного параметра события.

      Требуется выбрать одно из направлений внимания, заданных при настройке конфигурации внимания.

   5. Для настройки параметров событий выполните одно из следующих действий:
      • Если вы хотите просматривать паттерны по конкретным значениям параметров событий, в раскрывающихся списках выберите значение параметра события. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списках.
      • Если вы хотите просматривать паттерны по шаблону значений, включите переключатель Регулярное выражение для нужных параметров события, в раскрывающихся списках введите шаблон значения с помощью регулярного выражения и выберите Регулярное выражение: <шаблон значения>.

        Для поиска с помощью регулярных выражений используйте специальные символы регулярных выражений.

      Для корректного выполнения запроса требуется ввести значения для параметра события, на котором сфокусировано внимание модели. Если в параметре события, на котором сфокусировано внимание, задано несколько значений параметра события, процессор событий сформирует паттерны для каждого значения параметра.

3. Нажмите на кнопку Выполнить запрос.

   В центральной части страницы отобразится таблица, которая содержит данные о зарегистрированных паттернах.

   • ID паттерна – идентификатор паттерна. Первая цифра идентификатора паттерна соответствует номеру слоя, на котором этот паттерн был обнаружен.
   • Последнее обнаружение в интервале – дата и время последнего обнаружения паттерна в потоке событий объекта мониторинга за заданный период.
   • Количество обнаружений в интервале – количество обнаружений паттерна в потоке событий объекта мониторинга за заданный период.
   • Количество событий – количество событий, составляющих паттерн.
   • Последняя активация – дата и время последнего обнаружения паттерна в потоке событий объекта мониторинга или в режиме сна.
4. Если требуется перейти к просмотру структуры паттерна, нажмите на нужную строку паттерна.

   Откроется страница с подробной информацией о паттерне.

   • ID паттерна – идентификатор выбранного паттерна. Первая цифра идентификатора паттерна соответствует номеру слоя, на котором этот паттерн был обнаружен.
   • Количество событий – количество событий, составляющих паттерн.
   • Интервал от предыдущего элемента – временной интервал между выбранным паттерном и паттерном, выявленным в последовательности паттернов на текущем слое до выбранного паттерна. Kaspersky MLAD отображает временные интервалы между элементами выбранного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между элементами этого паттерна.
   • Общее количество активаций – количество обнаружений выбранного паттерна в потоке событий за заданный период.
   • Время окончания паттерна – дата и время окончания выбранного паттерна в последовательности паттернов на текущем слое.
   • Последняя активация – дата и время последнего обнаружения паттерна в потоке событий или в режиме сна.
   • Паттерны – вкладка, содержащая таблицу с информацией о паттернах, входящих в состав выбранного паттерна. На вкладке Паттерны отображаются следующие данные:
     • <номер слоя> слой – вкладки, позволяющие просматривать информацию о паттернах, входящих в состав выбранного паттерна на разных слоях его структуры. Вкладки отображаются, если вы выбрали паттерн, обнаруженного на четвертом слое и выше. Вы можете просматривать паттерны до второго уровня вложенности.
     • ID паттерна – идентификатор вложенного паттерна. Первая цифра идентификатора паттерна соответствует номеру слоя, на котором этот паттерн был обнаружен.
     • Время окончания паттерна – дата и время окончания вложенного паттерна в последовательности паттернов на выбранном слое.
     • Общее количество активаций – количество обнаружений вложенного паттерна в структуре выбранного паттерна.
     • Количество событий – количество событий, составляющих вложенный паттерн.
     • Интервал от предыдущего элемента – временной интервал между вложенным паттерном и предыдущим паттерном в таблице. Kaspersky MLAD отображает временные интервалы между элементами вложенного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между элементами этого паттерна.
     • Последняя активация – дата и время последнего обнаружения вложенного паттерна в последовательности паттернов на выбранном слое или в режиме сна.
   • События – вкладка, содержащая таблицу событий, входящих в состав выбранного паттерна. Для каждого события отображаются следующие данные:
     • ID события – идентификатор события.
     • Системные параметры – параметр, содержащий следующую информацию о событии:
       • Время события – дата и время обнаружения события в структуре паттерна.
       • Интервал от предыдущего элемента – временной интервал между текущим событием и предыдущим событием в таблице. Kaspersky MLAD отображает временные интервалы между событиями выбранного паттерна при его первом обнаружении. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между событиями этого паттерна.
       • Общее количество активаций – количество повторений события в структуре выбранного паттерна за заданный период.
       • Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
       • Последняя активация – дата и время последнего обнаружения события в потоке событий.
     • Параметры события – значения параметров события, поступившего от объекта мониторинга.
5. Для просмотра структуры паттерна выполните одно из следующих действий:
   • Если требуется посмотреть структуру определенного вложенного паттерна, на вкладке Паттерны блока Вложенные элементы нажмите на нужную строку паттерна.

     Вы можете вернуться к просмотру структуры паттерна верхнего уровня вложенности, нажав на идентификатор нужного паттерна над блоком Информация о паттерне.

   • Если требуется просмотреть таблицу вложенных паттернов на определенном уровне вложенности, на вкладке Паттерны блока Вложенные элементы выберите нужный слой.
   • Если требуется просмотреть события, составляющие паттерн на текущем уровне вложенности, нажмите на вкладку События.

   Kaspersky MLAD отображает структуру паттерна с верхнего уровня вложенности.

Работа с инцидентами и группами инцидентов

В Kaspersky MLAD в составе ML-модели одновременно могут использоваться несколько типов детекторов, которые анализируют поступающие данные телеметрии и обнаруживают инциденты независимо друг от друга. Веб-интерфейс Kaspersky MLAD предоставляет возможность исследования обнаруженных инцидентов. В зависимости от типа детектора, зарегистрировавшего инцидент, информация об инциденте и методы его исследования могут отличаться.

Для любого инцидента вы можете выполнить следующие действия:

• Изучить детали инцидента.
• Выяснить, были ли ранее обнаружены похожие инциденты.
• Исследовать поведение объекта мониторинга в момент обнаружения инцидента.
• Оставить замечание или экспертное заключение к зарегистрированному инциденту или к группе инцидентов.

В разделе Инциденты в виде столбчатой диаграммы отображаются инциденты, которые соответствуют критериям фильтрации, установленным под диаграммой. Диаграмма отображает статистику по зарегистрированным инцидентам за период, установленный над диаграммой.

Диаграмма может отображать не более 60 столбцов. Если длительность заданного периода не превышает 60 дней, то инциденты на диаграмме сгруппированы по дням. Если длительность заданного периода составляет от 60 дней до 60 недель, то инциденты на диаграмме сгруппированы по неделям. В случае, когда длительность заданного периода составляет больше 60 недель, инциденты на диаграмме сгруппированы по месяцам.

При наведении курсора мыши на столбец диаграммы отображается окно с указанием количества зарегистрированных инцидентов за единицу времени, соответствующую группировке инцидентов на диаграмме. При нажатии на столбец на диаграмме и в таблице ниже отображается информация об инцидентах, зарегистрированных в период, соответствующий интервалу времени выбранного столбца.

В этом разделе вы можете просматривать как отдельные инциденты, так и группы инцидентов.

Вкладка Инциденты

На вкладке Инциденты представлена таблица зарегистрированных инцидентов. Инциденты отсортированы в порядке убывания даты: первыми показаны самые новые инциденты.

Вкладка Инциденты

Вы можете перейти в раздел История, нажав на дату и время инцидента.

Вкладка Группы

На вкладке Группы представлена таблица групп инцидентов. Kaspersky MLAD автоматически формирует группы похожих инцидентов.

Вы можете изменить имя группы, присвоенное автоматически, и установить статус инцидентов, которые входят в эту группу. Также вы можете указать экспертное заключение, содержащее, например, рекомендуемые действия при возникновении новых инцидентов в этой группе.

Вкладка Группы

Сценарий: анализ инцидентов

В этом разделе приводится последовательность действий, которые требуется выполнить при анализе зарегистрированных Kaspersky MLAD инцидентов.

Описанный в этом разделе сценарий анализа инцидентов не является четко регламентированным процессом. Состав и порядок действий, предпринимаемых для исследования инцидента и выявления причины его возникновения, зависят от предметной области, уровня знаний технолога или специалиста АСУ ТП, исследующего инцидент, а также наличия дополнительной информации об объекте мониторинга.

Сценарий анализа инцидентов состоит из следующих этапов:

1. Просмотр информации о зарегистрированном инциденте

   В разделе Инциденты отображаются все зарегистрированные Kaspersky MLAD инциденты, а также подробная информация о времени их регистрации, детекторе, который зарегистрировал инцидент, и экспертное заключение, если оно было добавлено. Вы можете перейти к просмотру информации об инцидентах одним из следующих способов:

   • Просмотр последних инцидентов в разделе Информационная панель

     Если вы хотите просмотреть недавно обнаруженный инцидент, в разделе Информационная панель нажмите на дату и время интересующего вас инцидента в таблице Последние инциденты. В открывшемся разделе История в нижней части страницы нажмите на точку-индикатор в блоке ошибки MSE для просмотра определенного инцидента. Откроется раздел Инциденты, в котором отобразятся только те инциденты, которые были зарегистрированы в период, представленный выбранной точкой-индикатором (период указан над таблицей инцидентов).

   • Просмотр инцидентов в разделе Инциденты

     Если вам известны дата и время регистрации инцидента, выберите соответствующий инцидент в разделе Инциденты. Вы можете изменить интервал времени, в котором отображаются инциденты, используя столбчатую диаграмму или поле выбора даты в верхней части страницы.

   • Переход из уведомления об инциденте, поступившего по электронной почте

     Если для вас было создано уведомление об инцидентах, при регистрации инцидента вы получите уведомление по электронной почте. Сообщение электронной почты содержит время начала инцидента, наиболее аномальный тег и ссылку для перехода в раздел История в веб-интерфейсе Kaspersky MLAD. Вы можете перейти по этой ссылке в раздел История в момент начала инцидента. В нижней части страницы раздела История нажмите на точку-индикатор в блоке ошибки MSE в соответствии с временем начала инцидента. Откроется раздел Инциденты, в котором отобразятся только те инциденты, которые были зарегистрированы в период, представленный выбранной точкой-индикатором (период указан над таблицей инцидентов).

   Когда вы нашли запись об интересующем инциденте, нажмите на значок стрелки вправо () для просмотра подробной информации об инциденте.

2. Просмотр информации о похожих инцидентах

   При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа. Если в этом столбце для выбранного инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие.

   Для просмотра всех инцидентов группы выберите вкладку Группы и нажмите на значок стрелки вправо () рядом с нужной группой. В таблице отобразится информация об инцидентах, отнесенных к выбранной группе, а также экспертное заключение, если оно было добавлено. Ознакомьтесь с экспертными заключениями для отдельных инцидентов и для группы.

3. Исследование поведения объекта мониторинга в момент обнаружения инцидента

   Исследуйте поведение объекта мониторинга в момент обнаружения инцидента.

4. Анализ инцидента

   Проведите анализ инцидента, учитывая особенности регистрации инцидента в зависимости от типа детектора, который его зарегистрировал:

   • Forecaster. Нейросетевой элемент ML-модели регистрирует инциденты при обнаружении отклонений в поведении объекта мониторинга. Основываясь на информации, полученной при просмотре автоматически сформированного пресета Tags for event #N, а также используя экспертное знание об объекте мониторинга, сформулируйте гипотезу о том, какие теги могли вызвать возникновение инцидента, и изучите их поведение, выбрав соответствующий пресет. Проанализируйте график ошибки MSE, переместитесь назад по времени от момента достижения порога MSE и изучите поведение тегов в момент начала роста значений ошибки MSE.
   • Rule Detector. Для каждого инцидента, зарегистрированного элементов ML-модели на основе диагностического правила, автоматически формируется пресет Tags for event #N, в составе которого присутствует значение, полученное в результате работы диагностического правила и вызвавшее регистрацию инцидента.
   • Limit Detector. Для каждого инцидента, зарегистрированного детектором Limit Detector автоматически формируется пресет Tags for event #N, в состав которого включается единственный тег-причина возникновения инцидента.
   • Stream Processor. Служба Stream Processor регистрирует инциденты до передачи данных телеметрии на обработку в ML-модель. Инциденты регистрируются в случае обнаружения потери данных или наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно.
5. Добавление статуса, причины, экспертного заключения и замечания к инциденту или его группе

   Для каждого инцидента добавьте экспертное заключение или замечание, в которых вы можете указать, является ли инцидент аномалией. Экспертное заключение и замечание для инцидента отображаются только при просмотре определенного инцидента. Если требуется, вы можете указать статус и причину инцидента. Причина инцидента отображается в таблице инцидентов и при просмотре определенного инцидента. Вы также можете добавить или изменить статус и экспертное заключение для группы инцидентов.

Просмотр инцидентов

Чтобы просмотреть инциденты, зарегистрированные на конкретную дату:

1. В основном меню выберите раздел Инциденты.
2. В верхней части открывшейся страницы на столбчатой диаграмме нажмите на столбец диаграммы для нужной даты.
3. Если требуется, отфильтруйте инциденты по детектору, топ-тегу, статусу, группе или причине инцидентов, выбрав нужные значения в соответствующем раскрывающемся списке.

В таблице, расположенной в центральной области страницы, будут показаны инциденты, зарегистрированные в этот день в соответствии с заданными критериями фильтрации. При нажатии на кнопку Сбросить в таблице и на столбчатой диаграмме будут показаны все зарегистрированные инциденты.

Для каждого инцидента, представленного в таблице, отображается следующая информация:

• ID – идентификатор зарегистрированного инцидента.
• Дата и время – дата и время регистрации инцидента.

  Нажав на значение даты регистрации инцидента, вы перейдете в раздел История, где вы можете посмотреть информацию о пресете Tags for event #N, сформированного для зарегистрированного инцидента.

• Имя топ-тега – название параметра технологического процесса, для которого зафиксировано наибольшее отклонение от прогноза на момент регистрации инцидента.
• Причина инцидента – причина зарегистрированного инцидента, добавленная экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидента или заданная ML-моделью.
• Имя модели – имя ML-модели, элемент которой зарегистрировал инцидент.
• Детектор – название детектора, который определил аномалию и зарегистрировал инцидент: Forecaster, Limit Detector, Rule Detector, Stream Processor.
• Группа – название группы инцидентов, в которую входит зарегистрированный инцидент.

  Если обнаружены два или более похожих инцидента, то они объединяются в группу, которая создается автоматически с помощью службы Similar Anomaly. Вы можете просмотреть только те инциденты, которые входят в группу, выбрав название группы в раскрывающемся списке.

• Статус – статус зарегистрированного инцидента, указанный экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидента или заданный ML-моделью.

  Вы можете установить статус инцидента по результатам анализа инцидента, выбрав нужное значение в раскрывающемся списке. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.

Просмотр технических характеристик зарегистрированного инцидента

Развернуть все | Свернуть все

В разделе Инциденты вы можете просмотреть технические характеристики зарегистрированных инцидентов. Для этого нажмите на значок стрелки вправо () около нужного инцидента в таблице инцидентов. Для выбранного инцидента отобразятся следующие технические характеристики:

• Инцидент – блок, содержащий информацию об инциденте.
  • Имя модели – название используемой ML-модели.
  • Ветка модели – название ветки ML-модели. Отсутствует, если у ML-модели отсутствуют ветки.
  • Детектор – название детектора, который определил аномалию и зарегистрировал инцидент: Forecaster, Limit Detector, Rule Detector, Stream Processor.
  • Значение MSE – значение индивидуальной ошибки MSE.
  • Пороговое значение – пороговое значение MSE для используемой ветки ML-модели на момент регистрации инцидента.

• Топ-тег – блок, содержащий информацию о теге, для которого зарегистрирован инцидент.
  • Имя топ-тега (ID топ-тега) – название и идентификатор тега, поведение которого привело к регистрации инцидента.

    Если инцидент зафиксирован детектором Forecaster, отображается название наиболее аномального тега, который больше остальных повлиял на регистрацию инцидента. Для детектора Rule Detector в значении этого параметра отображается значение, полученное в результате работы диагностического правила. Для детектора Limit Detector отображается тег, значение которого вышло за установленные для этого тега пороги блокировки.

  • Значение топ-тега – зарегистрированное в момент инцидента значение топ-тега.
  • Пороги блокировки – пороги значений топ-тега, при достижении которых требуется принять экстренные меры реагирования на АСУ ТП.
  • Описание – описание топ-тега.
  • Единицы измерения – единицы измерения значений топ-тега.

• Параметры инцидента службы Stream Processor – блок, содержащий информацию о параметрах инцидента, зарегистрированного службой Stream Processor. Этот блок параметров отображается, только если текущий инцидент был зарегистрирован службой Stream Processor.
  • Тип инцидента – тип инцидента, зарегистрированного службой Stream Processor. Служба Stream Processor регистрирует инциденты в случае обнаружения наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно, а также в случае прекращения или прерывания входного потока данных определенного тега.
  • Дата и время данных – дата и время формирования наблюдения по часам объекта мониторинга. Этот параметр отображается только для типов инцидентов Позднее поступление наблюдения и Сбой часов.
  • Отставание / Опережение – количество времени, на которое время формирования наблюдения отстает от времени поступления этого наблюдения в Kaspersky MLAD или опережает его. При поступлении данных слишком рано значение параметра отображается со знаком плюс (+). При поступлении данных в программу поздно значение параметра отображается со знаком минус (-). Этот параметр отображается только для типов инцидентов Позднее поступление наблюдения и Сбой часов.
• Причина инцидента – поле для выбора причины инцидента. Это поле заполняет эксперт (технолог или специалист АСУ ТП). Если требуется, системный администратор может создать, изменить или удалить причины инцидентов.
• Экспертное заключение – поле для ввода экспертного заключения по анализу зарегистрированного инцидента. Это поле заполняет эксперт (технолог или специалист АСУ ТП).
• Замечание – поле для ввода комментария для выбранного инцидента. Если требуется, вы можете указать комментарий для инцидента.

Просмотр групп инцидентов

При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу (с помощью службы Similar Anomaly). Это позволяет анализировать инциденты с учетом предыстории, а также использовать экспертные заключения, сделанные для аналогичных инцидентов. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа. Если в этом столбце для инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие. Инциденты могут быть перегруппированы, и при этом экспертные заключения, добавленные к этим инцидентам, мигрируют в новую группу. Имя группы присваивается автоматически – Group #N (N – порядковый номер группы). При необходимости вы можете изменить имя группы.

Чтобы просмотреть группы инцидентов,

в основном меню выберите раздел Инциденты и нажмите на Группы.

В таблице, расположенной в центральной части страницы, будут показаны все группы инцидентов для вашего объекта мониторинга.

Для каждой группы инцидентов в таблице, отображается следующая информация:

• ID – идентификатор группы инцидентов.
• Имя группы – название группы инцидентов.
• Экспертное заключение – заключение по анализу группы зарегистрированных инцидентов, добавленное экспертом (технологом или специалистом АСУ ТП).
• Количество инцидентов – количество зарегистрированных инцидентов, которые входят в группу.

  Вы можете перейти к просмотру инцидентов группы, нажав на Количество инцидентов.

• Дата и время – дата и время создания группы инцидентов.
• Статус – статус зарегистрированных инцидентов в группе, указанный экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидентов.

  Вы можете установить статус группы инцидентов по результатам их анализа, выбрав нужное значение в раскрывающемся списке. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.

Чтобы просмотреть подробную информацию о группе инцидентов:

1. Нажмите на значок стрелки вправо () около группы инцидентов.

   Отобразится список инцидентов, входящих в эту группу. Для каждого инцидента группы отображаются следующие технические характеристики:

   • Дата инцидента – дата и время регистрации инцидента.

     Вы можете перейти в раздел История, нажав на значение даты регистрации инцидента.

   • Имя топ-тега – название параметра технологического процесса, который оказал наибольшее влияние при возникновении инцидента.
   • Значение топ-тега – зарегистрированное значение тега, оказавшего наибольшее влияние при возникновении инцидента.
   • Релевантные теги – таблица, которая содержит идентификаторы тегов, оказавших влияние на определение похожих инцидентов и объединение таких инцидентов в группу.
2. Если требуется просмотреть степень влияния тега на формирование похожих инцидентов, нажмите на ячейку таблицы Релевантные теги, в которой содержится идентификатор нужного тега.

   Все ячейки таблицы, содержащие выбранный идентификатор тега, будут выделены зеленым цветом. Чем ближе к первому столбцу таблицы находятся выделенные зеленым цветом ячейки, содержащие идентификатор выбранного тега, тем большее влияние этот тег оказал на определение похожих инцидентов и объединение их в группу.

Также вы можете добавить статус и экспертное заключение для группы инцидентов.

Исследование поведения объекта мониторинга в момент обнаружения инцидента

В этом разделе приводится последовательность действий, которые требуется выполнить для исследования поведения объекта мониторинга в момент обнаружения инцидента.

Исследование поведения объекта мониторинга состоит из следующих этапов:

1. Просмотр истории полученных тегов для объекта мониторинга в разделе История

   Вы можете перейти к просмотру информации об инциденте одним из следующих способов:

   • Если вы хотите просмотреть недавно обнаруженный инцидент, в разделе Информационная панель нажмите на дату и время интересующего вас инцидента в таблице Последние инциденты.
   • В разделе Инциденты нажмите на дату и время интересующего вас инцидента в таблице инцидентов.
   • Если для вас было создано уведомление об инцидентах, вы можете перейти к инциденту по ссылке из уведомления электронной почты. Сообщение электронной почты содержит время начала инцидента, наиболее аномальный тег и ссылку для перехода в раздел История в веб-интерфейсе Kaspersky MLAD.

   В разделе История Kaspersky MLAD отображает график тегов, полученных от объекта мониторинга, для которого зарегистрирован выбранный инцидент. На графике отображаются данные по пресету Tags for event #N (где N – идентификатор инцидента в разделе Инциденты), сформированному по дате и времени регистрации выбранного инцидента. В этот пресет входят теги, которые привели к регистрации инцидента. В зависимости от типа детектора, который зарегистрировал инцидент, это могут быть следующие теги:

   • Теги, фактическое значение которых было признано ML-моделью наиболее аномальным, если инцидент был зарегистрирован детектором Forecaster.
   • Теги, входящие в диагностическое правило, и значение, полученное в результате работы этого правила, если инцидент был зарегистрирован детектором Rule Detector.
   • Тег, значение которого вышло за заданные пороги блокировки, если инцидент был зарегистрирован детектором Limit Detector.

   Если требуется, вы можете выбрать другой пресет для отображения данных, полученных от объекта мониторинга в момент регистрации инцидента. На дату и время регистрации инцидента на графике указывает вертикальная синяя пунктирная линия.

   Пример графика тегов в разделе История.

   График тегов отображается в верхней части раздела История. В нижней части раздела История отображается график MSE.

   

   График тегов в разделе История

2. Настройка параметров отображения данных на графике в разделе История

   В разделе История вы можете включить отображение предсказанных значений тегов. Это позволяет оценить расхождение между фактическими и предсказанными значениями тегов. Также включенная функция отображения предсказанных значений позволяет просматривать значения, полученные в результате работы диагностических правил. Информация о теге (имя, числовой идентификатор, описание, единица измерения, время и значение тега) отображается при наведении указателя мыши на график тега. Также вы можете включить отображение имени и описания тега для каждого графика тега.

3. Настройка параметров времени для отображения данных в разделе История

   При исследовании поведения тегов, вы можете изменять масштаб оси времени или перемещаться по графикам вперед или назад по времени. При отображении более коротких интервалов времени на графиках тегов в разделе История могут проявляться детали поведения тегов, которые усреднялись, когда график тега отображался за более длительный период.

4. Изменение вертикальных границ отображения данных в разделе История

   Выбор вертикального масштаба каждого графика по умолчанию производится автоматически, исходя из минимального и максимального значений тега в отображаемой области. Вы можете контролировать масштаб графиков по шкале значений на вертикальной оси одним из следующих способов:

   • Если для тега установлены минимальное и максимальное допустимые значения (пороги блокировки), включите функцию Всегда показывать пороги блокировки.

     При условии, что значения тега находятся в допустимом диапазоне, вертикальный масштаб графика будет зафиксирован пороговыми линиями, выводимыми по нижней и верхней границам графика тега. Если значения тега выйдут за заданные пороги блокировки, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.

   • В свойствах тега установите допустимые границы отображения значений тега на графиках.

     Если значения тега будут выходить за указанные границы, то они не будут отображаться на графике тега. Допустимые границы отображения значений тега имеют приоритет над отображением порогов блокировки, даже если включена функция Всегда показывать пороги блокировки.

Добавление статуса, причины, экспертного заключения и замечания к инциденту или группе инцидентов

Kaspersky MLAD позволяет добавлять экспертное заключение или замечание к зарегистрированному инциденту.

Экспертное заключение, как правило, добавляет эксперт (технолог или специалист АСУ ТП), и оно может содержать анализ инцидента или рекомендации по устранению проблемы, на которую указывает выявленный инцидент. Экспертное заключение может быть добавлено как к инциденту, так и к группе инцидентов. При этом если сгруппированы инциденты, к которым ранее были добавлены экспертные заключения, то эти заключения отображаются и в группе (с привязкой к каждому конкретному инциденту). При перегруппировке инцидентов экспертное заключение для инцидента мигрирует вместе с инцидентом в новую группу.

Замечания предназначены для обсуждения между экспертами или операторами предпринятых по инциденту действий: анализ, расследование, исправление. В каждом замечании фиксируется информация о том, кто и когда его добавил.

Вы также можете добавить причину возникновения инцидента и статус инцидента, установленные экспертом по результатом анализа инцидента. Статус инцидента может быть присвоен как инциденту, так и группе инцидентов. При изменении статуса группы инцидентов Kaspersky MLAD изменяет статус инцидентов, входящих в эту группу.

Перед добавлением причины, статуса, замечания или экспертного заключения требуется провести анализ зарегистрированного инцидента.

Чтобы добавить экспертное заключение, статус, причину и замечание к инциденту:

1. В основном меню выберите раздел Инциденты.
2. При необходимости измените статус инцидента, выбрав в раскрывающемся списке Статус один из следующих статусов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать или Ложное срабатывание.

   По умолчанию инциденту присваивается статус Не установлен. Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.

3. Для отображения подробных технических характеристик нажмите на значок стрелки вправо () около интересующего вас инцидента. В открывшейся области деталей вы можете выполнить следующие действия:
   • Если требуется добавить причину инцидента, в поле Причина инцидента выберите причину инцидента.

     При необходимости системный администратор может создать, изменить или удалить причины инцидентов.

   • Если требуется добавить экспертное заключение по анализу зарегистрированного инцидента, нажмите на значок Изменить экспертное заключение (), расположенную справа от поля Экспертное заключение, в появившемся поле введите заключение и нажмите на клавишу ENTER.

     Экспертное заключение будет добавлено к выбранному инциденту и отобразится в таблице инцидентов разделе Инциденты.

   • Если требуется добавить замечание к инциденту, в поле Замечание введите сообщение и нажмите на кнопку Добавить замечание.

     Вы можете указать сообщение длиной не более 512 символов.

Статус, причина, экспертное заключение и замечание будут добавлены к инциденту и будут доступны другим пользователям при просмотре этого инцидента.

При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу. Имя группы присваивается также автоматически – Group #N (N – порядковый номер группы). Вы можете изменить название группы, а также изменить статус группы инцидентов и экспертное заключение, содержащее, например, рекомендации при анализе похожих инцидентов.

Чтобы добавить статус и экспертное заключение к группе инцидентов:

1. В основном меню выберите раздел Инциденты и нажмите на Группы.
2. При необходимости измените статус группы инцидентов, выбрав в раскрывающемся списке Статус один из следующих статусов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать или Ложное срабатывание.

   При изменении статуса группы инцидентов Kaspersky MLAD изменяет статус инцидентов, входящих в эту группу. По умолчанию группе инцидентов присваивается статус Не установлен.

   Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.

3. В таблице групп инцидентов дважды нажмите на строку группы инцидентов.

   Откроется окно Изменение группы.

   Вы также можете перейти к изменению группы на вкладке Инциденты. Для этого выберите нужную группу в фильтре Группа и в блоке экспертного заключения для группы, отображающемся над таблицей инцидентов, нажмите на кнопку Изменить.

4. Если требуется изменить название группы инцидентов, в поле Имя группы введите новое название группы.
5. В поле Экспертное заключение введите текст экспертного заключения (например, рекомендации при анализе похожих инцидентов).
6. Нажмите на кнопку Сохранить.

Статус и экспертное заключение будут изменены для группы инцидентов и будут доступны для просмотра другим пользователям в таблице Группы в разделе Инциденты.

Экспорт инцидентов в файл

Вы можете сохранить в файл формата XLSX инциденты, зарегистрированные за определенный период в Kaspersky MLAD.

Чтобы сохранить в файл зарегистрированные за определенный период инциденты:

1. В основном меню выберите раздел Инциденты.
2. В верхней части открывшейся страницы выберите даты начала и окончания периода.
3. Нажмите на кнопку Экспорт.
4. Выберите директорию для сохранения на локальном диске и сохраните файл.

Инциденты, зарегистрированные за выбранный период в Kaspersky MLAD, будут сохранены на локальном диске в файл формата XLSX. Файл формата XLSX можно открыть в программе Microsoft Excel.

Управление ML-моделями

Этот раздел содержит информацию о работе с ML-моделями, шаблонами ML-моделей и разметками.

ML-модели, шаблоны ML-моделей и разметки являются функциональными элементами иерархической структуры объекта мониторинга. Иерархическая структура отображается в виде дерева

активов

Раздел иерархической структуры, представляющий, например, завод, цех или отдельный агрегат объекта мониторинга.

В Kaspersky MLAD ML-модели могут быть импортированы, созданы вручную, скопированы или созданы по шаблону. После добавления и обучения ML-модели в Kaspersky MLAD вы можете опубликовать ее. Вы также можете запустить исторический или потоковый инференс для обученной или опубликованной ML-модели, а также просмотреть граф потока данных в ML-модели.

В разделе Модели вы можете создавать разметки для формирования

индикаторов обучения

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет обучение.

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет обучение.

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет обучение.

индикаторов инференса

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет инференс.

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет инференс.

Сценарий: работа с ML-моделями

В этом разделе приводится последовательность действий, которые требуется выполнить при работе с ML-моделями.

Сценарий работы с ML-моделями состоит из следующих этапов:

1. Добавление ML-модели

   Вы можете добавить ML-модель в Kaspersky MLAD одним из следующих способов:

   • Загрузить ML-модель, созданную специалистами "Лаборатории Касперского" или сертифицированным интегратором в рамках Услуги построения модели и внедрения Kaspersky MLAD. После загрузки ML-модели требуется ее активировать.
   • Создать ML-модель вручную. Добавьте в созданную ML-модель нейросетевые элементы и/или элементы на основе диагностических правил.
   • Создать ML-модель по шаблону. Предварительно создайте шаблон по нужной ML-модели. Если исходная ML-модель, по которой был создан шаблон, была создана вручную, вы можете добавить в новую ML-модель нейросетевые элементы и/или элементы на основе диагностических правил.
   • Скопировать ранее добавленную ML-модель. При копировании ML-модели, которая была создана вручную или по шаблону на основе ML-модели, созданной вручную, вы можете добавить в скопированную ML-модель нейросетевые элементы и/или элементы на основе диагностических правил.
2. Добавление разметок

   Если требуется определить для ML-модели интервалы времени данных, на которых ML-модель может выполнять обучение или инференс, создайте разметки. Для формирования индикатора инференса укажите созданную разметку в параметрах соответствующей ML-модели.

3. Обучение элементов ML-модели

   Для проведения инференса ML-модель должна быть обучена. Для этого все нейросетевые элементы в составе ML-модели требуется предварительно обучить. Элементы на основе диагностических правил в составе ML-модели считаются обученными.

   ML-модель, загруженная в Kaspersky MLAD, предварительно обучена специалистами "Лаборатории Касперского" или сертифицированным интегратором. ML-модели, созданные по шаблону импортированной ML-модели или созданные путем копирования импортированной ML-модели, также считаются обученными. При необходимости вы можете изменить параметры их обучения и переобучить нейросетевые элементы.

   Для формирования индикатора обучения укажите созданную разметку в параметрах обучения нейросетевого элемента.

4. Подготовка ML-модели к публикации

   После завершения обучения подготовьте ML-модель к публикации. ML-модель, подготовленная к публикации, недоступна для изменения.

5. Публикация ML-модели

   После подготовки ML-модели к публикации сообщите сотруднику, ответственному за публикацию ML-моделей, о ее готовности, или, если у вас есть необходимые права, опубликуйте ML-модель. При необходимости системный администратор может создать роль, которой предоставлено право для публикации ML-моделей, и назначить ее нужному сотруднику.

6. Запуск инференса ML-модели

   Запустите инференс ML-модели. В процессе инференса ML-модель анализирует данные телеметрии и регистрирует инциденты.

   Инференс ML-модели может быть запущен как для опубликованной, так и для обученной ML-модели.

Работа с разметками

Этот раздел содержит информацию о работе с разметками.

В разделе Модели вы можете создавать, изменять и удалять разметки. Если требуется, вы можете просмотреть на графике интервалы времени данных, на основании которых ML-модель будет выполнять обучение и/или инференс.

Разметки используются в качестве индикаторов обучения или инференса, указывая ML-модели интервалы времени данных, на которых ML-модель может выполнять обучение или инференс. Для формирования индикатора инференса вы можете выбрать ранее созданные разметки при создании или изменении параметров ML-модели. Для формирования индикатора обучения вы можете выбрать ранее созданные разметки при настройке параметров обучения нейросетевых элементов ML-модели.

Создание разметки

Вы можете использовать разметки для формирования индикаторов обучения или инференса ML-модели.

Чтобы создать разметку:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с названием актива, для которого требуется создать разметку, откройте вертикальное меню и выберите пункт Создать разметку.

   Справа отобразится список параметров.

3. В поле Название укажите название разметки.
4. В поле Описание укажите описание разметки.
5. В поле Шаг сетки (сек.) укажите период РИВС в секундах в виде десятичной дроби для разметки.
6. В поле Цвет разметки выберите цвет, которым будут выделены интервалы данных, отобранные этой разметкой.
7. Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.

   Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать заданные критерии выполненными.

8. В блоке параметров Фильтрация по времени выполните следующие действия:
   1. Нажмите на кнопку Добавить интервал.
   2. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

        Вы можете указать только начало или окончание однократного интервала.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.

   Вы можете добавить один или несколько временных интервалов.

9. Если требуется добавить критерии поведения тегов, выполните следующие действия:
   1. В блоке параметров Условия на теги нажмите на кнопку Условие.

   2. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

      Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

      Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.

   3. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
      • Выше – значение тега превышает определенный порог.
      • Ниже – значение тега опускается ниже определенного порога.
      • Растет – линия тренда значений тега растет.
      • Падает – линия тренда значений тега падает.
      • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
      • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
      • Залипание – выбранный тег передает одно и то же значение.
      • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
   4. В поле Окно укажите продолжительность интервала для анализа поведения тегов в шагах РИВС.
   5. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
      • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
      • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

        По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

        По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

      • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

      • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

        По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.

      • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

        Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

   6. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 9b по 9e.
   7. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
      • AND, если требуется отслеживать оба критерия в разметке.
      • OR, если требуется отслеживать один из заданных критериев в разметке.

10. Если требуется проверить, вызвало ли выполнение предварительного условия выполнение пост-условия, выполните следующие действия:
    1. Добавьте один из следующих темпоральных операторов:
       • Пауза, если требуется сформировать результат проверки критериев в последнем узле максимального интервала ожидания.
       • Если далее, если требуется сформировать результат проверки критериев в момент проверки предварительного условия.

       Кнопки Пауза и Если далее доступны после добавления хотя бы одного условия.

       Предварительным условием называется блок условий, предшествующий темпоральному оператору. Пост-условием называется блок условий, следующий за темпоральным оператором.

       Проверка блока предварительного условия проводится в текущем узле РИВС.

       Разметка с темпоральным оператором Если далее может быть использована только в индикаторах обучения.

    2. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
       • от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
       • до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).

       Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

    3. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

       В случае добавления темпорального оператора Пауза результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия. Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг). Если проводится более одной проверки условия с помощью темпорального оператора Пауза, то предварительным условием для каждой следующей проверки темпорального условия Пауза является результат проверки предыдущего темпорального условия.

       В случае добавления темпорального оператора Если далее результат проверки критериев формируется в момент проверки предварительного условия.

11. Выберите один из следующих логических операторов между блоками разметки:
    • AND, если требуется отслеживать критерии поведения тегов в обоих блоках условий.
    • OR, если требуется отслеживать критерии поведения тегов только одного из блоков условий.
12. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новая разметка отобразится в группе Разметки дерева активов. Группа Разметки создается автоматически и отображается в составе выбранного раздела дерева активов.

Просмотр графика разметок

После создания разметки вы можете просмотреть на графике интервалы времени данных, отобранные разметкой.

Чтобы просмотреть график разметок:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите разметку, график которой вы хотите просмотреть.

   Справа отобразится список параметров.

3. Нажмите на кнопку На графике.

   Справа появится панель с графиком разметки.

4. В раскрывающемся списке Пресет выберите необходимый пресет.
5. Если требуется, в поле Разметки выберите разметки для отображения интервалов данных.
6. Если требуется выбрать дату и время для отображения данных, выполните одно из следующих действий:
   • В поле Центр графика выберите дату и время, на которое требуется отображать данные на графике.

     Вертикальная черная пунктирная линия будет указывать на выбранную дату и время (центр графика).

   • Нажмите на значок Новый центр графика (), который расположен слева от оси времени, и выберите на оси времени нужную точку.

     Выбранная точка станет новым центром графика. Вертикальная черная пунктирная линия будет указывать на новые дату и время.

7. Если требуется выбрать интервал времени для отображения данных на графике, выполните одно из следующих действий:
   • Если требуется отображать данные за фиксированный интервал времени, в раскрывающемся списке Масштаб выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
     • 1, 5, 10, 15 и 30 минут;
     • 1, 3, 6 и 12 часов;
     • 1, 2, 15 и 30 дней;
     • 3 и 6 месяцев;
     • 1, 2 и 3 года.

     При необходимости системный администратор может создать, изменить или удалить временные интервалы.

   • Если требуется отображать данные за произвольный интервал времени, нажмите на значок Новый интервал (), который расположен слева от оси времени, выберите на оси времени нужный интервал и нажмите на кнопку Применить. Если требуется еще раз изменить масштаб, повторите это действие.

На графике отобразятся интервалы данных в цветах, заданных для выбранных разметок.

Изменение разметки

Вы можете изменить параметры разметки.

Чтобы изменить разметку:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите разметку, которую вы хотите изменить.

   Справа отобразится список параметров.

3. Нажмите на кнопку Изменить.
4. В поле Название укажите новое название разметки.
5. В поле Описание укажите новое описание разметки.
6. В поле Шаг сетки (сек.) укажите период РИВС в секундах в виде десятичной дроби для разметки.
7. В поле Цвет разметки выберите цвет, которым будут выделены интервалы данных, отобранные этой разметкой.
8. Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.

   Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать заданные критерии выполненными.

9. Если требуется изменить временные интервалы разметки в блоке параметров Фильтрация по времени, выполните следующие действия:
   1. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

        Вы можете указать только начало или окончание однократного интервала.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
   2. Если требуется добавить интервал, нажмите на кнопку Добавить интервал и выполните шаг 9a.
   3. Если требуется удалить интервал, наведите курсор мыши на строку с нужным интервалом и нажмите на значок Удалить интервал (  ).

   Вы можете добавить один или несколько временных интервалов.

10. Если требуется изменить критерии поведения тегов, выполните следующие действия:
    1. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

       Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

       Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.

    2. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
       • Выше – значение тега превышает определенный порог.
       • Ниже – значение тега опускается ниже определенного порога.
       • Растет – линия тренда значений тега растет.
       • Падает – линия тренда значений тега падает.
       • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
       • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
       • Залипание – выбранный тег передает одно и то же значение.
       • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
    3. В поле Окно укажите количество шагов РИВС.
    4. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
       • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
       • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

         По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

         По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

       • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

         По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

       • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

         По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.

       • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

         По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

         Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

    5. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 10a по 10d.
    6. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
       • AND, если требуется отслеживать оба критерия в разметке.
       • OR, если требуется отслеживать один из заданных критериев в разметке.
    7. Если требуется удалить критерий на поведение тегов из блока условий, наведите курсор мыши на строку с нужным критерием и нажмите на значок крестика ().

11. Если требуется изменить условия темпорального оператора Пауза и/или Если далее, выполните следующие действия:
    1. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
       • от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
       • до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).

       Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

    2. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

       В случае добавления темпорального оператора Пауза результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия. Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг). Если проводится более одной проверки условия с помощью темпорального оператора Пауза, то предварительным условием для каждой следующей проверки темпорального условия Пауза является результат проверки предыдущего темпорального условия.

       В случае добавления темпорального оператора Если далее результат проверки критериев формируется в момент проверки предварительного условия.

12. Выберите один из следующих логических операторов между блоками разметки:
    • AND, если требуется отслеживать критерии поведения тегов в обоих блоках условий.
    • OR, если требуется отслеживать критерии поведения тегов только одного из блоков условий.
13. В правом верхнем углу окна нажмите на кнопку Сохранить.

Удаление разметки

Вы можете удалить разметку, если она не используется для обучения или инференса какой-либо ML-модели.

Чтобы удалить разметку:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите разметку, которую вы хотите удалить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на значок корзины ().
4. В открывшемся окне подтвердите удаление разметки.

Работа с импортированными ML-моделями

Этот раздел содержит информацию о работе с импортированными ML-моделями и их элементами.

ML-модель может быть предоставлена специалистами "Лаборатории Касперского" или сертифицированным интегратором в рамках Услуги построения модели и внедрения Kaspersky MLAD. Такую ML-модель требуется загрузить в Kaspersky MLAD и активировать. Вы не можете создавать новые элементы для импортированной ML-модели, а также удалять уже существующие элементы.

ML-модель загружается в Kaspersky MLAD уже обученной. Если требуется, вы можете дополнительно обучить нейросетевые элементы в составе загруженной ML-модели перед ее публикацией и/или выполнением инференса.

Загрузка ML-модели

Если ML-модель была создана специалистами "Лаборатории Касперского" или сертифицированным интегратором, вы можете загрузить эту ML-модель в Kaspersky MLAD.

При загрузке ML-модели, размер которой превышает 1 ГБ, работа Kaspersky MLAD может замедлиться.

Загрузка ML-моделей доступна системным администраторами пользователям с правом Загрузка моделей из группы прав Управление ML-моделями.

Чтобы загрузить ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с названием актива, для которого требуется импортировать ML-модель, откройте вертикальное меню и выберите пункт Импортировать модель.
3. В открывшемся окне выберите файл ML-модели.

   Файл ML-модели поставляется в виде архива формата TAR размером не более 1,5 ГБ.

ML-модель будет загружена в Kaspersky MLAD. Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Группа Модели содержит подгруппы Нейронные сети и Правила для хранения элементов ML-модели на основе нейронных сетей и диагностических правил.

После загрузки ML-модели присваивается статус Не активирована. Требуется активировать ML-модель. При повторной загрузке ML-модели, которая ранее была активирована и затем удалена, повторная активация ML-модели не требуется.

Активация импортированной ML-модели

После загрузки в Kaspersky MLAD ML-модели, подготовленной специалистами "Лаборатории Касперского" или сертифицированным интегратором, ее требуется активировать.

При потере кода для активации ML-модели требуется отправить запрос специалисту "Лаборатории Касперского" для получения нового кода.

Активация импортированных ML-моделей доступна системным администраторами пользователям с правом Активация моделей из группы прав Управление ML-моделями.

Чтобы активировать импортированную ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите импортированную ML-модель.

   Справа появится область деталей.

3. В поле Код для активации модели введите код, полученный от сотрудников "Лаборатории Касперского", и нажмите на кнопку Активировать в правом верхнем углу окна.

ML-модель активирована. Ей будет присвоен статус Обучена. Для запуска анализа данных телеметрии от объекта мониторинга вы можете запустить инференс ML-модели.

Изменение параметров элемента импортированной ML-модели

Вы можете изменить некоторые параметры элемента импортированной ML-модели.

Изменение параметров элементов импортированных ML-моделей доступно системным администраторами пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы изменить параметры элемента импортированной ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите элемент ML-модели, который вы хотите изменить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на кнопку Изменить.
4. В поле Название укажите название элемента ML-модели.
5. В поле Описание укажите описание элемента ML-модели.
6. Если требуется, в блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   4. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   5. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   6. В поле Порог регистрации инцидентов укажите пороговое значение ошибки предсказания, при достижении которого происходит регистрация инцидента.

      Значение порога регистрации инцидентов установлено по результатам обучения элемента импортированной ML-модели. Изменение этого параметра приведет к изменению чувствительности детектора.

   7. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
7. В правом верхнем углу окна нажмите на кнопку Сохранить.

Работа с ML-моделями, созданными вручную

Этот раздел содержит информацию о работе с ML-моделями, созданными вручную и их элементами.

В случае создания ML-модели вручную вы можете добавлять элементы ML-моделей на основе нейронных сетей и/или диагностических правил, изменять и удалять их.

Для проведения инференса ML-модель должна быть обучена. Для этого все нейросетевые элементы в составе ML-модели требуется предварительно обучить. При необходимости вы можете просмотреть результаты обучения нейросетевых элементов. Элементы на основе диагностических правил считаются обученными.

Вы также можете запустить инференс после публикации ML-модели. После запуска инференса Kaspersky MLAD будет регистрировать инциденты.

Создание ML-модели

Создание ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Чтобы создать ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с названием актива, для которого вы хотите создать ML-модель, откройте вертикальное меню и выберите пункт Создать модель.

   Справа отобразится список параметров.

3. В поле Название укажите название ML-модели.

   Вы можете указать название ML-модели длиной не более 100 символов.

4. В поле Описание укажите описание ML-модели.
5. Если требуется применить разметки для отбора данных для выполнения инференса ML-модели, в блоке параметров Индикатор инференса выберите нужные разметки.
6. Если требуется просмотреть, какие данные будут отобраны разметками, нажмите на кнопку На графике.

   Разметки отобразятся в цветах, выбранных при их создании.

7. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Группа Модели содержит подгруппы Нейронные сети и Правила для хранения элементов ML-модели на основе нейронных сетей и диагностических правил.

ML-модели будет присвоен статус Черновик.

Добавление нейросетевого элемента ML-модели

Добавление элементов ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Чтобы добавить нейросетевой элемент ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с группой Нейронные сети в составе ML-модели, к которой вы хотите добавить нейросетевой элемент, откройте вертикальное меню и выберите пункт Создать элемент.

   Справа отобразится список параметров.

3. В поле Название укажите название элемента ML-модели.
4. В поле Описание укажите описание элемента ML-модели.
5. В блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде десятичной дроби.
   4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   7. В поле Порог регистрации инцидентов укажите пороговое значение ошибки предсказания, при достижении которого происходит регистрация инцидента.
   8. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
6. Выберите одну из следующих архитектур нейросетевого элемента ML-модели: Dense, RNN, CNN, TCN или Transformer.
7. Если требуется задать параметры архитектуры нейросетевого элемента, а также степенной показатель и значение сглаживания суммарной ошибки предсказания, включите Расширенные параметры нейронной сети с помощью переключателя.
8. В блоке параметров Основные параметры выполните следующие действия:
   1. В раскрывающемся списке Входные теги выберите один или несколько тегов, которые служат исходными данными для предсказания значений выходных тегов.

   2. В раскрывающемся списке Выходные теги выберите один или несколько тегов, поведение которых предсказывается элементом модели.

   3. Если включен режим расширенной настройки, в поле Степенной показатель MSE укажите степенной показатель суммарной ошибки предсказания в виде десятичной дроби.
   4. Если включен режим расширенной настройки, в поле Степень сглаживания укажите значение сглаживания суммарной ошибки предсказания в виде десятичной дроби.
9. В блоке параметров Параметры окон выполните следующие действия:
   1. В поле Входное окно (шаги) укажите размер окна для входных значений, на основе которых элемент ML-модели предсказывает выходные значения.
   2. В поле Смещение выходного окна укажите количество шагов, на которое начало выходного окна будет смещено относительно начала входного окна.
   3. В поле Выходное окно (шаги) укажите длину предсказания выходных тегов, вычисляемого на основании входных тегов на входном окне.
10. Если вы добавляете нейросетевой элемент с Dense-архитектурой, выполните следующие действия:
    1. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на каждом слое элемента ML-модели.
    2. В поле Функции активации на слоях укажите одну из следующих функций активации на каждом слое элемента ML-модели через запятую без пробелов:
       • relu – нелинейная функция активации, которая преобразует входное значение в значение от 0 до положительной бесконечности.
       • selu – монотонно возрастающая функция, которая включает нормализацию, основанную на центральной предельной теореме.
       • linear – линейная функция, представляющая собой прямую линию и пропорциональная входным данным.
       • sigmoid – нелинейная функция, которая преобразует входные значения в значения от 0 до 1.
       • tanh – функция гиперболического тангенса, которая преобразует входные значения в значения от -1 до 1.
       • softmax – функция для преобразования вектора значений в вероятностное распределение, которое суммируется до 1.

       По умолчанию этот параметр имеет значение relu,relu,relu.

11. Если вы добавляете нейросетевой элемент с RNN-архитектурой, выполните следующие действия:
    1. В поле Количество GRU-нейронов на слоях укажите количество GRU-нейронов на слоях через запятую без пробелов.

       По умолчанию этот параметр имеет значение 40,40.

    2. В поле Количество распределенных по времени нейронов на слоях декодирующего блока укажите количество нейронов, распределенных по времени на слоях декодирующего блока, через запятую без пробелов.

       По умолчанию этот параметр имеет значение 40,20.

12. Если вы добавляете нейросетевой элемент с CNN-архитектурой, выполните следующие действия:
    1. В поле Размер фильтров на слоях укажите размер фильтров для каждого слоя элемента через запятую без пробелов.

       По умолчанию этот параметр имеет значение 2,2,2.

    2. В поле Количество фильтров на слоях укажите количество фильтров для каждого слоя элемента ML-модели через запятую без пробелов.

       По умолчанию этот параметр имеет значение 50,50,50.

    3. В поле Размер окна выборки максимума (MaxPooling) укажите размер окна выборки максимального значения на каждом слое через запятую без пробелов.

       По умолчанию этот параметр имеет значение 2,2,2.

    4. В поле Количество нейронов на слоях декодирующего блока укажите количество нейронов на слоях декодирующего блока.

13. Если вы добавляете нейросетевой элемент с TCN-архитектурой, выполните следующие действия:
    1. В поле Регуляризация укажите коэффициент регуляризации в виде десятичной дроби для предотвращения переобучения элемента ML-модели.

       По умолчанию этот параметр имеет значение 0.1.

    2. В поле Размер фильтров укажите размер фильтров элемента ML-модели.

       По умолчанию этот параметр имеет значение 2.

    3. В поле Расширения на слоях (dilations) укажите экспоненциальные значения расширения выходных данных на слоях в виде списка, элементы которого перечислены через запятую.

       По умолчанию этот параметр имеет значение 1,2,4.

    4. В раскрывающемся списке Функция активации выберите одну из следующих функций активации:
       • linear – линейная функция активации, результат которой пропорционален входному значению.
       • relu – нелинейная функция активации, которая преобразует входное значение в значение от нуля до положительной бесконечности. Если входное значение меньше или равно нулю, функция возвращает значение ноль, иначе функция возвращает входное значение.

       По умолчанию этот параметр имеет значение linear.

    5. В поле Количество кодирующих блоков укажите количество кодирующих блоков.

       По умолчанию этот параметр имеет значение 1.

    6. В поле Тип слоя перед выходным выберите один из следующих типов слоя, предшествующего выходному слою:
       • TimeDistributedDense (по умолчанию) – слой с полносвязной архитектурой.
       • GRU – слой с рекуррентной архитектурой.
14. Если вы добавляете нейросетевой элемент с Transformer-архитектурой, выполните следующие действия:
    1. В поле Регуляризация в кодирующем блоке укажите коэффициент регуляризации в кодирующем блоке в виде десятичной дроби.

       По умолчанию этот параметр имеет значение 0.01.

    2. В поле Количество голов внимания укажите количество голов внимания (англ. attention heads).

       По умолчанию этот параметр имеет значение 1.

    3. В поле Количество кодирующих блоков укажите количество кодирующих блоков.

       По умолчанию этот параметр имеет значение 1.

    4. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на слоях декодирующего блока.

15. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новый элемент ML-модели отобразится в группе Нейронные сети в составе выбранной ML-модели в дереве активов.

ML-модели будет присвоен статус Черновик. Для запуска инференса ML-модели требуется обучить все ее нейросетевые элементы.

Изменение нейросетевого элемента ML-модели

Вы можете изменить параметры нейросетевого элемента ML-модели.

Изменение элементов ML-моделей доступно системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы изменить нейросетевой элемент ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите нейросетевой элемент, который вы хотите изменить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на кнопку Изменить.
4. В поле Название укажите новое название элемента ML-модели.
5. В поле Описание укажите новое описание ML-модели.
6. Если требуется, в блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде десятичной дроби.
   4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   7. В поле Порог регистрации инцидентов укажите пороговое значение ошибки предсказания, при достижении которого происходит регистрация инцидента.
   8. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
7. Если требуется, измените архитектуру нейросетевого элемента.

   Kaspersky MLAD поддерживает следующие архитектуры нейросетевого элемента ML-модели: Dense, RNN, CNN, TCN или Transformer.

8. Если требуется изменить параметры архитектуры нейросетевого элемента, а также степенной показатель и значение сглаживания суммарной ошибки предсказания, включите Расширенные параметры нейронной сети с помощью переключателя.
9. Если требуется, в блоке параметров Основные параметры выполните следующие действия:
   1. В раскрывающемся списке Входные теги выберите один или несколько тегов, которые служат исходными данными для предсказания значений выходных тегов.

   2. В раскрывающемся списке Выходные теги выберите один или несколько тегов, поведение которых предсказывается элементом модели.

   3. Если включен режим расширенной настройки, в поле Степенной показатель MSE укажите степенной показатель суммарной ошибки предсказания в виде десятичной дроби.
   4. Если включен режим расширенной настройки, в поле Степень сглаживания укажите значение сглаживания суммарной ошибки предсказания в виде десятичной дроби.
10. Если требуется, в блоке параметров Параметры окон выполните следующие действия:
    1. В поле Входное окно (шаги) укажите размер окна для входных значений, на основе которых элемент ML-модели предсказывает выходные значения.
    2. В поле Смещение выходного окна укажите количество шагов, на которое начало выходного окна будет смещено относительно начала входного окна.
    3. В поле Выходное окно (шаги) укажите длину предсказания выходных тегов, вычисляемого на основании входных тегов на входном окне.
11. Если вы выбрали нейросетевой элемент с Dense-архитектурой, выполните следующие действия:
    1. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на каждом слое элемента ML-модели.
    2. В поле Функции активации на слоях укажите одну из следующих функций активации на каждом слое элемента ML-модели через запятую без пробелов:
       • relu – нелинейная функция активации, которая преобразует входное значение в значение от 0 до положительной бесконечности.
       • selu – монотонно возрастающая функция, которая включает нормализацию, основанную на центральной предельной теореме.
       • linear – линейная функция, представляющая собой прямую линию и пропорциональная входным данным.
       • sigmoid – нелинейная функция, которая преобразует входные значения в значения от 0 до 1.
       • tanh – функция гиперболического тангенса, которая преобразует входные значения в значения от -1 до 1.
       • softmax – функция для преобразования вектора значений в вероятностное распределение, которое суммируется до 1.

       По умолчанию этот параметр имеет значение relu,relu,relu.

12. Если вы добавляете нейросетевой элемент с RNN-архитектурой, выполните следующие действия:
    1. В поле Количество GRU-нейронов на слоях укажите количество GRU-нейронов на слоях через запятую без пробелов.

       По умолчанию этот параметр имеет значение 40,40.

    2. В поле Количество распределенных по времени нейронов на слоях декодирующего блока укажите количество нейронов, распределенных по времени на слоях декодирующего блока через запятую без пробелов.

       По умолчанию этот параметр имеет значение 40,20.

13. Если вы выбрали нейросетевой элемент с CNN-архитектурой, в блоке параметров Параметры архитектуры CNN выполните следующие действия:
    1. В поле Размер фильтров на слоях укажите размер фильтров для каждого слоя элемента через запятую без пробелов.

       По умолчанию этот параметр имеет значение 2,2,2.

    2. В поле Количество фильтров на слоях укажите количество фильтров для каждого слоя элемента ML-модели через запятую без пробелов.

       По умолчанию этот параметр имеет значение 50,50,50.

    3. В поле Размер окна выборки максимума (MaxPooling) укажите размер окна выборки максимального значения через запятую без пробелов.

       По умолчанию этот параметр имеет значение 2,2,2.

    4. В поле Количество нейронов на слоях декодирующего блока укажите количество нейронов на слоях декодирующего блока.

14. Если вы выбрали нейросетевой элемент с TCN-архитектурой, выполните следующие действия:
    1. В поле Регуляризация укажите коэффициент регуляризации в виде десятичной дроби для предотвращения переобучения элемента ML-модели.

       По умолчанию этот параметр имеет значение 0.1.

    2. В поле Размер фильтров укажите размеров фильтров элемента ML-модели.

       По умолчанию этот параметр имеет значение 2.

    3. В поле Расширения на слоях (dilations) укажите экспоненциальные значения расширения выходных данных на слоях через запятую без пробелов.

       По умолчанию этот параметр имеет значение 1,2,4.

    4. В раскрывающемся списке Функция активации выберите одну из следующих функций активации:
       • linear – линейная функция активации, результат которой пропорционален входному значению.
       • relu – нелинейная функция активации, которая преобразует входное значение в значение от нуля до положительной бесконечности. Если входное значение меньше или равно нулю, функция возвращает значение ноль, иначе функция возвращает входное значение.

       По умолчанию этот параметр имеет значение linear.

    5. В поле Количество кодирующих блоков укажите количество кодирующих блоков.

       По умолчанию этот параметр имеет значение 1.

    6. В поле Тип слоя перед выходным выберите один из следующих типов слоя, предшествующего выходному слою:
       • TimeDistributedDense (по умолчанию) – слой с полносвязной архитектурой.
       • GRU  – слой с рекуррентной архитектурой.
15. Если вы выбрали нейросетевой элемент с Transformer-архитектурой, выполните следующие действия:
    1. В поле Регуляризация в кодирующем блоке укажите коэффициент регуляризации в кодирующем блоке в виде десятичной дроби.

       По умолчанию этот параметр имеет значение 0.01.

    2. В поле Количество голов внимания укажите количество голов внимания (англ. attention heads).

       По умолчанию этот параметр имеет значение 1.

    3. В поле Количество кодирующих блоков укажите количество кодирующих блоков.

       По умолчанию этот параметр имеет значение 1.

    4. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на слоях декодирующего блока.

16. В правом верхнем углу окна нажмите на кнопку Сохранить.

Добавление элемента ML-модели на основе диагностического правила

Добавление элементов ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Чтобы добавить элемент ML-модели на основе диагностического правила:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с группой Правила в составе ML-модели, к которой вы хотите добавить диагностическое правило, откройте вертикальное меню и выберите пункт Создать элемент.

   Справа отобразится список параметров.

3. В поле Название укажите название диагностического правила.
4. В поле Описание укажите описание диагностического правила.
5. В блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде десятичной дроби.
   4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   7. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
6. Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.

   Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать правило выполненным.

7. В блоке параметров Фильтрация по времени выполните следующие действия:
   1. Нажмите на кнопку Добавить интервал.
   2. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

        Вы можете указать только начало или окончание однократного интервала.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
   3. Если требуется добавить еще один интервал, нажмите на кнопку Добавить интервал и выполните шаг 7b.
   4. Если требуется удалить интервал, наведите курсор мыши на строку с нужным интервалом и нажмите на значок Удалить интервал (  ).

   Вы можете добавить один или несколько временных интервалов. Если временной интервал не указан, то диагностическое правило применяется в каждом узле РИВС.

8. Если требуется добавить критерии поведения тегов, выполните следующие действия:
   1. В блоке параметров Условия на теги нажмите на кнопку Условие.

   2. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

      Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

      Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.

   3. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
      • Выше – значение тега превышает определенный порог.
      • Ниже – значение тега опускается ниже определенного порога.
      • Растет – линия тренда значений тега растет.
      • Падает – линия тренда значений тега падает.
      • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
      • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
      • Залипание – выбранный тег передает одно и то же значение.
      • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
   4. В поле Окно укажите количество шагов РИВС.
   5. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
      • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
      • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

        По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

        По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

      • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

      • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

        По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.

      • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

        Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

   6. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 8b по 8e.
   7. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
      • AND, если требуется отслеживать оба критерия во время работы диагностического правила.
      • OR, если требуется отслеживать один из заданных критериев во время работы диагностического правила.

9. Если требуется проверить, вызвало ли выполнение предварительного условия выполнение пост-условия в будущем узле РИВС, добавьте темпоральный оператор:
   1. В блоке параметров Условия на теги нажмите на кнопку Пауза.

      Кнопка Пауза доступна после добавления хотя бы одного условия.

      Предварительным условием называется блок условий, предшествующий темпоральному оператору. Пост-условием называется блок условий, следующий за темпоральным оператором.

      Проверка блока предварительного условия проводится в текущем узле РИВС.

   2. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
      • от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
      • до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).

      Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

   3. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
      • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
      • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

      Результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия.

      Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг).

      Если проводится более одной проверки условия с помощью темпорального оператора, то предварительным условием для каждой следующей проверки темпорального условия является результат проверки предыдущего темпорального условия.

10. Выберите один из следующих логических операторов между блоками правила:
    • AND, если требуется отслеживать критерии поведения тегов в обоих блоках во время работы диагностического правила.
    • OR, если требуется отслеживать критерии поведения тегов одного из блоков во время работы диагностического правила.
11. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новый элемент ML-модели отобразится в группе Правила в составе выбранной ML-модели в дереве активов.

Если в составе ML-модели есть только элементы на основе диагностических правил, ей будет присвоен статус Обучена. Вы можете запустить инференс для такой ML-модели. Если в составе ML-модели есть необученные нейросетевые элементы, перед запуском инференса их требуется обучить.

Изменение элемента ML-модели на основе диагностического правила

Вы можете изменить параметры элемента ML-модели на основе диагностического правила.

Изменение элементов ML-моделей доступно системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы изменить элемент ML-модели на основе диагностического правила:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите элемент на основе диагностического правила, который вы хотите изменить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на кнопку Изменить.
4. В поле Название укажите новое название диагностического правила.
5. В поле Описание укажите новое описание диагностического правила.
6. Если требуется, в блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах.
   4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   7. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
7. Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.

   Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать правило выполненным.

8. Если требуется, в блоке параметров Фильтрация по времени выполните следующие действия:
   1. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

        Вы можете указать только начало или окончание однократного интервала.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
   2. Если требуется добавить еще один интервал, нажмите на кнопку Добавить интервал и выполните шаг 8a.
   3. Если требуется удалить интервал, наведите курсор мыши на строку с нужным интервалом и нажмите на значок Удалить интервал (  ).

   Вы можете добавить один или несколько временных интервалов. Если временной интервал не указан, то диагностическое правило применяется в каждом узле РИВС.

9. Если требуется изменить критерии поведения тегов, выполните следующие действия:
   1. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

      Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

      Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.

   2. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
      • Выше – значение тега превышает определенный порог.
      • Ниже – значение тега опускается ниже определенного порога.
      • Растет – линия тренда значений тега растет.
      • Падает – линия тренда значений тега падает.
      • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
      • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
      • Залипание – выбранный тег передает одно и то же значение.
      • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
   3. В поле Окно укажите количество шагов РИВС.
   4. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
      • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
      • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

        По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

        По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

      • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

      • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

        По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.

      • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

        Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

   5. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 9a по 9d.
   6. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
      • AND, если требуется отслеживать оба критерия во время работы диагностического правила.
      • OR, если требуется отслеживать один из заданных критериев во время работы диагностического правила.

10. Если требуется изменить темпоральный оператор:
    1. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
       • от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
       • до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).

       Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

    2. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

       Результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия.

       Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг).

       Если проводится более одной проверки условия с помощью темпорального оператора, то предварительным условием для каждой следующей проверки темпорального условия является результат проверки предыдущего темпорального условия.

11. Выберите один из следующих логических операторов между блоками правила:
    • AND, если требуется отслеживать критерии поведения тегов в обоих блоках во время работы диагностического правила.
    • OR, если требуется отслеживать критерии поведения тегов одного из блоков во время работы диагностического правила.
12. В правом верхнем углу окна нажмите на кнопку Сохранить.

Удаление элемента ML-модели

При удалении элемента ML-модели Kaspersky MLAD также удаляет результаты работы выбранного элемента ML-модели.

Удаление элементов ML-моделей доступно системным администраторам и пользователям с правом Удаление моделей из группы прав Управление ML-моделями.

Чтобы удалить элемент ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите элемент ML-модели, который вы хотите удалить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на значок корзины ().
4. В открывшемся окне подтвердите удаление элемента ML-модели.

Копирование ML-модели

Копирование ML-моделей доступно системным администраторам и пользователям с правом Копирование моделей из группы прав Управление ML-моделями.

Вы можете создать ML-модель, скопировав ранее добавленную ML-модель. При копировании будет создана ML-модель, в которой состав элементов, параметры ML-модели и ее элементов, а также состояние обучения нейросетевых элементов будут идентичны составу элементов, параметрам ML-модели и ее элементов, состоянию обучения нейросетевых элементов ML-модели в момент ее копирования.

При копировании ML-модели, которая была создана вручную или по шаблону на основе ML-модели, созданной вручную, вы можете добавлять в скопированную ML-модель нейросетевые элементы и/или элементы на основе диагностических правил, изменять и удалять их.

При копировании ML-модели, которая была импортирована в программу или создана по шаблону на основе импортированной ML-модели, вы не можете изменять состав элементов скопированной ML-модели.

Перед выполнением инференса вы можете изменить параметры обучения и переобучить нейросетевые элементы скопированной ML-модели. Вы также можете запустить инференс ML-модели после ее публикации.

Чтобы скопировать ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, которую вы хотите скопировать.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на значок Копировать модель ().

   Справа появится панель Копирование модели.

4. В поле Название укажите название ML-модели.

   Вы можете указать название ML-модели длиной не более 100 символов.

   По умолчанию ML-модели присваивается название в формате <название исходной ML-модели>_Cloned_<дата и время копирования>.

5. В раскрывающемся списке Актив выберите актив, к которому вы хотите отнести новую ML-модель.
6. Нажмите на кнопку Сохранить.

Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Группа Модели содержит подгруппы Нейронные сети и Правила для хранения элементов ML-модели на основе нейронных сетей и диагностических правил.

Работа с шаблонами ML-моделей

Этот раздел содержит информацию о работе с шаблонами ML-моделей.

Вы можете создать шаблон существующей ML-модели для многократного переиспользования ее структуры алгоритма, набора элементов и состояния обучения в момент создания шаблона. Вы можете использовать созданный шаблон для добавления новых ML-моделей.

Если исходная ML-модель, по которой был создан шаблон, была создана вручную, то вы можете добавлять в ML-модель, созданную по такому шаблону, нейросетевые элементы и/или элементы на основе диагностических правил, изменять и удалять их.

Если исходная ML-модель, по которой был создан шаблон, была импортирована в Kaspersky MLAD, то вы не можете изменять состав элементов ML-модели, созданной по такому шаблону.

Перед инференсом ML-модели требуется обучить все ее нейросетевые элементы. Вы также можете запустить инференс ML-модели, если она была опубликована.

Создание шаблона по ML-модели

Создание шаблонов по ML-моделям доступно системным администраторами пользователям с правом Создание шаблонов моделей из группы прав Управление ML-моделями.

Вы можете создать шаблон ML-модели на основе ранее добавленной ML-модели. В созданных шаблонах будет сохранена структура алгоритма, набор элементов, состав тегов и состояние обучения исходной ML-модели.

Вы можете создать шаблон по ранее добавленной ML-модели, если в составе этой ML-модели есть нейросетевой элемент, для которого заданы входные и выходные теги, и/или элемент на основе диагностического правила, для которого сформированы условия правила.

Чтобы создать шаблон по ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с названием ML-модели, по которой вы хотите создать шаблон, откройте вертикальное меню и выберите пункт Создать шаблон.

   Справа отобразится список параметров.

3. В поле Название укажите имя шаблона.

   Вы можете ввести не более 100 символов.

   По умолчанию шаблону присваивается название в формате Шаблон_<название ML-модели>_<дата и время создания шаблона>.

4. Если требуется изменить имена тегов шаблона, в столбце Имя тега шаблона укажите новые имена для нужных тегов.

   Если теги, используемые в ML-модели, по которой вы создаете шаблон, были загружены или созданы в разделе Активы в меню администратора, их имена автоматически присваиваются тегам шаблона. Если тег, используемый в ML-модели, не обнаружен в Kaspersky MLAD, этому тегу присваивается имя по умолчанию в формате Tag <ID тега модели>.

   Вы можете указать имя тега шаблона, отличное от имен тегов в разделе Активы в меню администратора. Сопоставление тегов шаблона и тегов в разделе Активы происходит по идентификаторам тегов ML-модели, которые вы можете указать при создании ML-модели по шаблону.

5. Нажмите на кнопку Сохранить.

Новый шаблон ML-модели отобразится в группе Шаблоны дерева активов. Группа Шаблоны создается автоматически и отображается в составе выбранного раздела дерева активов.

Изменение шаблона ML-модели

Вы можете изменить параметры созданного шаблона ML-модели.

Изменение шаблона ML-модели доступно системным администраторам и пользователям с правом Изменение шаблонов моделей из группы прав Управление ML-моделями.

Чтобы изменить шаблон ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите шаблон, который вы хотите изменить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на кнопку Изменить.
4. В поле Название укажите новое имя шаблона.

   Вы можете ввести не более 100 символов.

   По умолчанию шаблону присваивается название в формате Шаблон_<название ML-модели>_<дата и время создания шаблона>.

5. Если требуется изменить имена тегов шаблона, в столбце Имя тега шаблона укажите новые имена для нужных тегов.

   Вы можете указать имя тега шаблона, отличное от имен тегов в разделе Активы в меню администратора. Сопоставление тегов шаблона и тегов в разделе Активы происходит по идентификаторам тегов ML-модели, которые вы можете указать при создании ML-модели по шаблону.

6. Нажмите на кнопку Сохранить.

Создание ML-модели по шаблону

Создание ML-моделей по шаблонам доступно системным администраторами пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Вы можете создать новую ML-модель на основе доступных шаблонов. При создании ML-модели вы можете указать идентификаторы тегов, которые требуется использовать в новой ML-модели.

Чтобы создать ML-модель по шаблону:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с названием шаблона, по которому вы хотите создать ML-модель, откройте вертикальное меню и выберите пункт Создать модель.

   Справа откроется панель Создание модели.

3. В поле Имя модели укажите имя новой ML-модели.

   Вы можете указать имя ML-модели длиной не более 100 символов.

4. В столбце Имя тега модели выберите имена тегов для каждого тега ML-модели, которые будут использоваться создаваемой ML-моделью.

   Сопоставление тегов шаблона и тегов в разделе Активы в меню администратора происходит по именам тегов ML-модели.

5. Нажмите на кнопку Сохранить.

Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Группа Модели содержит подгруппы Нейронные сети и Правила для хранения элементов ML-модели на основе нейронных сетей и диагностических правил.

Состояние созданной ML-модели будет соответствовать состоянию обучения исходной ML-модели в момент создания ее шаблона.

Удаление шаблона ML-модели

Удаление шаблонов ML-моделей доступно системным администраторами пользователям с правом Удаление шаблонов моделей из группы прав Управление ML-моделями.

Вы можете удалить шаблон ML-модели из Kaspersky MLAD. Удаление шаблона не приводит к удалению ML-моделей, созданных на основе этого шаблона.

Чтобы удалить шаблон ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите шаблон ML-модели, который требуется удалить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на значок корзины ().
4. Подтвердите удаление шаблона ML-модели.

Выбранный шаблон ML-модели будет удален из Kaspersky MLAD.

Изменение параметров ML-модели

Вы можете изменить параметры ML-модели, созданной вручную, импортированной в Kaspersky MLAD, созданной по шаблону, а также скопированной ML-модели.

Изменение параметров ML-моделей доступно системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы изменить параметры ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, параметры которой требуется изменить

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на кнопку Изменить.
4. В поле Название укажите название ML-модели.

   Вы можете указать название ML-модели длиной не более 100 символов.

5. В поле Описание укажите описание ML-модели.
6. Если ML-модель не была импортирована в программу или создана на основе импортированной ML-модели, в блоке параметров Индикатор инференса выберите разметки для проведения инференса.
7. Если требуется просмотреть, какие данные отобраны разметками, нажмите на кнопку На графике.

   Разметки отобразятся в цветах, выбранных при их создании.

8. В правом верхнем углу окна нажмите на кнопку Сохранить.

Обучение нейросетевого элемента ML-модели

Kaspersky MLAD позволяет выполнить обучение нейросетевого элемента для ML-модели, созданной вручную, загруженной в Kaspersky MLAD, созданной по шаблону, а также для скопированной ML-модели.

Обучение элементов ML-моделей доступно системным администраторам и пользователям с правом Обучение моделей из группы прав Управление ML-моделями.

Чтобы обучить элемент ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите нейросетевой элемент, который вы хотите обучить.

   Справа отобразится список параметров.

3. Откройте вкладку Обучение и нажмите на кнопку Изменить в правом верхнем углу окна.
4. В поле Интервал отбора данных укажите интервал времени данных, на которых требуется обучить ML-модель.
5. Если требуется применить разметки для отбора данных для обучения ML-модели в рамках выбранного интервала, в поле Разметки выберите одну или несколько разметок.

   Выбранные разметки сформируют индикатор обучения.

6. Если требуется просмотреть, какие данные будут отобраны разметками, нажмите на кнопку На графике.

   Разметки отобразятся в указанных при создании цветах.

7. Если требуется, включите параметр Расширенные параметры обучения и выполните следующие действия:
   1. В поле Максимальная продолжительность обучения (сек.) укажите максимально время, которое сервер Kaspersky MLAD может затратить на обучение ML-модели в секундах.
   2. В поле Размер валидационной выборки укажите в виде десятичной дроби долю валидационной выборки относительно всего набора данных для обучения ML-модели.

      Вы можете указать значение в диапазоне от 0 до 1.

      По умолчанию этот параметр имеет значение 0.2.

   3. В поле Максимальное количество эпох укажите максимальное количество эпох для обучения ML-модели.

      По умолчанию этот параметр имеет значение 500.

   4. В поле Количество эпох для ранней остановки обучения укажите количество эпох, в течение которых качество обучения не улучшается для ранней остановки обучения ML-модели.

      Ранняя остановка обучения ML-модели применяется для избежания переобучения модели. При этом обучение ML-модели считается успешно завершившимся.

      По умолчанию этот параметр имеет значение 15.

   5. В поле Разрешение графиков результатов обучения укажите в виде десятичной дроби разрешение графиков для отображения результатов обучения на вкладке Результаты обучения.

      Вы можете указать значение в диапазоне от 0 до 1.

   6. В поле Размер батча укажите количество элементов выборки, которое требуется передать на обучение в рамках итерации.

      По умолчанию этот параметр имеет значение 16.

   7. В поле Количество блоков укажите количество блоков, на которое требуется разбить набор данных для обучения ML-модели.

      По умолчанию этот параметр имеет значение 4.

   8. В раскрывающемся списке Режим инференса выберите одно из следующих значений:
      • Если требуется загрузить все батчи в оперативную память, выберите Быстрый инференс.

        Этот режим инференса позволяет выполнить инференс быстрее.

      • Если требуется загружать в оперативную память по одному батчу данных, выберите Экономия памяти.

        Этот режим инференса позволяет выполнить инференс с минимальными затратами оперативной памяти, но медленнее, чем в режиме Быстрый инференс.

      Выбранный режим инференса применяется только в процессе обучения нейросетевого элемента ML-модели.

   9. В раскрывающемся списке Режим обучения выберите одно из следующих значений:
      • Если требуется загрузить весь набор данных для обучения модели в оперативную память, выберите Загрузить весь датасет в оперативную память.
      • Если требуется загружать в оперативную память по одному блоку данных и сформировать валидационные блоки из конца набора данных, выберите Сформировать валидационные блоки из конца датасета.
      • Если требуется загружать в оперативную память по одному блоку данных без формирования валидационных блоков, выберите Проводить валидацию в каждом блоке обучающих данных.

        Валидационные данные формируются из каждого обучающего блока данных.

   10. В раскрывающемся списке Режим распределения памяти выберите один из следующих параметров:
       • Зарезервировать минимальный объем свободной памяти. При выборе этого параметра при обучении ML-модели служба Trainer будет оставлять свободным минимальный объем памяти, указанный в поле Объем памяти, МБ.
       • Зарезервировать максимальный объем памяти на обучение модели. При выборе этого параметра для обучения ML-модели служба Trainer будет использовать максимальный объем оперативной памяти, указанный в поле Объем памяти, МБ.
   11. Если требуется учесть результаты предыдущего обучения при обучении ML-модели на новых данных, включите параметр Инициализировать веса модели значениями из результатов предыдущего обучения.
   12. Если требуется перемешать данные для улучшения качества обучения ML-модели, включите параметр Перемешать данные.
8. В правом верхнем углу окна нажмите на кнопку Сохранить.
9. В информационном блоке, расположенном над параметрами обучения, нажмите на кнопку Обучить элемент.

В информационном блоке будет отображаться номер текущей эпохи обучения элемента ML-модели. После завершения обучения вы можете просмотреть результаты обучения элемента ML-модели на вкладке Результаты обучения.

После обучения всех нейросетевых элементов в составе ML-модели ей будет присвоен статус Обучена. Если требуется, вы можете повторно обучить элемент ML-модели, нажав на кнопку Перезапустить обучение.

Просмотр результатов обучения элемента ML-модели

Вы можете просмотреть результаты обучения нейросетевых элементов ML-модели.

Просмотр результатов обучения элементов ML-моделей доступно системным администраторам и пользователям с правом Обучение моделей из группы прав Управление ML-моделями.

Чтобы просмотреть результаты обучения элемента ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите элемент ML-модели, результат обучения которого вы хотите просмотреть.

   Справа отобразится панель с параметрами выбранного элемента.

3. Выберите вкладку Результаты обучения.

В случае успешного обучения элемента ML-модели на вкладке Результаты обучения отображаются следующие сведения о результатах обучения:

• Сообщение об успешном завершении обучения элемента ML-модели.

  Если требуется просмотреть параметры обучения элемента, указанные при его создании, нажмите на ссылку Параметры обучения.

• Пользователь – имя пользователя, который запустил обучение элемента ML-модели.
• Общий интервал времени – время, которое было потрачено сервером Kaspersky MLAD на обучение элемента ML-модели.
• Начало обучения – дата и время начала обучения элемента ML-модели службой Trainer.
• Окончание обучения – дата и время окончания обучения элемента ML-модели. Веса элемента ML-модели обновлены службой Trainer.
• Продолжительность интервалов – суммарная продолжительность интервалов времени данных с учетом разметок в обучающей выборке.
• Число узлов РИВС – количество узлов РИВС, входящих в обучающую выборку.
• Ошибки обучения и валидации – график, отображающий ошибки обучения и валидации в зависимости от эпохи обучения.
• Прогноз обученной модели – графики, отображающие прогнозы обученной модели для выходных тегов и общую ошибку предсказаний.

Подготовка ML-модели к публикации

После обучения ML-модели вы можете подготовить ее к публикации. ML-модель, подготовленная к публикации, будет недоступна для изменения.

Подготовка ML-модели к публикации доступно системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы подготовить ML-модель к публикации:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, которую вы хотите подготовить к публикации.

   Справа отобразится список параметров.

3. Нажмите на кнопку Подготовить к публикации.

ML-модели будет присвоен статус Готова к публикации. Сообщите сотруднику, ответственному за публикацию ML-моделей, о ее готовности, или, если у вас есть необходимые права, опубликуйте ML-модель.

Если требуется внести изменения в ML-модель перед ее публикацией, нажмите на кнопку Вернуться в режим правки. ML-модели будет возвращен статус Обучена.

Публикация ML-модели

Вы можете опубликовать ML-модель для регистрации инцидентов на рабочих данных от объекта мониторинга.

Публикация ML-моделей доступна системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы опубликовать ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, которую вы хотите опубликовать.

   Справа отобразится список параметров.

3. Нажмите на кнопку Опубликовать.

ML-модели будет присвоен статус Опубликована.

После запуска инференса ML-модель будет регистрировать инциденты.

Запуск и остановка инференса ML-модели

Вы можете запускать и останавливать инференс ML-модели со статусами Обучена или Опубликована на исторических или вновь поступающих данных телеметрии.

Чтобы запустить инференс ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, инференс которой вы хотите запустить.

   Справа отобразится список параметров.

3. Выберите вкладку Инференс.
4. В раскрывающемся списке Вид инференса выберите одно из следующих значений:
   • Исторический для запуска инференса ML-модели на исторических данных телеметрии. При выборе этого значения укажите интервал времени данных для работы ML-модели.
   • Потоковый для выполнения инференса ML-модели на данных телеметрии, поступающих в режиме реального времени.
5. Нажмите на кнопку Запустить.

Если был запущен исторический инференс, Kaspersky MLAD добавит ML-модель в очередь на инференс.

Чтобы остановить инференс ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, инференс которой вы хотите остановить.

   Справа отобразится список параметров.

3. Выберите вкладку Инференс.
4. Нажмите на кнопку Остановить.

Kaspersky MLAD остановит инференс для выбранной ML-модели.

Просмотр графа потока данных в ML-модели

Вы можете просматривать граф потока данных в ML-моделях.

Чтобы просмотреть граф потоков данных в ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите нейросетевой элемент, граф потока данных который вы хотите просмотреть.

   Справа отобразится список параметров.

3. Выберите вкладку Граф потока данных.

   Справа отобразится граф потока данных в ML-модели.

4. Если требуется просмотреть параметры ML-модели, наведите на него курсор мыши.

   Отобразится окно, в котором перечислены значения параметров выбранного элемента.

   

   Граф потока данных в ML-модели

Удаление ML-модели

Вы можете удалить одну или несколько ML-моделей из Kaspersky MLAD.

После удаления ML-модели ее артефакты (например, предсказания, индивидуальные ошибки, ошибки предсказаний, индикаторы выполнения правила), а также инциденты, зарегистрированные ML-моделью, будут удалены.

Удаление ML-моделей доступно системным администраторами пользователям с правом Удаление моделей из группы прав Управление ML-моделями.

Чтобы удалить ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, которую требуется удалить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на значок корзины ().
4. Подтвердите удаление ML-модели.

Выбранная ML-модель будет удалена из Kaspersky MLAD.

Управление пресетами

Пресет – это набор тегов, сформированный пользователем в произвольном порядке или созданный автоматически при регистрации инцидента. Набор тегов в составе пользовательского пресета может соответствовать определенному аспекту технологического процесса или участку объекта мониторинга.

В разделе Пресеты в левой части окна расположен список доступных пользовательских пресетов, в правой части окна расположен список тегов, которые входят в состав выбранного в списке пресета.

Для просмотра получаемых данных на графиках в разделах История и Мониторинг вы можете загрузить конфигурацию пресетов в Kaspersky MLAD из JSON-файла. В рамках работ по внедрению Kaspersky MLAD может быть создана общая для всех пользователей конфигурация пресетов.

В разделе Пресеты вы также можете:

• Создавать необходимые пресеты, которые включают в себя теги, соответствующие агрегатам установки объекта мониторинга. Созданные вами пресеты будут отображаться только для вашей учетной записи.
• Изменять пресеты (добавлять, группировать или удалять теги).
• Удалять пресеты.
• Экспортировать пресеты в JSON-файл.

Вы также можете задать выражения с простыми арифметическими действиями (например, сложение, вычитание, умножение и деление) для расчета производных значений тегов.

Раздел Пресеты

Просмотр пресета

Вы можете просматривать пресеты, созданные или загруженные вами ранее в Kaspersky MLAD для вашего объекта мониторинга.

Чтобы просмотреть пресет:

1. В основном меню выберите раздел Пресеты.

   В левой части рабочей области отобразится список пресетов.

2. Нажмите на нужный пресет.

   В таблице справа отобразится список тегов, входящих в выбранный пресет. Для каждого тега в составе пресета представлена следующая информация:

   • ID – идентификатор тега.
   • Имя тега – название тега.
   • Размерность – единица измерения для тега.
   • Пороги блокировки – пороги блокировки, при достижении которых регистрируются инциденты, если включен детектор Limit Detector.
   • Описание – описание тега.

Если требуется, вы можете изменить пресет или создать новый пресет.

Создание нового пресета

В Kaspersky MLAD вы можете создавать новые пресеты.

При создании пресета вы можете указать выражение, по которому требуется рассчитывать значения тегов в составе пресета для отображения этих значений на графике в разделе Временной срез. Например, с помощью заданных выражений вы можете просмотреть персональные ошибки тегов, прогнозируемые значения тегов, а также значения тегов, полученные от датчиков объекта мониторинга, в один и тот же момент времени. Вы можете использовать следующие переменные в выражениях:

• $tagValue – полученное значение тега (по результатам наблюдения);
• $tagError – персональная ошибка тега;
• $tagPrediction – прогнозируемое значения тега;
• $tagX – значение координаты расположения датчика объекта мониторинга по оси абсцисс, заданного при создании тега;
• $tagY – значение координаты расположения датчика объекта мониторинга по оси ординат, заданного при создании тега;
• $tagZ – значение координаты расположения датчика объекта мониторинга по оси аппликат, заданного при создании тега.

Чтобы создать новый пресет:

1. В основном меню выберите раздел Пресеты и нажмите на кнопку Создать.

   Откроется окно Создание пресета.

2. В поле Имя пресета укажите имя пресета.
3. Если требуется, нажмите на кнопку Выбрать значок и в открывшемся окне выберите значок для пресета.

   По умолчанию пресету присваивается значок солнца ().

   Вы можете загрузить значок для пресета, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

   Если требуется удалить значок пресета, нажмите на значок пресета и в открывшемся окне нажмите на кнопку Удалить.

4. Если требуется добавить выражение, по которому рассчитываются значения тегов для их отображения на графике в разделе Временной срез, выполните следующие действия:
   1. Включите переключатель Настроить выражения для раздела Временной срез.
   2. В поле Подпись оси X укажите подпись, которая отображается по оси абсцисс.
   3. Нажмите на кнопку Добавить выражение и в раскрывшемся блоке укажите следующие значения:
      • В поле Имя выражения введите имя выражения.
      • В поле Подпись оси Y введите подпись, которая отображается по оси ординат.
      • В поле Выражение для расчета введите выражение, по которому рассчитываются значения тегов.

        Вы можете задать выражения с простыми арифметическими действиями (например, сложение, вычитание, умножение и деление). Например, если с датчиков поступают значения температуры по Фаренгейту, для отображения на графике значений температуры по Цельсию вы можете указать следующее выражение:

        5/9 * ($tagValue - 32)

        Если требуется, вы можете добавить несколько выражений для раздела Временной срез.

      • В поле Цвет графика выберите цвет графика, который будет отображаться для пресета в разделе Временной срез.
   4. Если требуется удалить выражение в пресете для раздела Временной срез, нажмите на значок корзины () в правом нижнем углу блока выражения.
5. Если требуется добавить теги, которые входят в состав другого пресета, выберите этот пресет в раскрывающемся списке Копировать теги из выбранного пресета.
6. Добавьте в пресет теги, установив флажки около нужных тегов в дереве активов ниже. Вы можете воспользоваться поиском, указав имя тега в поле Поиск по имени тега.
7. Если требуется удалить теги из пресета, в дереве активов снимите флажки около тех тегов, которые требуется удалить.
8. Нажмите на кнопку Сохранить.

Новый пресет отобразится в разделе Пресеты в списке пресетов слева и в раскрывающемся списке пресетов в разделах История и Мониторинг. Пресет, для которого выполнен пункт 4 этой инструкции, также отобразится в раскрывающемся списке пресетов в разделе Временной срез.

Если требуется, вы можете изменить расположение пресетов в списке пресетов. Для этого нужно перетащить пресет вверх или вниз списка, удерживая за точки слева () от его значка.

Изменение пресета

Вы можете изменять созданные или загруженные вами ранее пресеты.

Чтобы изменить пресет:

1. В основном меню выберите раздел Пресеты.
2. На открывшейся странице в списке пресетов слева выберите нужный пресет.

   В таблице справа отобразятся все теги, входящие в выбранный пресет.

   Если требуется, измените расположение тегов в таблице. Для этого нужно перетащить нужный тег вверх или вниз в дереве активов, удерживая за точки слева () от его значка.

3. Нажмите на кнопку Изменить пресет () рядом с выбранным пресетом.

   Откроется окно Изменение пресета.

4. Если требуется, в поле Имя пресета введите новое имя пресета.

   Вы также можете изменить имя пресета в списке пресетов. Для этого дважды нажмите на имя пресета, в открывшемся поле введите новое имя пресета и нажмите на клавишу ENTER.

5. Если требуется изменить значок пресета, нажмите на кнопку Выбрать значок, и в открывшемся окне выберите значок.

   Вы можете загрузить значок для пресета, нажав на кнопку Загрузить значок. Изображения любого формата, размер которых превышает 128 х 128 пикселей, будут уменьшены до указанного размера с сохранением соотношения сторон. Размер загружаемого изображения в формате SVG не должен превышать 200 КБ.

   Если требуется удалить значок пресета, нажмите на значок пресета и в открывшемся окне нажмите на кнопку Удалить.

6. Если требуется добавить выражение, по которому рассчитываются значения тегов для их отображения на графике в разделе Временной срез выполните следующие действия:
   1. Включите переключатель Настроить выражения для раздела Временной срез.
   2. В поле Подпись оси X укажите подпись, которая отображается по оси абсцисс.
   3. Нажмите на кнопку Добавить выражение и в раскрывшемся блоке укажите следующие значения:
      • В поле Имя выражения введите имя выражения.
      • В поле Подпись оси Y введите подпись, которая отображается по оси ординат.
      • В поле Выражение для расчета введите выражение, по которому рассчитываются значения тегов.

        Вы можете задать выражения с простыми арифметическими действиями (например, сложение, вычитание, умножение и деление). Например, если с датчиков поступают значения температуры по Фаренгейту, для отображения на графике значений температуры по Цельсию вы можете указать следующее выражение:

        5/9 * ($tagValue - 32)

        Если требуется, вы можете добавить несколько выражений для раздела Временной срез.

      • В поле Цвет графика выберите цвет графика, который будет отображаться для пресета в разделе Временной срез.
   4. Для удаления выражения в пресете для раздела Временной срез нажмите на значок корзины () в правом нижнем углу блока выражения.
7. Если требуется, добавьте в пресет теги, установив флажки около нужных тегов в списке тегов ниже. Вы можете воспользоваться поиском, указав имя тега в поле Поиск по имени тега.
8. Если требуется, снимите флажки рядом с названиями тех тегов, которые нужно удалить из пресета.
9. Нажмите на кнопку Сохранить.

Измененный пресет обновится в списке пресетов в разделе Пресеты и в раскрывающемся списке пресетов в разделах История и Мониторинг. Измененный пресет, для которого выполнен пункт 6 этой инструкции, также отобразится в раскрывающемся списке пресетов в разделе Временной срез.

Если требуется, вы можете изменить расположение пресетов в списке пресетов. Для этого нужно перетащить пресет вверх или вниз списка, удерживая за точки слева () от его значка.

Удаление пресета

Вы можете удалять созданные или загруженные вами ранее пресеты.

Чтобы удалить пресет:

1. В основном меню выберите раздел Пресеты.
2. На открывшейся странице в списке пресетов слева выберите нужный пресет.
3. Нажмите на кнопку Удалить пресет () рядом с выбранным пресетом.
4. В открывшемся окне Удаление пресета нажмите на кнопку Да, чтобы подтвердить удаление пресета.

Пресет будет удален из списка пресетов.

Загрузка конфигурации пресетов из файла

Вы можете загрузить конфигурацию пресетов в Kaspersky MLAD из файла формата JSON.

Чтобы загрузить конфигурацию пресетов в Kaspersky MLAD:

1. В основном меню выберите раздел Пресеты.
2. В верхней части открывшейся страницы нажмите на кнопку Импорт.
3. Выберите файл формата JSON с конфигурацией пресетов на локальном диске.

Выбранный файл будет загружен в Kaspersky MLAD, новые пресеты отобразятся в списке пресетов.

Сохранение конфигурации пресетов в файл

Вы можете сохранить в файл формата JSON созданные и загруженные вами ранее в Kaspersky MLAD пресеты.

Чтобы сохранить в файл созданные и загруженные вами ранее в Kaspersky MLAD пресеты:

1. В основном меню выберите раздел Пресеты.
2. В верхней части открывшейся страницы нажмите на кнопку Экспорт.

Созданные и загруженные вами ранее в Kaspersky MLAD пресеты будут сохранены на локальном диске в файл формата JSON.

Управление службами

В разделе Службы отображается таблица, содержащая информацию о службах и их статусах. В веб-интерфейсе Kaspersky MLAD службы сгруппированы по функционалу, и для каждой службы отображается следующая информация:

• Название – название службы.
• Статус – текущий статус службы (Запущена, Остановлена, Запускается, Недоступна).
• Действия – доступные действия (запустить, остановить, перезапустить).

  

  Раздел Службы

Просмотр статуса службы

Вы можете просмотреть статус службы, чтобы убедиться, что служба успешно запущена или остановлена.

Просмотр статуса службы доступен системным администраторам и пользователям с правом Просмотр статусов служб программы из группы прав Работа со службами программы.

Kaspersky MLAD проверяет статусы служб каждые 30 секунд.

Чтобы просмотреть статус службы,

в основном меню выберите раздел Службы.

Откроется раздел Службы, в котором отображается таблица, содержащая перечисление всех доступных служб, их статусов, а также возможных действий (запуск, остановка и перезапуск).

Запуск, остановка и перезапуск служб

Kaspersky MLAD позволяет запускать, останавливать и перезапускать службы.

Запуск, остановка и перезапуск служб доступно системным администраторам и пользователям с правом Управление статусами служб программы из группы прав Работа со службами программы.

Чтобы запустить, остановить или перезапустить службу:

1. В основном меню выберите раздел Службы.
2. На открывшейся странице выберите один из следующих подразделов: Машинное обучение, Основные, Коннекторы или Другие.
3. Для нужной службы выполните одно из следующих действий:
   • Если вы хотите запустить службу, нажмите на кнопку Запустить службу ().
   • Если вы хотите остановить службу, нажмите на кнопку Остановить службу ().
   • Если вы хотите перезапустить службу, нажмите на кнопку Перезапустить службу ().

   Новый статус службы отобразится в столбце Статус.