Приложения

Этот раздел содержит информацию, которая дополняет основной текст документа.

Параметры конфигурационного файла .env

Изменение параметров конфигурационного файла выполняет только квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Конфигурационный файл .env заполняется для настройки коннектора CEF Connector и содержит параметры, приведенные в таблице ниже.

Параметры конфигурационного файла .env

Для применения изменений, внесенных в конфигурационный файл, требуется перезапустить Kaspersky MLAD.

Параметры и пример Excel-файла, содержащего конфигурацию активов и тегов

Конфигурационный файл создается квалифицированным техническим специалистом Заказчика, сотрудником "Лаборатории Касперского" или сертифицированным интегратором. Системный администратор загружает конфигурацию активов и тегов в иерархической структуры в разделе Активы в меню администратора.

Конфигурационный файл содержит следующие вкладки:

• readme – вкладка, содержащая общую информацию о конфигурационном файле.
• directory_types – вкладка, описывающая типы активов иерархической структуры с помощью следующих параметров:
  • directory_type_id – идентификатор типа актива. Идентификатор присваивается автоматически при экспорте дерева активов.
  • directory_type – уникальное имя типа актива.
  • parameter<номер параметра>_label – имена специальных параметров, где <номер параметра> соответствует значению из диапазона от 1 до 5. Если у актива заданного типа отсутствует какой-либо специальный параметр, оставьте соответствующее поле в конфигурационном файле пустым.
  • description – описание типа актива. Поле не обязательно для заполнения.
• directories – вкладка, описывающая активы иерархической структуры с помощью следующих параметров:
  • directory_id – идентификатор актива. Идентификатор присваивается автоматически при экспорте дерева активов.
  • directory_type – тип актива. Тип выбирается из типов активов, заданных на вкладке directory_types.
  • directory_type row – номер строки на вкладке directory_types, на которой описан выбранный тип актива. Поле заполняется автоматически.
  • directory_name – уникальное имя актива в рамках его родительского актива.
  • directory_info – описание актива. Поле не обязательно для заполнения.
  • parent – родительский актив. Если импортируемый актив находится на верхнем уровне иерархии активов, оставьте поле parent пустым.
  • parent row – номер строки, на которой описана выбранный родительский актив. Поле заполняется автоматически.
  • parent_id – идентификатор родительского актива. Идентификатор присваивается автоматически при экспорте дерева активов.
  • parameter<номер параметра> – имена специальных параметров, где <номер параметра> соответствует значению из диапазона от 1 до 5. Имена специальных параметров заполняются автоматически, если для выбранного типа актива определены специальные параметры.
  • value<номер параметра> – значения специальных параметров, где <номер параметра> соответствует значению из диапазона от 1 до 5. Если у актива отсутствует специальный параметр, оставьте поле для ввода соответствующего значения пустым.
• tags – вкладка, описывающая теги иерархической структуры с помощью следующих параметров:
  • tag_id – идентификатор тега. Идентификатор присваивается автоматически при экспорте первичных элементов иерархической структуры.
  • tag_name – уникальное имя тега.
  • alternate_name – уникальное альтернативное имя тега. Поле не обязательно для заполнения.
  • tag_description – описание тега.
  • parent – родительский актив, к которому относится тег. Если для импортируемого тега родительским элементом является головной элемент иерархической структуры, оставьте поле parent пустым.
  • parent_row – номер строки на вкладке directories, на которой описан выбранный родительский актив. Поле заполняется автоматически.
  • parent_id – идентификатор родительского актива. Идентификатор присваивается автоматически при экспорте дерева активов.
  • tag_type – тип тега. Поле не обязательно для заполнения.
    • PV – для обозначения измерений или наблюдаемых значений физических параметров.
    • CV – для обозначения вычисляемых значений физических параметров.
    • IV – для обозначения тегов, не зависящих от других тегов.
    • SV – для обозначения уставки.
    • MV – для обозначения регулируемых значений физических параметров.
    • B – для обозначения тегов в битовом формате.
    • X – для обозначения наблюдений, не являющимися тегами.

    Если вы затрудняетесь определить тип тега, вы можете использовать вопросительный знак (?) в качестве типа тега.

  • tag_units – единица измерения тега.
  • red_min – нижний порог блокировки, при достижении которого требуется принять экстренные меры реагирования на АСУ ТП. Поле не обязательно для заполнения.
  • red_max – верхний порог блокировки, при достижении которого требуется принять экстренные меры реагирования на АСУ ТП. Поле не обязательно для заполнения.
  • yellow_min – нижний порог сигнализации, при достижении которого оператору следует обратить внимание на поведение тега. Поле не обязательно для заполнения.
  • yellow_max – верхний порог сигнализации, при достижении которого оператору следует обратить внимание на поведение тега. Поле не обязательно для заполнения.
  • validity_min – нижний порог физически возможных значений тега. Поле не обязательно для заполнения.
  • validity_max – верхний порог физически возможных значений тега. Поле не обязательно для заполнения.
  • display_min – нижняя граница отображения значений тега на графиках. Поле не обязательно для заполнения.
  • display_max – верхняя граница отображения значений тега на графиках. Поле не обязательно для заполнения.
  • scale – выражение, по которому требуется рассчитать значение тега из значения, переданного в Kaspersky MLAD. Вместо выражения вы можете указать конкретное число, на которое требуется умножить значение передаваемого тега. Если перерасчет значения тега не требуется, оставьте поле пустым.
  • comment – комментарий к тегу.
  • x – координата расположения датчика объекта мониторинга по оси абсцисс. Поле не обязательно для заполнения.
  • y – координата расположения датчика объекта мониторинга по оси ординат. Поле не обязательно для заполнения.
  • z – координата расположения датчика объекта мониторинга по оси аппликат. Поле не обязательно для заполнения.

Ниже приведен пример файла в формате XLSX, который содержит описания активов и тегов и их конфигурацию.

Вкладка directory_types

Вкладка directories

Вкладка tags

Пример JSON-файла, содержащего конфигурацию пресетов

Ниже приведен пример файла в формате JSON, который содержит описания пресетов.

Конфигурационный файл создается только квалифицированным сотрудником "Лаборатории Касперского". Конфигурация пресетов загружается пользователем в разделе Пресеты.

Пример JSON-файла, содержащего конфигурацию параметров для службы Event Processor

Ниже приведен пример файла в формате JSON, который содержит конфигурацию параметров для службы Event Processor. Файл содержит описание параметров событий для процессора событий.

Конфигурационный файл создается только сотрудником "Лаборатории Касперского". Системный администратор загружает конфигурационный файл процессора событий при настройке параметров службы Event Processor.

Просмотр журнала логирования Kaspersky MLAD

В Kaspersky MLAD используется система логирования Grafana для отслеживания состояния служб программы, а также для отслеживания событий информационной безопасности.

Отслеживание событий информационной безопасности Kaspersky MLAD в подсистеме логирования

В таблице ниже приведены типы событий ИБ, которые отслеживаются в Kaspersky MLAD.

Типы событий информационной безопасности

Каждая запись о событии ИБ содержит следующие параметры:

• event_id – идентификатор события ИБ.
• timestamp – дата и время события ИБ.
• event_type – идентификатор типа события ИБ.
• sub_type – уточнение типа события ИБ.
• severity – важность события ИБ. В Kaspersky MLAD предусмотрены следующие уровни важности событий ИБ:
  • 1 – низкий.

    К этим событиям ИБ относятся записи о предоставлении доступа пользователям на выполнение какого-либо действия в веб-интерфейсе и об успешном выполнении каких-либо действий пользователей.

  • 5 – средний.

    К этим событиям ИБ относятся записи о действиях пользователей в веб-интерфейсе по управлению ML-моделями, тегами, учетными записями и паролями, а также записи о достижении заданных порогов по времени и объему хранения логов событий ИБ.

  • 8 – высокий.

    К этим событиям ИБ относятся записи об указании пользователями неправильных логина и/или пароля при подключении к веб-интерфейсу программы, а также записи о неуспешных попытках смены пароля.

  • 10 – высший.

    К этим событиям ИБ относятся записи о попытках подключения к веб-интерфейсу программы с помощью системной или заблокированной учетной записи, а также записи о попытках выполнения каких-либо действий в программе при отсутствии соответствующих прав доступа.

• username – имя пользователя, действия которого привели к записи события ИБ.
• ip_address – IP-адрес компьютера, с которого пользователем было произведено действие, записанное в логи событий ИБ.
• outcome – результат события ИБ. Результат OK соответствует успешному выполнению операции пользователем. Результат FAIL соответствует отказу в выполнении операции пользователем.
• msg – краткое содержание события ИБ.
• info – подробное описание события ИБ.

Отслеживание состояния служб Kaspersky MLAD в подсистеме логирования

Для обозначения служб Kaspersky MLAD, состояние которых отслеживается в подсистеме логирования, используются наименования соответствующих им контейнеров или образов в Docker. В качестве имени образа в большинстве случаев используется сокращенное название службы. Имя контейнера формируется по следующему шаблону:

<директория программы>-<название образа>-#,

где: # – номер контейнера Docker.

По умолчанию Kaspersky MLAD использует директорию mlad-release-4.0.2-<номер установочной сборки>.

В журнале логирования Kaspersky MLAD записи о состоянии служб программы хранятся только за последние 48 часов.

Ниже приведена таблица соответствия служб Kaspersky MLAD и имен образов и контейнеров Docker.

Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker

Для служб Time Series Database, Message Broker, Logger, Database, Web Server, а также образов webstatic и migrations используется уровень логирования Инфо. Уровни логирования для остальных служб Kaspersky MLAD задаются системным администратором при настройке параметров программы.

Сценарий: просмотр логов событий информационной безопасности

Перед началом работы с подсистемой логирования рекомендуется ознакомиться с руководством пользователя системы Grafana.

Объем и время хранения записей событий ИБ задаются при настройке параметров безопасности.

Запись логов событий информационной безопасности в базу данных Kaspersky MLAD ведется автоматически. Если требуется, системный администратор может указать параметры внешней системы, в которую требуется отправлять логи событий ИБ.

Сценарий просмотра логов событий информационной безопасности состоит из следующих этапов:

1. Переход в подсистему логирования

   Перейдите в систему логирования нажатием на кнопку . Откроется интерфейс Grafana, в котором требуется указать логин и пароль пользователя Kaspersky MLAD.

   Доступно только системным администраторам и пользователям с правом Работа с логами программы.

2. Переход в раздел с логами событий информационной безопасности

   Перейдите в раздел Security audit.

3. Анализ логов событий информационной безопасности

   Проанализируйте записи логов событий ИБ за выбранный период. Вы можете выполнить фильтрацию по параметрам логов событий ИБ. Для этого в столбце с нужным параметром логов нажмите на значок фильтрации (), установите флажки около нужных критериев фильтрации и нажмите на кнопку Ok. Для сброса критериев фильтрации снимите нужные флажки и нажмите на кнопку Ok.

4. Экспорт логов событий информационной безопасности

   Для выгрузки в текстовый файл логов событий ИБ за выбранный период, в разделе Security audit в раскрывающемся списке Security audit над таблицей логов событий ИБ выберите Inspect → Data и в открывшейся панели нажмите на кнопку Download CSV.

Сценарий: оценка основных метрик Kaspersky MLAD

Перед началом работы с подсистемой логирования рекомендуется ознакомиться с руководством пользователя системы Grafana.

При первом подключении к подсистеме логирования требуется изменить пароль, установленный по умолчанию.

В этом подразделе приводится последовательность действий, которые требуется выполнить для оценки работоспособности и общего состояния Kaspersky MLAD.

Сценарий оценки работоспособности и общего состояния Kaspersky MLAD состоит из следующих этапов:

1. Переход в подсистему логирования

   Перейдите в систему логирования нажатием на кнопку . Откроется интерфейс Grafana, в котором требуется указать логин и пароль пользователя Kaspersky MLAD.

   Доступно только системным администраторам и пользователям с правом Работа с логами программы.

2. Анализ основных метрик Kaspersky MLAD

   В разделе Summary docker metrics проанализируйте графики основных метрик Kaspersky MLAD за выбранный период.

   Для каждого контейнера служб Kaspersky MLAD отображаются следующие метрики:

   • CPU usage – история загрузки центрального процессора контейнером. Изменяется в процентах.
   • RAM usage – история использования контейнером оперативной памяти. Изменяется в байтах.
   • Disk usage – история нагрузки контейнера на дисковую подсистему (операции записи и чтения). Изменяется в байтах.
   • Network usage – история задействования контейнером сетевых ресурсов. Изменяется в байтах в секунду.

Сценарий: просмотр метрик и логов контейнера

Перед началом работы с подсистемой логирования рекомендуется ознакомиться с руководством пользователя системы Grafana.

В журнале логирования Kaspersky MLAD хранятся записи только за последние 48 часов.

В этом подразделе приводится последовательность действий, которые требуется выполнить для оценки работоспособности и просмотра логов определенного контейнера из комплекта поставки Kaspersky MLAD.

Сценарий оценки работоспособности и просмотра логов определенного контейнера состоит из следующих этапов:

1. Переход в подсистему логирования

   Перейдите в систему логирования нажатием на кнопку . Откроется интерфейс Grafana, в котором требуется указать логин и пароль пользователя Kaspersky MLAD.

   Доступно только системным администраторам и пользователям с правом Работа с логами программы.

2. Переход в раздел с метриками и логами контейнера

   Перейдите в раздел Service detailed monitoring и выберите нужный контейнер из раскрывающегося списка Container.

3. Анализ метрик контейнера

   Проанализируйте графики метрик Kaspersky MLAD для выбранного контейнера за необходимый период, которые отображаются в разделе Service detailed monitoring.

   В разделе Service detailed monitoring представлены следующие метрики:

   • Memory – история использования контейнером оперативной памяти. Изменяется в байтах.
   • CPU – история загрузки центрального процессора контейнером. Изменяется в процентах.
   • File system – история нагрузки контейнера на дисковую подсистему (операции записи и чтения). Изменяется в байтах.
   • Network – история задействования контейнером сетевых ресурсов. Изменяется в байтах в секунду.
4. Анализ логов контейнера

   Проанализируйте записи логов контейнера за выбранный период, которые отображаются под информационной панелью с метриками. Вы можете выполнить поиск по записям логов контейнера. Для этого введите поисковый запрос в поле Log search и нажмите на клавишу ENTER. Для сброса результатов поиска очистите поле Log search и нажмите на клавишу ENTER.

5. Экспорт логов контейнера

   Для выгрузки в текстовый файл логов контейнера за выбранный период, в разделе Service detailed monitoring в раскрывающемся списке Service log выберите Inspect → Data и в открывшейся панели нажмите на кнопку Download CSV.

Специальные символы регулярных выражений

Для поиска событий, паттернов и значений параметров событий в разделе Процессор событий вы можете использовать регулярные выражения. Kaspersky MLAD поддерживает использование следующих специальных символов в регулярных выражений:

• ^ – Соответствует началу значения параметра. Например, ^А означает, что поиск в параметре события будет осуществляться по значениям, начинающимся с символа А.
• $ – Соответствует концу значения параметра. Например, А$ означает, что поиск в параметре события будет осуществляться по значениям, заканчивающимся на символ А.
• . – Соответствует одному любому символу.
• | – Разделяет допустимые варианты символов или совокупности символов в значении параметра. Например, к(о|и)т соответствует как значению параметра кот, так и кит.
• \ – Символ, указывающий на то, что следующий символ является обычным символом в значении параметра, а не специальным. Вы можете использовать символ \ для поиска специальных символов в значении параметра. Например, \. описывает точку в значении параметра, а \\ описывает обратную косую черту.
• [] – Соответствует любому символу из набора допустимых символов. Например, [абв] соответствует появлению одного из трех указанных символов.

  Для поиска по диапазону значений вы можете использовать символ -. Если требуется найти символы, которые не входят в указанный диапазон, вы можете использовать символ ^ внутри квадратных скобок. Например, [^0-9] задает возможность появления любого символа, кроме цифр.

Для указания нужного количества повторений выражения в значениях параметров событий вы можете использовать следующие специальные символы:

• ? – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или один раз.
• * – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или более раз.
• + – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра один или более раз.
• {} – Символьный класс, позволяющий указать нужное количество повторений предшествующего выражения. Вы можете указать количество повторений одним из следующих способов:
  • {n} – Выражение, предшествующее фигурным скобкам, встречает в значении параметра ровно n раз.
  • {m,n} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра от m до n раз включительно.
  • {m,} – Выражение. предшествующее фигурным скобкам, встречается в значении параметра не менее m раз.
  • {,n} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра не более n раз.

Вы также можете использовать скобки () для объединения элементов выражения в группу. Например, (к[ои]т){2} найдет вхождения коткот, киткит, киткот и коткит.

Наборы шифров для защищенного TLS-соединения

Для защищенного TLS-соединения по протоколу TLS-1.2 рекомендуется использовать следующий набор шифров:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256;
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384;
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256;
• TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256;
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384.

Для защищенного TLS-соединения по протоколу TLS-1.3 рекомендуется использовать следующий набор шифров:

• TLS_AES_128_GCM_SHA256;
• TLS_AES_256_GCM_SHA384;
• TLS_CHACHA20_POLY1305_SHA256;
• TLS_AES_128_CCM_SHA256.