Kaspersky Symphony XDR: Open Single Management Platform

AI-сервисы

В этом разделе представлена информация об AI-сервисах, с которыми работает KUMA.

В этом разделе

AI рейтинг и статус активов

Проанализировать с помощью KIRA

В начало
[Topic 294652]

AI рейтинг и статус активов

Сервис AI рейтинг и статус активов доступен для установки при условии, что лицензия содержит модуль AI.

AI-сервис позволяет уточнить критичность корреляционных событий, сгенерированных в результате срабатывания правил корреляции.

AI-сервис получает из доступных кластеров хранения корреляционные события, содержащие непустое поле Affected assets, выстраивает ожидаемую последовательность событий и обучает модель AI. На основании цепочки срабатываний корреляционных правил AI-сервис высчитывает, является ли такая последовательность срабатываний характерной в этой инфраструктуре. Нехарактерные паттерны повышают рейтинг актива.

По результатам расчетов AI-сервиса в карточке активов становится доступным для просмотра Рейтинг AI и Статус. Если лицензию удалить, поля Рейтинг AI и Статус будут скрыты из карточки актива. Если лицензию снова добавить, значения полей Рейтинг AI и Статус снова будут отображаться.

Рейтинг – это число, которое отражает степень нетипичной активности на активе, на которую стоит обратить внимание. Доступные значения поля Статус: Low, Medium, High, Critical. Значение рейтинга может быть от 0 до 1.

Существует 4 диапазона, по которым присваивается значение статуса:

0 <= рейтинг < 0.25 - Low

0.25 <= рейтинг < 0.5 - Medium

0.5 <= рейтинг < 0.75 - High

0.75 <= рейтинг <= 1 - Critical

Вы можете осуществлять поиск активов с помощью фильтра по полям Рейтинг AI и Статус. Также вы можете настроить проактивную категоризацию активов по полям Рейтинг AI и Статус и тогда, как только AI-сервис присвоит активу рейтинг, актив будет перемещен в заданную для такого уровня риска категорию.

Вы можете создать структуру из нескольких категорий и автоматически наполнять их активами в соответствии с вычисленными значениями риска.

В разделе Параметры → Аудит активов вы можете настроить создание событий аудита при добавлении актива в категорию. События аудита могут учитываться в правилах корреляции, а также их можно отслеживать на панели мониторинга и в отчетах.

Чтобы отслеживать изменение категории активов на панели мониторинга, создайте виджет События с запросом следующего вида:

SELECT count(ID) AS `metric`, formatDateTime(toTimeZone(fromUnixTimestamp64Milli(Timestamp), 'Europe/Moscow'), '%d.%m.%Y %H:%m:%S') AS `value` FROM `events`

where DeviceVendor = 'Kaspersky' and DeviceProduct = 'KUMA' and

DeviceEventCategory = 'Audit assets' and DeviceAction= 'asset added to category'

and DeviceCustomString1 = 'Main/Categorized assets/ML/score>0.5'

GROUP BY Timestamp ORDER BY value LIMIT 250

Чтобы отслеживать распределение активов по статусам на панели мониторинга, создайте виджет Активы по уровню важности. Виджет Активы по уровню важности доступен, если лицензия содержит модуль AI. На круговом графике будет отображаться количество активов с группировкой по статусу.

После каждого перезапуска AI-сервиса, AI-сервис заново обучает модель и выполняет переоценку рейтинга активов, указанных в событиях за сегодня.

В директории, указанной в конфигурационном файле, хранятся события, которые AI-сервис получил из кластеров хранения KUMA за указанное количество дней. Например, если в конфигурационном файле указано 12 дней, AI-сервис будет получать события за последние 12 дней. Самые давние события удаляются из директории. В этой же директории будет храниться обученная модель.

Переобучение модели происходит в полночь по UTC. Переоценка рейтинга активов происходит раз в час для всех активов, которые были в событиях за сегодня по UTC.

Журналы сервиса хранятся в /var/log/syslog.

В этом разделе

Установка и удаление сервиса AI рейтинг и статус активов

Параметры настройки сервиса AI рейтинг и статус активов

В начало
[Topic 292782]

Установка и удаление сервиса AI рейтинг и статус активов

Установка сервиса AI рейтинг и статус активов

Чтобы установить сервис:

  1. Распакуйте архив mlservice-installer-0.1.54.XX.tgz, который входит в поставку.

    Архив mlservice-installer-0.1.54.XX.tgz содержит скрипты для установки и удаления сервиса, а также конфигурационный файл config.yaml.

  2. В конфигурационном файле config.yaml в параметре kuma_address укажите FQDN хоста, на котором установлено Ядро KUMA, и порт, по которому Ядро KUMA будет ожидать подключения AI-сервиса.

    В установке в отказоустойчивой конфигурации должен быть указан порт 7226. Для остальных параметров можно оставить значения по умолчанию. После установки сервис запустится с использованием параметров, заданных в файле config.yaml.

  3. Если вы хотите установить сервис на удаленный хост, укажите в inventory.yaml адрес удаленного хоста и убедитесь в наличии сетевого доступа. По умолчанию сервис устанавливается на локальный хост, как указано в inventory.yaml.
  4. Получите сертификат Ядра в веб-интерфейсе KUMA: в меню Administrator нажмите REST API CA сертификат. Сертификат будет скачан в директорию загрузок по умолчанию.
  5. Сохраните файл сертификата Ядра KUMA в директории установщика roles/mlservice/files.
  6. Перейдите в директорию с файлами сервиса и из этой папки выполните команду:

    ./install <путь к inventory.yaml>

  7. Если вы готовы принять условия EULA, нажмите Y. Если вы не примете условия EULA, вы не сможете продолжить установку сервиса. Файл с текстом EULA доступен в директории mlservice-installer\eula.
  8. Установщик генерирует необходимые сертификат и ключ в процессе установки и помещает их в директории, указанные в конфигурационном файле config.yaml. Сертификат необходимо загрузить в KUMA.

    В веб-интерфейсе KUMA в разделе ПараметрыAI-сервисы в окне AI рейтинг и статус активов заполните следующие поля:

    1. В поле URL укажите FQDN хоста, на котором установлено Ядро KUMA, и порт, по которому Ядро KUMA будет ожидать подключения AI-сервиса. Например, <FQDN хоста, на котором установлено Ядро KUMA>:7226. Номер порта должен соответствовать указанному в конфигурационном файле. Убедитесь, что порт не занят другими приложениями.

      Для установки KUMA в отказоустойчивой конфигурации поле URL не отображается в интерфейсе, значение порта берется из переменной окружения KUMA_APPRAISER_AI_API_PORT и порт открывается для всех IP хоста Ядра KUMA.

    2. В поле Сертификат в раскрывающемся списке выберите Создать и в открывшемся окне Создание секрета укажите тип секрета Certificate и загрузите сертификат из директории, указанной в конфигурационном файле config.yaml.
    3. Переведите переключатель Выключено в неактивное положение. По умолчанию переключатель находится в активном положении.
    4. Нажмите Сохранить.

    Сразу после установки сервис будет пытаться в течение 15 минут подключиться к KUMA с интервалом в 1 минуту. Если сертификат не добавлен в веб-интерфейсе KUMA, подключение не будет выполнено и сервис остановится. В таком случае можно добавить сертификат и перезапустить AI-сервис, сервис опять попробует подключиться.

    После сохранения параметров получите журнал сервера Ядра и убедитесь в отсутствии ошибки <номер порта>: bind: address already in use.

AI-сервис установлен.

Удаление сервиса AI рейтинг и статус активов

Чтобы удалить AI-сервис, перейдите в директорию с файлами AI-сервиса и из этой директории выполните команду:

./uninstall <путь к inventory.yaml>

В начало
[Topic 292784]

Параметры настройки сервиса AI рейтинг и статус активов

Доступные параметры настройки AI-сервиса

Параметр

Описание

cert_file_path

Путь к директории, где лежит сгенерированный установщиком сертификат.

Путь по умолчанию:

/opt/kaspersky/mlservice/service.crt

Вы можете указать другой путь. В таком случае следует убедиться, что у пользователя, под которым запускается сервис, есть доступ к указанной директории.

key_file_path

Путь к директории, где лежит сгенерированный установщиком ключ.

Путь по умолчанию:

/opt/kaspersky/mlservice/service.key

Вы можете указать другой путь. В таком случае следует убедиться, что у пользователя, под которым запускается сервис, есть доступ к указанной директории.

kuma_address

FQDN хоста, на котором установлено Ядро KUMA и порт, по которому Ядро KUMA будет ожидать подключения AI-сервиса. Для установки в отказоустойчивой конфигурации следует указать порт 7226.

Пример:

<FQDN хоста, на котором установлено Ядро KUMA>:7226

 

kuma_cert_file_path

Путь к директории, где размещается сертификат Ядра KUMA.

Путь по умолчанию:

/opt/kaspersky/mlservice/core-external-ca.cert

event_storage_path

Путь к директории, где сервис разместит полученные корреляционные события.

Путь по умолчанию:

/var/mlservice/events

model_storage_path

Путь к директории, где сервис разместит обученную модель.

Путь по умолчанию:

/var/mlservice/models

period_for_train_days

Количество дней, за которые нужно получить из доступных кластеров хранения корреляционные события, в которых фигурируют активы, для обучения модели.

Значение по умолчанию: 12 дней.

Это означает, что в директории всегда будут события за последние <N> дней. Самые давние события удаляются.

events_overlap_in_seconds

Время перекрытия. Когда события для оценки рейтинга активов скачиваются по расписанию, они берутся от времени последнего скачанного события за сегодня минус значение параметра events_overlap_in_seconds.

Значение по умолчанию: 60 секунд.

Пример: время получения последнего события – 8:58. Следующая партия событий будет скачиваться начиная с 8:57.

В начало
[Topic 292787]

Проанализировать с помощью KIRA

В KUMA есть возможность проанализировать с помощью Kaspersky Investigation & Response Assistant (далее - KIRA) команду, на которую сработало корреляционное правило. Команда записывается в поле события, если нормализация настроена таким образом, чтобы команда попадала в поле события. Вы можете просмотреть команду в карточке события или карточке корреляционного события и нажать Проанализировать с помощью KIRA в верхней части карточки события, чтобы отправить запрос в KIRA. KIRA выполнит деобфускацию и покажет результат предыдущего запроса по команде из кеша, если такой запрос был выполнен ранее. Эта функция помогает расследовать алерты и инциденты. Результаты анализа хранятся в кеше в течение 14 дней и доступны для повторного просмотра. Каждый раз при отправке запроса создается событие аудита.

Функция доступна в регионе RU при следующих условиях:

  • Наличие активной лицензии с модулем AI.

    Если срок лицензии истек, результаты анализа будут доступны через задачи в течение срока жизни кеша, то есть в течение 14 дней с момента попадания результатов в кеш

  • При настройке интеграции с KIRA загружен сертификат. Файл сертификата в формате PFX, запакованный в архив <имя заказчика>.ZIP, и пароль к сертификату, можно получить у сотрудников технической поддержки.
  • Пользователю назначена одна из ролей с правами доступа: Главный администратор, Администратор, Аналитик 2-го уровня, Аналитик 1-го уровня, Младший аналитик. Настройка интеграции доступна только пользователю с ролью Главный администратор.

В этом разделе

Настройка интеграции с KIRA

Выполнение анализа с помощью KIRA

Возможные ошибки задачи Проанализировать с помощью KIRA

В начало
[Topic 294800]

Настройка интеграции с KIRA

Чтобы настроить интеграцию с KIRA:

  1. Получите лицензию с модулем AI и активируйте в KUMA.
  2. В Консоли KUMA перейдите в раздел ПараметрыAI-сервисы и в открывшемся окне AI-сервисы перейдите на вкладку KIRA.
  3. На вкладке KIRA в раскрывающемся списке Сертификат нажмите Выбрать файл и загрузите файл с сертификатом в формате PFX, запакованный в архив <имя заказчика>.ZIP.
  4. В поле Пароль от сертификата укажите пароль.
  5. При необходимости в раскрывающемся списке Прокси-сервер выберите ранее созданный ресурс или создайте новый.
  6. Нажмите Сохранить.

    После того как вы нажмете Сохранить, вам будет предложено принять условия соглашения по использованию сервиса. Если вы не примете соглашение, будет невозможно продолжить сохранение параметров и работу с функциональностью.

    После сохранения параметров будет показано доступное количество токенов. Лимит обновляется ежедневно.

    Если вы хотите выключить функцию, переведите переключатель Выключить в активное положение.

Интеграция настроена, можно переходить к анализу. Анализ доступен для всех событий, новых и уже полученных.

В начало
[Topic 294968]

Выполнение анализа с помощью KIRA

После того как интеграция настроена, можно выполнить анализ команды с помощью KIRA.

Чтобы выполнить анализ:

  1. Перейдите в карточку события или корреляционного события и на панели инструментов в карточке события в раскрывающемся списке Проанализировать с помощью KIRA выберите поле, значение которого вы хотите проанализировать.

    Откроется окно Проанализировать с помощью KIRA.

  2. В открывшемся окне Проанализировать с помощью KIRA отобразится команда для анализа. Доступны следующие возможности:
    • Если команда обфусцирована, деобфускация будет выполнена автоматически без расхода токенов. Если вы хотите проанализировать команду в обфусцированном виде, в раскрывающемся списке Действия выберите Вернуть исходную строку. При необходимости вы можете деобфусцировать строку снова.
    • Если вы хотите предварительно определить количество токенов, которые будут затрачены на анализ, в раскрывающемся списке Действия выберите Рассчитать размер в токенах. Количество токенов для анализа = количество токенов на отправку запроса + количество токенов на ответ.
    • Чтобы проанализировать команду, нажмите на кнопку Проанализировать.

      Если достаточно токенов, запустится выполнение анализа и задача Запрос в KIRA.

      Выполнение запроса может занимать от 30 секунд и дольше.

      Расход токенов осуществляется, даже если получен ответ с ошибкой о том, что запрашиваемая тема находится в запрещенном списке, при этом сведения о доступном остатке токенов тоже будут обновлены.

Анализ команды выполнен.

Результат анализа доступен в том же окне Проанализировать с помощью KIRA: вывод, краткое содержание и развернутый анализ. Также вы можете просмотреть результат в отдельном окне, если нажмете Посмотреть результат на всплывающем уведомлении. Откроется отдельное окно Результат KIRA, из которого можно Перейти к событию по ссылке. После выполнения анализа Результат будет отображаться в карточке события на вкладке Анализ KIRA и будет доступен для просмотра всем пользователям с доступом к функциональности Проанализировать с помощью KIRA.

Также вы можете просмотреть результат анализа в разделе Диспетчер задач в свойствах задачи Запрос в KIRA. Если вы нажмете на название задачи, в контекстном меню будут доступны следующие действия:

  • Посмотреть результат – в этом случае любой пользователь с доступом к задачам KIRA может просмотреть результаты выполнения задачи из кеша и токены не будут потрачены.
  • Перезапустить – в этом случае анализ будет выполнен без учета данных предыдущего анализа, хранящихся в кеше, и токены будут потрачены на выполнение анализа.
В начало
[Topic 294970]

Возможные ошибки задачи Проанализировать с помощью KIRA

Возможные ошибки

HTTP-код

Описание

400

Недействительный клиентский сертификат.

404

Ошибка в запросе.

401

Отсутствует информация о сертификате. Обратитесь в техническую поддержку.

403

Суточный лимит токенов исчерпан.

413

Достигнуто максимальное количество токенов для выполнения запроса. Следует уменьшить запрос.

500

Неизвестная ошибка сервиса.

502

Сервис KIRA недоступен.

503

Ошибка получения токена доступа в сервисе.

Другое

Неизвестная ошибка.

Без кода

Ошибка при обработке запроса.

В начало
[Topic 294883]