Kaspersky Machine Learning for Anomaly Detection

Просмотр журнала логирования Kaspersky MLAD

В Kaspersky MLAD используется система логирования Grafana для отслеживания состояния служб программы, а также для отслеживания событий информационной безопасности.

Отслеживание событий информационной безопасности Kaspersky MLAD в подсистеме логирования

В таблице ниже приведены типы событий ИБ, которые отслеживаются в Kaspersky MLAD.

Типы событий информационной безопасности

Идентификатор события информационной безопасности в системе логирования

Тип события информационной безопасности

login

Подключение и попытки подключения пользователей к Kaspersky MLAD

access_control

Проверка прав пользователей при выполнении действий в веб-интерфейсе Kaspersky MLAD

logout

Завершение подключения пользователей к Kaspersky MLAD

service_control

Запуск, остановка и перезапуск служб Kaspersky MLAD

user_control

Изменение учетных записей пользователей

system_settings_control

Изменение параметров Kaspersky MLAD

model_control

Создание, изменение и удаление моделей

tag_control

Импорт, создание, изменение и удаление тегов

log_control

Удаление логов событий ИБ из базы данных Kaspersky MLAD при превышении объема хранения логов или при истечении срока их хранения

Каждая запись о событии ИБ содержит следующие параметры:

  • event_id – идентификатор события ИБ.
  • timestamp – дата и время события ИБ.
  • event_type – идентификатор типа события ИБ.
  • sub_type – уточнение типа события ИБ.
  • severity – важность события ИБ. В Kaspersky MLAD предусмотрены следующие уровни важности событий ИБ:
    • 1 – низкий.

      К этим событиям ИБ относятся записи о предоставлении доступа пользователям на выполнение какого-либо действия в веб-интерфейсе и об успешном выполнении каких-либо действий пользователей.

    • 5 – средний.

      К этим событиям ИБ относятся записи о действиях пользователей в веб-интерфейсе по управлению ML-моделями, тегами, учетными записями и паролями, а также записи о достижении заданных порогов по времени и объему хранения логов событий ИБ.

    • 8 – высокий.

      К этим событиям ИБ относятся записи об указании пользователями неправильных логина и/или пароля при подключении к веб-интерфейсу программы, а также записи о неуспешных попытках смены пароля.

    • 10 – высший.

      К этим событиям ИБ относятся записи о попытках подключения к веб-интерфейсу программы с помощью системной или заблокированной учетной записи, а также записи о попытках выполнения каких-либо действий в программе при отсутствии соответствующих прав доступа.

  • username – имя пользователя, действия которого привели к записи события ИБ.
  • ip_address – IP-адрес компьютера, с которого пользователем было произведено действие, записанное в логи событий ИБ.
  • outcome – результат события ИБ. Результат OK соответствует успешному выполнению операции пользователем. Результат FAIL соответствует отказу в выполнении операции пользователем.
  • msg – краткое содержание события ИБ.
  • info – подробное описание события ИБ.

Отслеживание состояния служб Kaspersky MLAD в подсистеме логирования

Для обозначения служб Kaspersky MLAD, состояние которых отслеживается в подсистеме логирования, используются наименования соответствующих им контейнеров или образов в Docker. В качестве имени образа в большинстве случаев используется сокращенное название службы. Имя контейнера формируется по следующему шаблону:

<директория программы>-<название образа>-#,

где: # – номер контейнера Docker.

По умолчанию Kaspersky MLAD использует директорию mlad-release-4.0.2-<номер установочной сборки>.

В журнале логирования Kaspersky MLAD записи о состоянии служб программы хранятся только за последние 48 часов.

Ниже приведена таблица соответствия служб Kaspersky MLAD и имен образов и контейнеров Docker.

Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker

Служба Kaspersky MLAD

Имя образа

Имя контейнера

Anomaly Detector

anomaly_detector

mlad-release-4.0.2-<номер установочной сборки>-anomaly_detector-1

Time Series Database

influxdb

mlad-release-4.0.2-<номер установочной сборки>-influxdb-1

Message Broker

kafka

mlad-release-4.0.2-<номер установочной сборки>-kafka-1

Keeper

keeper

mlad-release-4.0.2-<номер установочной сборки>-keeper-1

Logger

logger

mlad-release-4.0.2-<номер установочной сборки>-logger-1

Database

postgres

mlad-release-4.0.2-<номер установочной сборки>-postgres-1

Similar Anomaly

similar_anomaly

mlad-release-4.0.2-<номер установочной сборки>-similar_anomaly-1

Event Processor

event-processor

mlad-release-4.0.2-<номер установочной сборки>-event-processor-1

Stream Processor

stream-processor

mlad-release-4.0.2-<номер установочной сборки>-stream-processor-1

Trainer

trainer

mlad-release-4.0.2-<номер установочной сборки>-trainer-1

Web Server

nginx-ui

mlad-release-4.0.2-<номер установочной сборки>-nginx-ui-1

API Server

web-server

mlad-release-4.0.2-<номер установочной сборки>-web-server-1

Mail Notifier

postman

mlad-release-4.0.2-<номер установочной сборки>-postman-1

OPC UA Connector

opcua-connector

mlad-release-4.0.2-<номер установочной сборки>-opcua-connector-1

MQTT Connector

mqtt-connector

mlad-release-4.0.2-<номер установочной сборки>-mqtt-connector-1

AMQP Connector

amqp-connector

mlad-release-4.0.2-<номер установочной сборки>-amqp-connector-1

HTTP Connector

gate

mlad-release-4.0.2-<номер установочной сборки>-gate-1

KICS Connector

kics3-connector

mlad-release-4.0.2-<номер установочной сборки>-kics3-connector-1

CEF Connector

cef-connector

mlad-release-4.0.2-<номер установочной сборки>-cef-connector-1

WebSocket Connector

ws-connector

mlad-release-4.0.2-<номер установочной сборки>-ws-connector-1

 

webstatic

mlad-release-4.0.2-<номер установочной сборки>-webstatic-1

 

migrations

mlad-release-4.0.2-<номер установочной сборки>-migrations-1

Для служб Time Series Database, Message Broker, Logger, Database, Web Server, а также образов webstatic и migrations используется уровень логирования Инфо. Уровни логирования для остальных служб Kaspersky MLAD задаются системным администратором при настройке параметров программы.