預設情況下,Kaspersky Anti Targeted Attack Platform 會處理從 Endpoint Agent 收到的所有事件資料(遙測)。透過限制遙測量,您可以減少儲存和處理遙測的伺服器的負載。有限遙測包括有關事件本身的完整資訊以及有關觸發這些事件的處理程序的最重要的資訊。與事件相關的其他處理程序的資訊被排除。
擁有“資深安全員”角色的使用者可以限制遙測量。擁有“管理員”或者“安全稽核員”角色的使用者可以檢視遙測限制設定,但不能管理這些設定。具有“安全官”角色的使用者無權存取遙測設定。
若要限制 Endpoint Agent 的遙測量,請執行下列操作:
遙測受到限制。
限制 Central Node 和 SCN 遙測的特殊注意事項
點擊“套用”後,可能顯示“限制接收資料的範圍失敗”訊息。這表示某些使用者定義的 TAA(IOA)規則不允許限制遙測,因為這些規則包含在遙測受限時不會被處理的欄位。您可以停用或刪除此類規則。
需要停用或刪除的規則清單顯示在警告視窗的“要停用或修改的 TAA 規則”標題下。您可以透過點擊“複製清單”複製這些規則的清單並以您想要的任何方式儲存清單。警告視窗中的“轉到 TAA 規則”按鈕將帶您進入使用者定義的 TAA (IOA) 規則部分。
限制 PCN 遙測的特殊考慮
Kaspersky Anti Targeted Attack Platform 不會檢查 PCN 上活動的使用者定義的 TAA (IOA) 規則是否能夠在有限的遙測下保持功能。我們建議採取措施測試每個使用者定義的 TAA (IOA) 規則。
測試有限遙測模式下使用者定義的 TAA (IOA) 規則的功能涉及以下步驟:
若要按規則中的程式碼搜尋事件,請開啟規則視窗並按“執行查詢”按鈕。開始搜尋後,“威脅搜尋”視窗將會開啟。
如果視窗包含符合搜尋條件的事件表,則 TAA (IOA) 規則有效。如果視窗在 PCN 名稱旁邊顯示“伺服器錯誤:請求失敗”錯誤,則表示該規則不起作用。
如果您想要刪除或停用在 PCN 上不起作用的規則,但仍想在 SCN 上套用該規則,則需要在要套用該規則的每個 SCN 的 Web 介面中建立類似的規則。
如果您不想停用或刪除任何規則,請不要限制遙測。