EDR (KATA) telemetrisini yapılandırma
Telemetri, korunan bilgisayarda meydana gelen olayların bir listesidir. Kaspersky Endpoint Security, telemetri verilerini analiz eder ve senkronizasyon sırasında Kaspersky Anti Targeted Attack Platform'a gönderir. Telemetri olayları sunucuya neredeyse sürekli olarak ulaşır. Kaspersky Endpoint Security, şu koşullardan herhangi biri karşılandığında sunucu ile senkronizasyonu başlatır:
- Senkronizasyon aralığı sona erdi.
- Arabellekteki olay sayısı üst sınırı aşıyor.
Bu nedenle, varsayılan olarak, uygulama her 30 saniyede bir veya tampon bellekte 1024 olay biriktiğinde senkronize olur. Kaspersky Endpoint Security ilkesinde senkronizasyon davranışını yapılandırabilir ve ağ yükünüze uyacak optimum değerleri seçebilirsiniz (aşağıdaki talimatlara bakın).
Kaspersky Endpoint Security ile sunucu arasında bağlantı yoksa uygulama yeni olayları kuyruğa alır. Bağlantı yeniden sağlandığında, Kaspersky Endpoint Security sıraya alınan olayları sunucuya uygun sırayla gönderir. Sunucunun aşırı yüklenmesini önlemek için Kaspersky Endpoint Security bazı olayları atlayabilir. Bunu etkinleştirmek için, örneğin saat başına maksimum olay değerini ayarlamak için olay iletim ayarlarını optimize edebilirsiniz (aşağıdaki talimatlara bakın).
Kaspersky Anti Targeted Attack Platform'u telemetri de kullanan başka bir çözümle birlikte kullanıyorsanız, KATA (EDR) için telemetriyi kapatabilirsiniz (aşağıdaki talimatlara bakın). Bu, bu çözümler için sunucu yükünü optimize etmenizi sağlar. Örneğin, Managed Detection and Response çözümüne ve KATA'ya (EDR) sahipseniz, MDR telemetrisini kullanabilir ve KATA'da (EDR) Tehdit Müdahalesi görevleri oluşturabilirsiniz.
Yönetim Konsolu'nda (MMC) telemetri yapılandırma
- Kaspersky Security Center Yönetim Konsolu'nu açın.
- Konsol ağacında İlkeler'i seçin.
- Gereken ilkeyi seçin ve ilke özellikleri penceresini açmak için çift tıklayın.
- İlke penceresinde, Detection and Response öğesini seçin ve yapılandırmak istediğiniz bileşeni seçin: Endpoint Detection and Response Expert (on-premise) veya Network Detection and Response (KATA).
- KATA sunucusuna her (dakika) senkronizasyon isteği gönder ayarını yapılandırın. Sunucusuna gönderilen senkronizasyon isteklerinin sıklığı. Senkronizasyon sırasında, Kaspersky Endpoint Security değiştirilen uygulama ayarları ve görevleri hakkında bilgi gönderir.
- KATA'ya telemetri gönder onay kutusunun seçili olduğundan emin olun.
- Gerekirse, Veri iletim ayarları bloğundaki sunucu ayarlarıyla senkronizasyonu yapılandırın:
- Maksimum olay iletim gecikmesi (sn). Uygulama, senkronizasyon aralığı sona erdikten sonra olayları göndermek için sunucu ile senkronize olur. Varsayılan değer ayarı 30 saniyedir.
- Paket başına maksimum olay sayısı. Tampon olaylarla dolduğunda uygulama sunucu ile senkronize olur. Varsayılan ayar 1024 olaydır.
- Gerekirse, Talep daraltma bloğunda Talep daraltmayı etkinleştir onay kutusunu seçin.
Bu özellik sunucu üzerindeki yükü optimize etmeye yardımcı olur. Onay kutusu işaretlendiğinde uygulama iletilen olayları kısıtlar. Olay sayısı yapılandırılan sınırları aşarsa Kaspersky Endpoint Security olay gönderimini durdurur.
- Olayları sunucuya göndermek için optimizasyon ayarlarını yapılandırın:
- Saat başına maksimum olay sayısı. Uygulama telemetri veri akışını analiz eder ve olay akışı yapılandırılmış olay/saat sınırını aşarsa olayların gönderilmesini kısıtlar. Kaspersky Endpoint Security bir saat sonra olayları göndermeye devam eder. Varsayılan ayar saatte 3000 olaydır. Uygulama bir sunucuya kurulursa, telemetri veri akışı daha yüksek olur. Sunucular için bu değerin saatte 60.000 olaya çıkarılması önerilir.
- Olay sınırı aşım yüzdesi. Uygulama, olayları türlerine göre sıralar (örneğin, "kayıt defterindeki değişiklikler" olayları) ve aynı türdeki olayların toplam olay sayısına oranı yüzde olarak yapılandırılan sınırı aşarsa olayların iletimini sınırlar. Kaspersky Endpoint Security, diğer olayların toplam olay sayısına oranı tekrar yeterince büyük olduğunda olayları göndermeye devam eder. Varsayılan ayar %15'tir.
- Değişikliklerinizi kaydedin. İlkeyi bilgisayarlara uygulamak için asma kilitleri kapatın
.
Web Console'da telemetri yapılandırma
- Web Console'un ana penceresinde Varlıklar (Cihazlar) → İlkeler ve profiller sekmesini seçin.
- Kaspersky Endpoint Security ilkesinin adına tıklayın.
İlke özellikleri penceresi açılır.
- Uygulama ayarları sekmesini seçin.
- Yerleşik Aracılar Yapılandırması → Endpoint Detection and Response Expert (on-premise) bölümüne gidin.
- EDR'yi (KATA) yapılandırmak için çözümler listesinden Endpoint Detection and Response Expert (sürüm 7.1 veya öncesi) seçimini yapın.
- Veri iletim ayarları bloğunda Telemetriyi KATA sunucularına gönder onay kutusunun seçili olduğundan emin olun.
- Sunucusuna her (dakika) senkronizasyon isteği gönder ayarını yapılandırın. Sunucusuna gönderilen senkronizasyon isteklerinin sıklığı. Senkronizasyon sırasında, Kaspersky Endpoint Security değiştirilen uygulama ayarları ve görevleri hakkında bilgi gönderir.
- KATA sunucularına telemetri gönder onay kutusunun seçili olduğundan emin olun.
- Gerekirse, Veri iletim ayarları bloğundaki sunucu ayarlarıyla senkronizasyonu yapılandırın:
- Maksimum olay iletim gecikmesi (sn). Uygulama, senkronizasyon aralığı sona erdikten sonra olayları göndermek için sunucu ile senkronize olur. Varsayılan değer ayarı 30 saniyedir.
- Paket başına maksimum olay sayısı. Tampon olaylarla dolduğunda uygulama sunucu ile senkronize olur. Varsayılan ayar 1024 olaydır.
- Gerekirse, Talep daraltma bloğunda Talep daraltmayı etkinleştir onay kutusunu seçin.
Bu özellik sunucu üzerindeki yükü optimize etmeye yardımcı olur. Onay kutusu işaretlendiğinde uygulama iletilen olayları kısıtlar. Olay sayısı yapılandırılan sınırları aşarsa Kaspersky Endpoint Security olay gönderimini durdurur.
- Olayları sunucuya göndermek için optimizasyon ayarlarını yapılandırın:
- Saat başına maksimum olay sayısı. Uygulama telemetri veri akışını analiz eder ve olay akışı yapılandırılmış olay/saat sınırını aşarsa olayların gönderilmesini kısıtlar. Kaspersky Endpoint Security bir saat sonra olayları göndermeye devam eder. Varsayılan ayar saatte 3000 olaydır. Uygulama bir sunucuya kurulursa, telemetri veri akışı daha yüksek olur. Sunucular için bu değerin saatte 60.000 olaya çıkarılması önerilir.
- Olay sınırı aşım yüzdesi. Uygulama, olayları türlerine göre sıralar (örneğin, "kayıt defterindeki değişiklikler" olayları) ve aynı türdeki olayların toplam olay sayısına oranı yüzde olarak yapılandırılan sınırı aşarsa olayların iletimini sınırlar. Kaspersky Endpoint Security, diğer olayların toplam olay sayısına oranı tekrar yeterince büyük olduğunda olayları göndermeye devam eder. Varsayılan ayar %15'tir.
- Değişikliklerinizi kaydedin. İlkeyi bilgisayarlara uygulamak için asma kilitleri kapatın
.
- Web Console'un ana penceresinde Varlıklar (Cihazlar) → İlkeler ve profiller'i seçin.
- Kaspersky Endpoint Security ilkesinin adına tıklayın.
İlke özellikleri penceresi açılır.
- Uygulama ayarları sekmesini seçin.
- KATA entegrasyonu → Telemetri istisnaları bölümüne gidin.
- Veri iletim ayarları bölümünde, İstisnaları kullan onay kutusunu seçin.
- Ekle'ye tıklayın ve istisnaları yapılandırın:
Kriterler mantıksal AND ile birleştirilir.
- Değişikliklerinizi kaydedin.
- Kaspersky Security Center Yönetim Konsolu ağacında Görevler seçimini yapın.
Görevler listesi açılır.
- Yeni görev’e tıklayın.
Görev Sihirbazı başlatılır. Sihirbazın talimatlarını uygulayın.
1. Adım. Görev türünü seçme
- Kaspersky Endpoint Security for Windows (12.12) → Güncellemeyi geri al seçimini yapın.
2. Adım. Görevin atanacağı cihazları seçme
Görevin gerçekleştirileceği bilgisayarları seçin. Aşağıdaki seçenekler kullanılabilir:
- Görevi bir yönetim grubuna atayın. Bu durumda, görev önceden oluşturulan bir yönetim grubuna dahil edilen bilgisayarlara atanır.
- Yönetim Sunucusu tarafından ağda atanmamış cihazlar olarak tespit edilmiş bilgisayarları seçin. Belirli cihazlar, yönetim gruplarındaki cihazları ve atanmamış cihazları içerebilir.
- Aygıt adreslerini manuel olarak belirtin veya adresleri listeden içe aktarın. Görevi atamak istediğiniz aygıtların NetBIOS adlarını, IP adreslerini ve IP alt ağlarını belirleyebilirsiniz.
3. Adım. Bir görev başlatma zamanlaması yapılandırma
Görev zamanlamasını örneğin manuel olarak yapılandırın.
4. Adım. Görev adını tanımlama
Görev için bir ad girin.
7. Adım. Görev oluşturmayı tamamlama
Sihirbazdan çıkın. Gerekirse, Sihirbazı tamamladıktan sonra görevi çalıştır onay kutusunu işaretleyin. Görevin ilerleme durumunu görev özelliklerinden izleyebilirsiniz.