Configuración de telemetría
Telemetría es una lista de eventos que han ocurrido en el equipo protegido. Kaspersky Endpoint Security analiza los datos de telemetría y los envía a Kaspersky Anti Targeted Attack Platform durante la sincronización. Los eventos de telemetría llegan al servidor de manera casi continua. Kaspersky Endpoint Security inicia la sincronización con el servidor cuando se cumple alguna de las siguientes condiciones:
- Se ha agotado el intervalo de sincronización.
- El número de eventos en el búfer sobrepasa el límite superior.
Por lo tanto, de forma predeterminada, la aplicación se sincroniza cada 30 segundos o cada vez que el búfer contiene 1024 eventos. Puede configurar el comportamiento de sincronización en la directiva de Kaspersky Endpoint Security y seleccionar los valores óptimos para que coincidan con la carga de su red (consulte las instrucciones a continuación).
Si no hay conexión entre Kaspersky Endpoint Security y el servidor, la aplicación pone en cola nuevos eventos. Cuando se restablece la conexión, Kaspersky Endpoint Security envía los eventos en cola al servidor en el orden correcto. Para evitar sobrecargar el servidor, Kaspersky Endpoint Security puede omitir algunos eventos. Para activar esta función, puede optimizar la configuración de transmisión de eventos, por ejemplo, para establecer un valor máximo de eventos por hora (consulte las instrucciones que aparecen más adelante).
Si usa Kaspersky Anti Targeted Attack Platform junto con otra solución que también use telemetría, puede desactivar la telemetría para KATA (EDR) (consulte las instrucciones que aparecen más arriba). Esto le permite optimizar la carga del servidor para estas soluciones. Por ejemplo, si tiene implementados la solución Managed Detection and Response y KATA (EDR), puede usar la telemetría de MDR y crear tareas de Threat Response en KATA (EDR).
Cómo configurar la telemetría de EDR en la Consola de administración (MMC)
- Abra la Consola de administración de Kaspersky Security Center.
- En el árbol de la consola, seleccione Directivas.
- Seleccione la directiva necesaria y haga doble clic para abrir las propiedades de la directiva.
- En la ventana de la directiva, seleccione Detection and Response → Endpoint Detection and Response (KATA).
- Configure el ajuste Enviar solicitud de sincronización al servidor KATA cada (min.). Frecuencia de las solicitudes de sincronización enviadas al servidor del Nodo Central. Durante la sincronización, Kaspersky Endpoint Security envía información sobre la configuración y las tareas de la aplicación modificada.
- Asegúrese de que la casilla Enviar telemetría a KATA está seleccionada.
- Si es necesario, configure el ajuste Retraso máximo de transmisión de eventos (seg) en el bloque Configuración de transmisión de datos. La aplicación se sincroniza con el servidor para enviar eventos después de que expire el intervalo de sincronización. El valor predeterminado es 30 segundos.
- Si es necesario, active la casilla Activar la limitación de solicitudes casilla en el bloque Limitación de solicitudes.
Esta función ayuda a optimizar la carga en el servidor. Si la casilla de verificación está seleccionada, la aplicación restringe los eventos transmitidos. Si la cantidad de eventos supera los límites configurados, Kaspersky Endpoint Security deja de enviar eventos.
- Configure los ajustes de optimización para enviar eventos al servidor:
- Número máximo de eventos por hora. La aplicación analiza el flujo de datos de telemetría y restringe el envío de eventos si el flujo de eventos supera el límite configurado de eventos por hora. Kaspersky Endpoint Security reanuda el envío de eventos después de una hora. La configuración predeterminada es 3000 eventos por hora.
- Porcentaje de exceso de límite del evento. La aplicación ordena los eventos por tipo (por ejemplo, eventos de "cambios en el registro") y restringe la transmisión de eventos si la relación de eventos del mismo tipo con respecto al número total de eventos supera el límite configurado en porcentaje. Kaspersky Endpoint Security reanuda el envío de eventos cuando la relación entre otros eventos y el número total de eventos vuelve a ser lo suficientemente grande. El ajuste predeterminado es 15 %.
- Guarde los cambios.
Cómo configurar la telemetría EDR en Web Console
- En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a Detection and Response → Endpoint Detection and Response (KATA).
- Configure el ajuste Enviar solicitud de sincronización al servidor de Kaspersky Anti Targeted Attack Platform cada (min.). Frecuencia de las solicitudes de sincronización enviadas al servidor del Nodo Central. Durante la sincronización, Kaspersky Endpoint Security envía información sobre la configuración y las tareas de la aplicación modificada.
- Asegúrese de que la casilla Enviar telemetría a KATA está seleccionada.
- Si es necesario, configure el ajuste Tiempo máximo de transmisión de eventos (seg) en el bloque Configuración de transmisión de datos. La aplicación se sincroniza con el servidor para enviar eventos después de que expire el intervalo de sincronización. El valor predeterminado es 30 segundos.
- Si es necesario, active la casilla Activar la limitación de solicitudes casilla en el bloque Limitación de solicitudes.
Esta función ayuda a optimizar la carga en el servidor. Si la casilla de verificación está seleccionada, la aplicación restringe los eventos transmitidos. Si la cantidad de eventos supera los límites configurados, Kaspersky Endpoint Security deja de enviar eventos.
- Configure los ajustes de optimización para enviar eventos al servidor:
- Número máximo de eventos por hora. La aplicación analiza el flujo de datos de telemetría y restringe el envío de eventos si el flujo de eventos supera el límite configurado de eventos por hora. Kaspersky Endpoint Security reanuda el envío de eventos después de una hora. La configuración predeterminada es 3000 eventos por hora.
- Porcentaje de exceso de límite del evento. La aplicación ordena los eventos por tipo (por ejemplo, eventos de "cambios en el registro") y restringe la transmisión de eventos si la relación de eventos del mismo tipo con respecto al número total de eventos supera el límite configurado en porcentaje. Kaspersky Endpoint Security reanuda el envío de eventos cuando la relación entre otros eventos y el número total de eventos vuelve a ser lo suficientemente grande. El ajuste predeterminado es 15 %.
- Guarde los cambios.
Exclusiones de telemetría
Para optimizar los datos transmitidos, puede agregar un archivo ejecutable a la lista de aplicaciones de confianza. En ese caso, Kaspersky Endpoint Security no envía eventos de telemetría para esa aplicación. Esto le permite reducir el tráfico de red y minimizar la cantidad de eventos de objetos de confianza.
- En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a la sección Integración KATA → Exclusiones de telemetría.
- En Configuración de transmisión de datos, seleccione la casilla Usar exclusiones.
- Haga clic en Agregar y configure las exclusiones:
Los criterios se combinan con el operador lógico AND.
- Guarde los cambios.
- Abra la Consola de administración de Kaspersky Security Center.
- En el árbol de la consola, seleccione Directivas.
- Seleccione la directiva necesaria y haga doble clic para abrir las propiedades de la directiva.
- En la ventana de la directiva, seleccione Integración KATA → Exclusiones de telemetría.
- En Configuración de transmisión de datos, seleccione la casilla Usar exclusiones.
- Haga clic en Agregar y configure las exclusiones:
Los criterios se combinan con el operador lógico AND.
- Guarde los cambios.