Configuring telemetry
A Telemetria a védett számítógépen történt események listája. A Kaspersky Endpoint Security elemzi a telemetriai adatokat, és elküldi a Kaspersky Anti Targeted Attack Platform számára a szinkronizálás során. A telemetriai események szinte folyamatosan érkeznek a kiszolgálóra. A Kaspersky Endpoint Security akkor kezdeményezi a szinkronizálást a kiszolgálóval, ha az alábbi feltételek bármelyike teljesül:
- A szinkronizálási intervallum lejárt.
- A pufferben lévő események száma meghaladja a felső határt.
Ezért alapértelmezés szerint az alkalmazás 30 másodpercenként szinkronizál, vagy amikor a puffer 1024 eseményt tartalmaz. A szinkronizálási viselkedést a Kaspersky Endpoint Security házirendjében konfigurálhatja, és kiválaszthatja a hálózati terhelésnek megfelelő optimális értékeket (lásd az alábbi utasításokat).
Ha nincs kapcsolat a Kaspersky Endpoint Security és a kiszolgáló között, az alkalmazás sorba állítja az új eseményeket. Amikor a kapcsolat helyreáll, a Kaspersky Endpoint Security megfelelő sorrendben küldi el a sorban álló eseményeket a kiszolgálónak. A kiszolgáló túlterhelésének elkerülése érdekében a Kaspersky Endpoint Security kihagyhat néhány eseményt. Ennek engedélyezéséhez optimalizálhatja az eseményátviteli beállításokat, például beállíthatja az események óránkénti maximális értékét (lásd az alábbi utasításokat).
Ha a Kaspersky Anti Targeted Attack Platformot egy másik, szintén telemetriát használó megoldással együtt használja, kikapcsolhatja a KATA (EDR) telemetriáját (lásd a fenti utasításokat). Ez lehetővé teszi a kiszolgálói terhelés optimalizálását ezekhez a megoldásokhoz. Ha például telepítette a Managed Detection and Response megoldást és a KATA (EDR) megoldást, használhatja az MDR-telemetriát, és létrehozhat Fenyegetésekre adott válasz típusú feladatokat a KATA (EDR) megoldásban.
EDR telemetria konfigurálása az Adminisztrációs Konzolban (MMC)
- Nyissa meg a Kaspersky Security Center Adminisztrációs Konzolt.
- A konzolfán válassza ki a Policies lehetőséget.
- Válassza ki a szükséges rendszabályt, és kattintson duplán a házirend tulajdonságainak megnyitásához.
- A házirend ablakban válassza ki a Detection and Response → Endpoint Detection and Response (KATA) lehetőséget.
- Konfigurálhatja a Szinkronizálási kérés küldése a KATA kiszolgálójának ennyi percenként (perc) beállítást. A központi csomópont-kiszolgálónak küldött szinkronizálási kérések gyakorisága. A szinkronizálás során a Kaspersky Endpoint Security információkat küld a módosított alkalmazásbeállításokról és feladatokról.
- Győződjön meg arról, hogy a Telemetriai adatok küldése a KATA számára jelölőnégyzet be van jelölve.
- Ha szükséges, konfigurálja a Maximális eseményátviteli idő (mp) beállítást az Adatátviteli beállítások részen. Az alkalmazás szinkronizál a kiszolgálóval, hogy a szinkronizálási intervallum lejárta után eseményeket küldjön. Az alapértelmezett beállítás 30 másodperc.
- Ha szükséges, jelölje be a Kérésszabályzás engedélyezése jelölőnégyzetet a Kérésszabályzás részen.
Ez a funkció segíti a kiszolgáló terhelésének optimalizálását. Ha a jelölőnégyzet be van jelölve, az alkalmazás korlátozza a továbbított eseményeket. Ha az események száma meghaladja a beállított korlátokat, a Kaspersky Endpoint Security leállítja az események küldését.
- Konfigurálja az optimalizálási beállításokat az események kiszolgálóra küldéséhez:
- Események maximális száma óránként. Az alkalmazás elemzi a telemetriai adatfolyamot, és korlátozza az események küldését, ha az eseményfolyam meghaladja a konfigurált események óránkénti korlátját. A Kaspersky Endpoint Security egy óra elteltével folytatja az események küldését. Az alapértelmezett beállítás óránként 3000 esemény.
- Eseménykorlát túllépésének százalékos aránya. Az alkalmazás típusok szerint rendezi az eseményeket (például "Változások a beállításjegyzékben" események), és korlátozza az események továbbítását, ha az azonos típusú események aránya az események teljes számához viszonyítva meghaladja a beállított százalékos korlátot. A Kaspersky Endpoint Security akkor folytatja az események küldését, amikor a többi esemény aránya az események teljes számához képest ismét elég nagy lesz. Az alapértelmezett beállítás 15%.
- Mentse el a módosításokat.
Az EDR telemetria konfigurálása a Web Console-on
- A Web Console fő ablakában válassza a Devices → Policies & Profiles lehetőséget.
- Kattintson a Kaspersky Endpoint Security házirend nevére.
Megnyílik a rendszabályok tulajdonságai ablak.
- Válassza ki az Application settings lapot.
- Nyissa meg a Detection and Response → Endpoint Detection and Response (KATA) elemet.
- Konfigurálhatja a Send sync request to KATA server every (min) beállítást. A központi csomópont-kiszolgálónak küldött szinkronizálási kérések gyakorisága. A szinkronizálás során a Kaspersky Endpoint Security információkat küld a módosított alkalmazásbeállításokról és feladatokról.
- Győződjön meg arról, hogy a Telemetriai adatok küldése a KATA számára jelölőnégyzet be van jelölve.
- Ha szükséges, konfigurálja a Maximum events transmission delay (sec) beállítást az Data transmission settings részen. Az alkalmazás szinkronizál a kiszolgálóval, hogy a szinkronizálási intervallum lejárta után eseményeket küldjön. Az alapértelmezett beállítás 30 másodperc.
- Ha szükséges, jelölje be a Enable request throttling jelölőnégyzetet a Request throttling részen.
Ez a funkció segíti a kiszolgáló terhelésének optimalizálását. Ha a jelölőnégyzet be van jelölve, az alkalmazás korlátozza a továbbított eseményeket. Ha az események száma meghaladja a beállított korlátokat, a Kaspersky Endpoint Security leállítja az események küldését.
- Konfigurálja az optimalizálási beállításokat az események kiszolgálóra küldéséhez:
- Maximum number of events per hour. Az alkalmazás elemzi a telemetriai adatfolyamot, és korlátozza az események küldését, ha az eseményfolyam meghaladja a konfigurált események óránkénti korlátját. A Kaspersky Endpoint Security egy óra elteltével folytatja az események küldését. Az alapértelmezett beállítás óránként 3000 esemény.
- Percentage of event limit excess. Az alkalmazás típusok szerint rendezi az eseményeket (például "Változások a beállításjegyzékben" események), és korlátozza az események továbbítását, ha az azonos típusú események aránya az események teljes számához viszonyítva meghaladja a beállított százalékos korlátot. A Kaspersky Endpoint Security akkor folytatja az események küldését, amikor a többi esemény aránya az események teljes számához képest ismét elég nagy lesz. Az alapértelmezett beállítás 15%.
- Mentse el a módosításokat.
Telemetriai kizárások
A továbbított adatok optimalizálásához hozzáadhat egy futtatható fájlt a megbízható alkalmazások listájához. Ebben az esetben a Kaspersky Endpoint Security nem küld telemetriai eseményeket az adott alkalmazás esetében. Ezzel csökkentheti a hálózati forgalmat, és minimalizálhatja a megbízható objektumoktól érkező események számát.
- A Web Console fő ablakában válassza a Devices → Policies & Profiles lehetőséget.
- Kattintson a Kaspersky Endpoint Security házirend nevére.
Megnyílik a rendszabályok tulajdonságai ablak.
- Válassza ki az Application settings lapot.
- Nyissa meg a KATA integráció → Telemetriai kizárások szakaszt.
- Az Adatátvitel beállításai részen jelölje be a Kizárások használata jelölőnégyzetet.
- Kattintson a Hozzáadás gombra, és konfigurálja a kizárásokat:
A kritériumokat az AND logikai értékkel kombinálhatja.
- Mentse el a módosításokat.
- Nyissa meg a Kaspersky Security Center Adminisztrációs Konzolt.
- A konzolfán válassza ki a Policies lehetőséget.
- Válassza ki a szükséges rendszabályt, és kattintson duplán a házirend tulajdonságainak megnyitásához.
- A házirend ablakában válassza ki a KATA integráció → Telemetriai kizárások lehetőséget.
- Az Adatátvitel beállításai részen jelölje be a Kizárások használata jelölőnégyzetet.
- Kattintson a Hozzáadás gombra, és konfigurálja a kizárásokat:
A kritériumokat az AND logikai értékkel kombinálhatja.
- Mentse el a módosításokat.
Oldal tetejére