Configurazione della telemetria
Telemetria è un elenco di eventi che si sono verificati nel computer protetto. Kaspersky Endpoint Security analizza i dati di telemetria e li invia a Kaspersky Anti Targeted Attack Platform durante la sincronizzazione. Gli eventi di telemetria arrivano sul server quasi continuamente. Kaspersky Endpoint Security avvia la sincronizzazione con il server quando viene soddisfatta una delle seguenti condizioni:
- L'intervallo di sincronizzazione è scaduto.
- Il numero di eventi nel buffer supera il limite massimo.
Pertanto, per impostazione predefinita, l'applicazione esegue la sincronizzazione ogni 30 secondi oppure ogni volta che il buffer contiene 1024 eventi. È possibile configurare il comportamento di sincronizzazione nella policy di Kaspersky Endpoint Security e selezionare i valori ottimali in base al carico di rete (vedere le istruzioni di seguito).
Se non è presente alcuna connessione tra Kaspersky Endpoint Security e il server, l'applicazione accoda i nuovi eventi. Quando la connessione viene ripristinata, Kaspersky Endpoint Security invia gli eventi in coda al server nell'ordine corretto. Per evitare di sovraccaricare il server, Kaspersky Endpoint Security potrebbe ignorare alcuni eventi. Per abilitare questo, è possibile ottimizzare le impostazioni di trasmissione degli eventi, ad esempio, per impostare un valore massimo di eventi all'ora (vedere le istruzioni di seguito).
Se si utilizza Kaspersky Anti Targeted Attack Platform insieme a un'altra soluzione che usa anch'essa la telemetria, è possibile disattivare la telemetria per KATA (EDR) (vedere le istruzioni precedenti). Ciò consente di ottimizzare il carico del server per queste soluzioni. Ad esempio, se è stata distribuita la soluzione Managed Detection and Response e KATA (EDR), è possibile utilizzare la telemetria MDR e creare attività Risposta alle minacce in KATA (EDR).
Come configurare la telemetria EDR in Administration Console (MMC)
- Aprire Kaspersky Security Center Administration Console.
- Nella struttura della console, selezionare Criteri.
- Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
- Nella finestra del criterio, selezionare Detection and Response → Endpoint Detection and Response (KATA).
- Configurare l'impostazione Invia richiesta di sincronizzazione al server KATA ogni (min.). Frequenza delle richieste di sincronizzazione inviate al server di Central Node. Durante la sincronizzazione, Kaspersky Endpoint Security invia informazioni sulle attività e le impostazioni dell'applicazione modificate.
- Verificare che la casella di controllo Invia telemetria a KATA sia selezionata.
- Se necessario, configurare l'impostazione Ritardo di trasmissione eventi massimo (sec) nel blocco Impostazioni trasmissione dati. L'applicazione si sincronizza con il server per inviare eventi dopo la scadenza dell'intervallo di sincronizzazione. L'impostazione predefinita è 30 secondi.
- Se necessario, selezionare la casella di controllo Abilita limitazione delle richieste nel blocco Limitazione delle richieste.
Questa funzionalità consente di ottimizzare il carico sul server. Se la casella di controllo è selezionata, l'applicazione limita gli eventi trasmessi. Se il numero di eventi supera i limiti configurati, Kaspersky Endpoint Security interrompe l'invio degli eventi.
- Configurare le impostazioni di ottimizzazione per l'invio degli eventi al server:
- Numero massimo di eventi all'ora. L'applicazione analizza il flusso di dati di telemetria e limita l'invio degli eventi se il flusso di eventi supera il limite di eventi all'ora configurato. Kaspersky Endpoint Security riprende l'invio degli eventi dopo un'ora. L'impostazione predefinita è 3000 eventi all'ora.
- Percentuale di eccedenza limite eventi. L'applicazione ordina gli eventi in base al tipo (ad esempio, eventi di "Modifiche nel Registro di sistema") e limita la trasmissione degli eventi se il rapporto tra eventi dello stesso tipo e il numero totale di eventi supera il limite percentuale configurato. Kaspersky Endpoint Security riprende l'invio degli eventi quando il rapporto tra altri eventi e il numero totale di eventi diventa di nuovo sufficientemente elevato. L'impostazione predefinita è 15%.
- Salvare le modifiche.
Come configurare la telemetria EDR su Web Console
- Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
- Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
- Selezionare la scheda Impostazioni applicazione.
- Passare a Detection and Response → Endpoint Detection and Response (KATA).
- Configurare l'impostazione Invia richiesta di sincronizzazione al server KATA ogni (min). Frequenza delle richieste di sincronizzazione inviate al server di Central Node. Durante la sincronizzazione, Kaspersky Endpoint Security invia informazioni sulle attività e le impostazioni dell'applicazione modificate.
- Verificare che la casella di controllo Invia telemetria a KATA sia selezionata.
- Se necessario, configurare l'impostazione Ritardo di trasmissione eventi massimo (sec) nel blocco Impostazioni trasmissione dati. L'applicazione si sincronizza con il server per inviare eventi dopo la scadenza dell'intervallo di sincronizzazione. L'impostazione predefinita è 30 secondi.
- Se necessario, selezionare la casella di controllo Abilita limitazione delle richieste nel blocco Limitazione delle richieste.
Questa funzionalità consente di ottimizzare il carico sul server. Se la casella di controllo è selezionata, l'applicazione limita gli eventi trasmessi. Se il numero di eventi supera i limiti configurati, Kaspersky Endpoint Security interrompe l'invio degli eventi.
- Configurare le impostazioni di ottimizzazione per l'invio degli eventi al server:
- Numero massimo di eventi all'ora. L'applicazione analizza il flusso di dati di telemetria e limita l'invio degli eventi se il flusso di eventi supera il limite di eventi all'ora configurato. Kaspersky Endpoint Security riprende l'invio degli eventi dopo un'ora. L'impostazione predefinita è 3000 eventi all'ora.
- Percentuale di eccedenza limite eventi. L'applicazione ordina gli eventi in base al tipo (ad esempio, eventi di "Modifiche nel Registro di sistema") e limita la trasmissione degli eventi se il rapporto tra eventi dello stesso tipo e il numero totale di eventi supera il limite percentuale configurato. Kaspersky Endpoint Security riprende l'invio degli eventi quando il rapporto tra altri eventi e il numero totale di eventi diventa di nuovo sufficientemente elevato. L'impostazione predefinita è 15%.
- Salvare le modifiche.
Esclusioni di telemetria
Per ottimizzare i dati trasmessi, è possibile aggiungere un file eseguibile all'elenco delle applicazioni attendibili. In tal caso, Kaspersky Endpoint Security non invia eventi di telemetria per tale applicazione. In questo modo, è possibile ridurre il traffico di rete e ridurre al minimo la quantità di eventi da oggetti attendibili.
- Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
- Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
- Selezionare la scheda Impostazioni applicazione.
- Passare alla sezione Integrazione KATA → Esclusioni di telemetria.
- In Impostazioni trasmissione dati, selezionare la casella di controllo Usa esclusioni.
- Fare clic su Aggiungi e configurare le esclusioni:
I criteri sono combinati con la logica AND.
- Salvare le modifiche.
- Aprire Kaspersky Security Center Administration Console.
- Nella struttura della console, selezionare Criteri.
- Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
- Nella finestra del criterio, selezionare Integrazione KATA → Esclusioni di telemetria.
- In Impostazioni trasmissione dati, selezionare la casella di controllo Usa esclusioni.
- Fare clic su Aggiungi e configurare le esclusioni:
I criteri sono combinati con la logica AND.
- Salvare le modifiche.