配置遥测

遥测是受保护计算机上发生的事件的列表。Kaspersky Endpoint Security 分析遥测数据并在同步期间将其发送到 Kaspersky Anti Targeted Attack Platform。遥测事件几乎连续不断地到达服务器。当满足以下任一条件时,Kaspersky Endpoint Security 启动与服务器的同步:

因此,默认情况下,应用程序每 30 秒或每当缓冲区包含 1024 个事件时同步一次。您可以在 Kaspersky Endpoint Security 策略中配置同步行为并选择最佳值以匹配您的网络负载(请参阅下面的说明)。

如果 Kaspersky Endpoint Security 与服务器之间没有连接,应用程序将对新事件进行排队。当连接恢复时,Kaspersky Endpoint Security 以正确的顺序将排队的事件发送到服务器。为避免服务器过载,Kaspersky Endpoint Security 可能会跳过一些事件。要启用此功能,您可以优化事件传输设置,例如,设置每小时最大事件数值(请参阅下面的说明)。

如果您将 Kaspersky Anti Targeted Attack Platform 与另一个也使用遥测的解决方案一起使用,您可以关闭 KATA (EDR) 的遥测(参见上面的说明)。这使您可以优化这些解决方案的服务器负载。例如,如果您部署了托管检测和响应解决方案和 KATA (EDR),则可以使用 MDR 遥测并在 KATA (EDR) 中创建威胁响应任务。

如何在管理控制台 (MMC) 中配置 EDR 遥测

如何在 Web Console 上配置 EDR 遥测

遥测排除项

要优化传输的数据,您可以将可执行文件添加到受信任的应用程序列表。在这种情况下,Kaspersky Endpoint Security 不会为该应用程序发送遥测事件。这使您可以减少网络流量并最大限度地减少来自受信任对象的事件数量。

页面顶部