Kaspersky Endpoint Security по умолчанию отправляет в KUMA ограниченный набор событий журналов Windows. Для повышения производительности и оптимизации отправки данных на Сервер KUMA вы можете вручную добавить или исключить отдельные события из телеметрии. Например, вы можете отменить отправку событий Sysmon.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Общие настройки → Исключения и типы объектов.
В блоке Исключения из проверки и доверенные приложения → Телеметрия KUMA нажмите на кнопку Настройка.
В открывшемся окне настройте фильтры событий для отправки в KUMA.
Вы можете настроить фильтрацию событий для стандартных журналов Application, Security, System или добавить другой журнал вручную.
Нажмите на кнопку Добавить или откройте свойства журнала.
Выберите режим отправки событий:
Отправлять все события. В этом режиме приложение отправляет все события журнала Windows кроме событий, добавленных в правила исключения.
Отправлять только выбранные события. В этом режиме приложение отправляет только события, добавленные в правила включения.
Сформируйте списки правил исключения или правил включения для соответствующего режима отправки событий.
Для добавления правил необходимо указать идентификатор события в журнале событий Windows. Вы можете перечислить несколько идентификаторов событий в одном правиле. Для указания нескольких идентификаторов событий используйте символ ",".
Сохраните внесенные изменения. Для применения политики на компьютерах, закройте замки .
В главном окне Web Console выберите закладку Активы (Устройства) → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите закладку Параметры приложения.
Перейдите в раздел Общие настройки → Настройки телеметрии.
Выберите закладку Телеметрия KUMA.
В открывшемся окне настройте фильтры событий для отправки в KUMA.
Вы можете настроить фильтрацию событий для стандартных журналов Application, Security, System или добавить другой журнал вручную.
Нажмите на кнопку Добавить или откройте свойства журнала.
Выберите режим отправки событий:
Отправлять все события. В этом режиме приложение отправляет все события журнала Windows кроме событий, добавленных в правила исключения.
Отправлять только выбранные события. В этом режиме приложение отправляет только события, добавленные в правила включения.
Сформируйте списки правил исключения или правил включения для соответствующего режима отправки событий.
Для добавления правил необходимо указать идентификатор события в журнале событий Windows. Вы можете перечислить несколько идентификаторов событий в одном правиле. Для указания нескольких идентификаторов событий используйте символ ",".
Сохраните внесенные изменения. Для применения политики на компьютерах, закройте замки .
.
.