Configuración de la telemetría de EDR (KATA)
Telemetría es una lista de eventos que ocurrieron en el equipo protegido. Kaspersky Endpoint Security analiza los datos de telemetría y los envía a Kaspersky Anti Targeted Attack Platform durante la sincronización. Los eventos de telemetría llegan al servidor casi continuamente. Kaspersky Endpoint Security inicia la sincronización con el servidor cuando se cumple alguna de las siguientes condiciones:
- Se ha agotado el intervalo de sincronización.
- La cantidad de eventos en el búfer supera el límite superior.
Por lo tanto, de forma predeterminada, la aplicación se sincroniza cada 30 segundos o cada vez que el búfer contiene 1024 eventos. Puede configurar el comportamiento de sincronización en la directiva de Kaspersky Endpoint Security y seleccionar los valores óptimos para la carga de su red (consulte las instrucciones a continuación).
Si no hay conexión entre Kaspersky Endpoint Security y el servidor, la aplicación pone en cola nuevos eventos. Cuando se restaura la conexión, Kaspersky Endpoint Security envía los eventos en cola al servidor en el orden correcto. Para evitar sobrecargar el servidor, Kaspersky Endpoint Security puede omitir algunos eventos. Para esto, puede optimizar la configuración de transmisión de eventos, por ejemplo, para establecer un valor máximo de eventos por hora (consulte las instrucciones a continuación).
Si está usando Kaspersky Anti Targeted Attack Platform junto con otra solución que también usa telemetría, puede desactivar la telemetría para KATA (EDR) (consulte las instrucciones a continuación). Esto le permite optimizar la carga del servidor para estas soluciones. Por ejemplo, si tiene implementada la solución Managed Detection and Response y KATA (EDR), puede usar la telemetría de MDR y crear tareas de Respuesta ante amenazas en KATA (EDR).
Cómo configurar la telemetría en la Consola de administración (MMC)
- Abra la Consola de administración de Kaspersky Security Center.
- En el árbol de la consola, seleccione Directivas.
- Seleccione la directiva correspondiente y haga doble clic para abrir las propiedades de la directiva.
- En la ventana de la directiva, seleccione Detection and Response y el componente que desea configurar: Endpoint Detection and Response Expert (on-premise) o Network Detection and Response (KATA).
- Configure la opción Enviar solicitud de sincronización al servidor de KATA cada (min). Frecuencia de las solicitudes de sincronización enviadas al servidor. Durante la sincronización, Kaspersky Endpoint Security envía información sobre las tareas y la configuración de la aplicación modificada.
- Asegúrese de que la casilla de verificación Enviar telemetría a KATA esté seleccionada.
- De ser necesario, ajuste la sincronización a la configuración del sistema en el bloque Configuración de la transmisión de datos:
- Retraso máximo de transmisión de eventos (s). La aplicación se sincroniza con el servidor para enviar eventos después de que caduque el intervalo de sincronización. La configuración predeterminada es de 30 segundos.
- Cantidad máxima de eventos por paquete. La aplicación se sincroniza con el servidor cuando el búfer se llena de eventos. La configuración predeterminada es de 1024 eventos.
- Si es necesario, seleccione la casilla Habilitar regulación de solicitudes en el bloque Regulación de solicitudes.
Esta función permite optimizar la carga en el servidor. Si la casilla de verificación está seleccionada, la aplicación restringe los eventos transmitidos. Si la cantidad de eventos supera los límites configurados, Kaspersky Endpoint Security deja de enviar eventos.
- Configure los ajustes de optimización para enviar eventos al servidor:
- Cantidad máxima de eventos por hora. La aplicación analiza la secuencia de datos de telemetría y restringe el envío de eventos si la secuencia de eventos supera el límite configurado de eventos por hora. Kaspersky Endpoint Security reanuda el envío de eventos después de una hora. La configuración predeterminada es 3000 eventos por hora. Si la aplicación está instalada en un servidor, el flujo de datos de telemetría es mayor. Para los servidores, se recomienda aumentar el valor a 60 000 eventos por hora.
- Porcentaje de exceso de límite de eventos. La aplicación ordena los eventos por tipo (por ejemplo, eventos de "cambios en el registro") y restringe la transmisión de eventos si la proporción de eventos del mismo tipo con respecto al número total de eventos supera el porcentaje límite configurado. Kaspersky Endpoint Security reanuda el envío de eventos cuando la proporción entre otros eventos y el número total de eventos vuelve a ser lo suficientemente grande. La configuración predeterminada es 15 %.
- Guarde los cambios. Para aplicar la directiva en los equipos, cierre los candados
.
Cómo configurar la telemetría en Web Console
- En la ventana principal de Web Console, seleccione la pestaña Activos (dispositivos) → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a Configuración de agentes integrados → Endpoint Detection and Response Expert (on-premise).
- Para configurar EDR (KATA), seleccione Endpoint Detection and Response Expert (versión 7.1 o anterior) de la lista de soluciones.
- Asegúrese de que la casilla de verificación Enviar telemetría a servidores de KATA está seleccionada en el bloque Configuración de la transmisión de datos.
- Configure la opción Enviar solicitud de sincronización al servidor cada (min). Frecuencia de las solicitudes de sincronización enviadas al servidor. Durante la sincronización, Kaspersky Endpoint Security envía información sobre las tareas y la configuración de la aplicación modificada.
- Asegúrese de que la casilla de verificación Enviar telemetría a servidores de KATA esté seleccionada.
- De ser necesario, ajuste la sincronización a la configuración del sistema en el bloque Configuración de la transmisión de datos:
- Retraso máximo de transmisión de eventos (s). La aplicación se sincroniza con el servidor para enviar eventos después de que caduque el intervalo de sincronización. La configuración predeterminada es de 30 segundos.
- Cantidad máxima de paquetes de eventos. La aplicación se sincroniza con el servidor cuando el búfer se llena de eventos. La configuración predeterminada es de 1024 eventos.
- Si es necesario, seleccione la casilla Habilitar regulación de solicitudes en el bloque Regulación de solicitudes.
Esta función permite optimizar la carga en el servidor. Si la casilla de verificación está seleccionada, la aplicación restringe los eventos transmitidos. Si la cantidad de eventos supera los límites configurados, Kaspersky Endpoint Security deja de enviar eventos.
- Configure los ajustes de optimización para enviar eventos al servidor:
- Cantidad máxima de eventos por hora. La aplicación analiza la secuencia de datos de telemetría y restringe el envío de eventos si la secuencia de eventos supera el límite configurado de eventos por hora. Kaspersky Endpoint Security reanuda el envío de eventos después de una hora. La configuración predeterminada es 3000 eventos por hora. Si la aplicación está instalada en un servidor, el flujo de datos de telemetría es mayor. Para los servidores, se recomienda aumentar el valor a 60 000 eventos por hora.
- Porcentaje de exceso de límite de eventos. La aplicación ordena los eventos por tipo (por ejemplo, eventos de "cambios en el registro") y restringe la transmisión de eventos si la proporción de eventos del mismo tipo con respecto al número total de eventos supera el porcentaje límite configurado. Kaspersky Endpoint Security reanuda el envío de eventos cuando la proporción entre otros eventos y el número total de eventos vuelve a ser lo suficientemente grande. La configuración predeterminada es 15 %.
- Guarde los cambios. Para aplicar la directiva en los equipos, cierre los candados
.
- En la ventana principal de Web Console, seleccione Activos (dispositivos) → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a la sección Integración KATA → Exclusiones de telemetría.
- En Configuración de la transmisión de datos, seleccione la casilla de verificación Usar exclusiones.
- Haga clic en Agregar y configure las exclusiones:
Los criterios se combinan con la lógica Y.
- Guarde los cambios.
- En el árbol de la Consola de administración de Kaspersky Security Center, seleccione Tareas.
Se abre la lista de tareas.
- Haga clic en Nueva tarea.
Se inicia el Asistente de tareas. Siga las instrucciones del Asistente.
Paso 1. Selección del tipo de tarea
- Seleccione Kaspersky Endpoint Security para Windows (12.12) → Reversión de la actualización.
Paso 2. Selección de los dispositivos a los que se asignará la tarea
Seleccione los equipos en los que se ejecutará la tarea. Las siguientes opciones están disponibles:
- Asignar la tarea a un grupo de administración. En este caso, la tarea se asigna a los equipos incluidos en un grupo de administración creado anteriormente.
- Seleccione los equipos no detectados por el Servidor de Administración en la red - dispositivos no asignados. Los dispositivos específicos pueden incluir dispositivos en grupos de administración, así como dispositivos no asignados.
- Especifique direcciones de dispositivo manualmente o importe direcciones de una lista. Puede especificar los nombres NetBIOS, las direcciones IP y las subredes IP de los dispositivos a los que desea asignar la tarea.
Paso 3. Programación de la tarea
Configure la programación de la tarea, por ejemplo, manualmente.
Paso 4. Nombre de la tarea
Ingrese un nombre para la tarea.
Paso 7. Completar creación de la tarea
Salga del Asistente. Si es necesario, seleccione la casilla Ejecutar la tarea al finalizar el asistente. Podrá ver el progreso de la tarea en las propiedades de la misma.