Configuración de telemetría de EDR Expert (on-premise)

Telemetría es una lista de eventos que ocurrieron en el equipo protegido. Kaspersky Endpoint Security analiza los datos de telemetría y los envía a los servidores de colección de telemetría durante la sincronización. Los eventos de telemetría llegan al servidor casi continuamente. Kaspersky Endpoint Security inicia la sincronización con el servidor cuando se cumple alguna de las siguientes condiciones:

• Se ha agotado el intervalo de sincronización.
• La cantidad de eventos en el búfer supera el límite superior.

Por lo tanto, de forma predeterminada, la aplicación se sincroniza cada 30 segundos o cada vez que el búfer contiene 1024 eventos. Puede configurar el comportamiento de sincronización en la directiva de Kaspersky Endpoint Security y seleccionar los valores óptimos para la carga de su red (consulte las instrucciones a continuación).

Si no hay conexión entre Kaspersky Endpoint Security y el servidor, la aplicación pone en cola nuevos eventos. Cuando se restaura la conexión, Kaspersky Endpoint Security envía los eventos en cola al servidor en el orden correcto. Para evitar sobrecargar el servidor, Kaspersky Endpoint Security puede omitir algunos eventos. Para esto, puede optimizar la configuración de transmisión de eventos, por ejemplo, para establecer un valor máximo de eventos por hora (consulte las instrucciones a continuación).

Para establecer la configuración de telemetría, realice los siguientes pasos:

1. En la ventana principal de Web Console, seleccione la pestaña Activos (dispositivos) → Directivas y perfiles.
2. Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.

   Se abre la ventana de propiedades de la directiva.

3. Seleccione la ficha Configuración de la aplicación.
4. Vaya a Configuración de agentes integrados → Endpoint Detection and Response Expert (on-premise).
5. Para configurar EDR Expert (on-premise), seleccione Endpoint Detection and Response Expert (versión 8.0 o posterior) en la lista de soluciones.
6. Asegúrese de que la casilla de verificación Enviar telemetría a servidores de recolección de telemetría está seleccionada en el bloque Configuración de la transmisión de datos.
7. Si es necesario, seleccione la casilla Enviar telemetría solo con IOA. El indicador de ataque (IOA) es una regla que contiene una descripción de comportamiento sospechoso en el sistema que podría señalar un ataque dirigido. La aplicación compara el comportamiento regular en el sistema con estas reglas y registros de eventos que son indicativos de un ataque dirigido. La aplicación usa la tecnología de análisis de transmisión, que permite dar seguimiento a estos eventos en tiempo real.
8. De ser necesario, ajuste la sincronización a la configuración del sistema en el bloque Configuración de la transmisión de datos:
   • Retraso máximo de transmisión de eventos (s). La aplicación se sincroniza con el servidor para enviar eventos después de que caduque el intervalo de sincronización. La configuración predeterminada es de 30 segundos.
   • Cantidad máxima de paquetes de eventos. La aplicación se sincroniza con el servidor cuando el búfer se llena de eventos. La configuración predeterminada es de 1024 eventos.
9. Si es necesario, seleccione la casilla Habilitar regulación de solicitudes en el bloque Regulación de solicitudes.

   Esta función permite optimizar la carga en el servidor. Si la casilla de verificación está seleccionada, la aplicación restringe los eventos transmitidos. Si la cantidad de eventos supera los límites configurados, Kaspersky Endpoint Security deja de enviar eventos.

10. Configure los ajustes de optimización para enviar eventos al servidor:
    • Cantidad máxima de eventos por hora. La aplicación analiza la secuencia de datos de telemetría y restringe el envío de eventos si la secuencia de eventos supera el límite configurado de eventos por hora. Kaspersky Endpoint Security reanuda el envío de eventos después de una hora. La configuración predeterminada es 3000 eventos por hora. Si la aplicación está instalada en un servidor, el flujo de datos de telemetría es mayor. Para los servidores, se recomienda aumentar el valor a 60 000 eventos por hora.
    • Porcentaje de exceso de límite de eventos. La aplicación ordena los eventos por tipo (por ejemplo, eventos de "cambios en el registro") y restringe la transmisión de eventos si la proporción de eventos del mismo tipo con respecto al número total de eventos supera el porcentaje límite configurado. Kaspersky Endpoint Security reanuda el envío de eventos cuando la proporción entre otros eventos y el número total de eventos vuelve a ser lo suficientemente grande. La configuración predeterminada es 15 %.
11. En el bloque Conexión a servidores de respuesta, ingrese un valor para el parámetro Enviar solicitud de sincronización al servidor cada (min).
12. Frecuencia de las solicitudes de sincronización enviadas al servidor. Durante la sincronización, Kaspersky Endpoint Security envía información sobre las tareas y la configuración de la aplicación modificada.
13. Guarde los cambios. Para aplicar la directiva en los equipos, cierre los candados .

Inicio de página