Definição das configurações de telemetria do EDR Expert (on-premise)

Telemetria é uma lista de eventos que ocorreram no computador protegido. O Kaspersky Endpoint Security analisa os dados de telemetria para enviá-los para a Kaspersky Anti Targeted Attack Platform durante a sincronização. Os eventos de telemetria chegam ao servidor quase continuamente. O Kaspersky Endpoint Security inicia a sincronização com o servidor quando qualquer uma das seguintes condições for satisfeita:

• O intervalo de sincronização terminou.
• O número de eventos no buffer excede o limite superior.

Portanto, por padrão, o aplicativo sincroniza a cada 30 segundos ou sempre que o buffer contiver 1024 eventos. É possível configurar o comportamento de sincronização na política do Kaspersky Endpoint Security e selecionar os valores ideais para que correspondam com sua carga de rede (consulte as instruções abaixo).

Se não houver conexão entre o Kaspersky Endpoint Security e o servidor, o aplicativo enfileira novos eventos. Quando a conexão é restaurada, o Kaspersky Endpoint Security envia eventos em fila para o servidor na ordem correta. Para evitar sobrecarregar o servidor, o Kaspersky Endpoint Security pode ignorar alguns eventos. Para ativar essa opção, é possível otimizar as configurações de transmissão de eventos, por exemplo, para definir um valor máximo de eventos por hora (consulte as instruções abaixo).

Para definir as configurações de telemetria, execute as seguintes etapas:

1. Na janela principal do Web Console, selecione a guia Ativos (dispositivos) → Políticas e perfis.
2. Clique no nome da política do Kaspersky Endpoint Security.

   A janela de propriedades da política é exibida.

3. Selecione a guia Configurações do aplicativo.
4. Selecione Configuração de agentes integrados → Endpoint Detection and Response Expert (on-premise).
5. Para configurar o EDR Expert (on-premise), selecione Endpoint Detection and Response Expert (versão 8.0 ou posterior) pela lista de soluções.
6. Verifique e confirme se a caixa de seleção Enviar telemetria aos servidores de coleta de telemetria está marcada no bloco Configurações de transmissão de dados.
7. Caso seja necessário, marque a caixa de seleção Enviar apenas telemetria com IOA. Indicadores de ataque (IOA) é uma regra que contém uma descrição de comportamentos suspeitos no sistema que podem indicar um ataque direcionado. O aplicativo compara o comportamento contínuo no sistema com essas regras e registra os eventos que indicam um ataque direcionado. O aplicativo usa a tecnologia de verificação de streaming, que permite fazer o rastreamento de eventos em tempo real.
8. Caso necessário, configure a sincronização com as configurações do servidor no bloco Configurações de transmissão de dados:
   • Atraso máximo na transmissão de eventos (segundos). O aplicativo sincroniza com o servidor para enviar eventos após expirar o intervalo de sincronização. A configuração padrão é 30 segundos.
   • Número máximo de pacotes de eventos. O aplicativo sincroniza com o servidor quando o buffer está cheio de eventos. A configuração padrão é 1024 eventos.
9. Caso seja necessário, marque a caixa de seleção Ativar a limitação de solicitações no bloco Limitação de solicitações.

   Esse recurso ajuda a otimizar a carga no computador. Caso a caixa de seleção esteja marcada, o aplicativo restringirá os eventos transmitidos. Caso o número de eventos exceda os limites configurados, o Kaspersky Endpoint Security interromperá o envio de eventos.

10. Defina as configurações de otimização para enviar eventos ao servidor:
    • Número máximo de eventos por hora. O aplicativo analisa o fluxo de dados de telemetria e restringe o envio de eventos caso ele exceda o limite de eventos configurado por hora. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A configuração padrão é de 3 mil eventos por hora. Caso o aplicativo esteja instalado em um servidor, o fluxo de dados de telemetria será maior. Para servidores, é recomendável aumentar o valor para 60 mil eventos por hora.
    • Porcentagem de excesso de limite de evento. O aplicativo ordena os eventos por tipo (por exemplo, eventos "alterações no registro") e restringe a transmissão de eventos caso a proporção de eventos do mesmo tipo para o número total de eventos exceda o limite configurado em porcentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos torna-se volumosa o suficiente novamente. A configuração padrão é 15%.
11. No bloco Conexão com servidores de resposta, insira um valor para o parâmetro Enviar solicitação de sincronização para o servidor a cada (min.).
12. Frequência de solicitações de sincronização enviadas ao servidor. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as configurações e tarefas modificadas do aplicativo.
13. Salvar alterações. Para aplicar a política em computadores, feche os cadeados .

Início da página