Configurarea telemetriei EDR (KATA)
Telemetrie este o listă de evenimente care au avut loc pe computerul protejat. Kaspersky Endpoint Security analizează datele de telemetrie și le trimite către Kaspersky Anti Targeted Attack Platform în timpul sincronizării. Evenimentele de telemetrie ajung pe server aproape continuu. Kaspersky Endpoint Security inițiază sincronizarea cu serverul atunci când este îndeplinită oricare dintre următoarele condiții:
- intervalul de sincronizare a expirat;
- numărul de evenimente din memoria tampon depășește limita superioară.
Prin urmare, în mod implicit, aplicația se sincronizează la fiecare 30 de secunde sau ori de câte ori memoria tampon conține 1024 de evenimente. Puteți configura comportamentul de sincronizare în politica Kaspersky Endpoint Security și puteți selecta valorile optime care să corespundă încărcării rețelei dvs. (consultați instrucțiunile de mai jos).
Dacă nu există nicio conexiune între Kaspersky Endpoint Security și server, aplicația pune în coadă evenimentele noi. Când conexiunea este restabilită, Kaspersky Endpoint Security trimite evenimentele din coadă către server în ordinea corespunzătoare. Pentru a evita supraîncărcarea serverului, Kaspersky Endpoint Security poate sări peste unele evenimente. Pentru a activa acest lucru, puteți optimiza setările de transmitere a evenimentelor, de exemplu, puteți seta o valoare maximă pentru numărul evenimentelor pe oră (consultați instrucțiunile de mai jos).
Dacă utilizați Kaspersky Anti Targeted Attack Platform împreună cu o altă soluție care utilizează, de asemenea, telemetria, puteți dezactiva telemetria pentru KATA (EDR) (consultați instrucțiunile de mai jos). Acest lucru vă permite să optimizați încărcarea serverului pentru aceste soluții. De exemplu, dacă aveți soluțiile Managed Detection and Response și KATA (EDR) implementate, puteți utiliza telemetria MDR și puteți crea activități Răspuns la amenințare în KATA (EDR).
Cum se configurează telemetria în Consola de administrare (MMC)
- Deschide Consolă de administrare a Kaspersky Security Center.
- În arborele consolei, selectați Policies.
- Selectați politica necesară și faceți dublu clic pentru a deschide proprietățile politicii.
- În fereastra politicii, selectează Detection and Response și selectează componenta pe care dorești să o configurezi: Endpoint Detection and Response Expert (on-premise) sau Network Detection and Response (KATA).
- Configurați setarea Trimite solicitarea de sincronizare la serverul KATA la fiecare (min). Frecvența solicitărilor de sincronizare trimise către serverul. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației.
- Asigurați-vă că este selectată caseta de validare Trimite telemetrie către KATA.
- Dacă este necesar, configurează sincronizarea cu setările serverului în blocul Setări transmitere date:
- Întârziere maximă între transmiterea evenimentelor (sec). Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde.
- Numărul maxim de evenimente de pachete. Aplicația se sincronizează cu serverul atunci când memoria tampon este umplută cu evenimente. Valoarea implicită este de 1024 de evenimente.
- Dacă este necesar, bifați caseta de selectare Activează limitarea solicitărilor din blocul Limitarea solicitărilor.
Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor.
- Configurați setările de optimizare pentru trimiterea evenimentelor către server:
- Numărul maxim de evenimente pe oră. Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră. Dacă aplicația este instalată pe un server, fluxul de date de telemetrie este mai mare. Pentru servere, se recomandă creșterea valorii la 60.000 de evenimente pe oră.
- Procentajul depășirii limitei de evenimente. Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%.
- Salvați-vă modificările. Pentru a aplica politica pe computere, închide lacătele
.
Cum se configurează telemetria în Web Console
- În fereastra principală a Web Console, selectați fila Assets (Devices) → Policies & profiles.
- Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
- Selectați fila Application settings.
- Accesați Built-in Agents Configuration → Endpoint Detection and Response Expert (on-premise).
- Pentru a configura EDR (KATA), selectează Endpoint Detection and Response Expert (version 7.1 or earlier) din lista de soluții.
- Asigură-te că ai bifat caseta de selectare Send telemetry to KATA servers din blocul Data transmission settings.
- Configurați setarea Send sync request to server every (min). Frecvența solicitărilor de sincronizare trimise către serverul. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației.
- Asigurați-vă că este selectată caseta de validare Send telemetry to KATA servers.
- Dacă este necesar, configurează sincronizarea cu setările serverului în blocul Data transmission settings:
- Maximum event transmission delay (sec). Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde.
- Maximum number of event packages. Aplicația se sincronizează cu serverul atunci când memoria tampon este umplută cu evenimente. Valoarea implicită este de 1024 de evenimente.
- Dacă este necesar, bifați caseta de selectare Enable request throttling din blocul Request throttling.
Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor.
- Configurați setările de optimizare pentru trimiterea evenimentelor către server:
- Maximum number of events per hour. Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră. Dacă aplicația este instalată pe un server, fluxul de date de telemetrie este mai mare. Pentru servere, se recomandă creșterea valorii la 60.000 de evenimente pe oră.
- Percentage of event limit excess. Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%.
- Salvați-vă modificările. Pentru a aplica politica pe computere, închide lacătele
.
- În fereastra principală a Web Console, selectați Assets (Devices) → Policies & profiles.
- Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
- Selectați fila Application settings.
- Accesează secțiunea Integrare KATA → Excluderi telemetrie.
- În Setări transmitere date, bifează caseta de selectare Utilizează excluderi.
- Faceți clic pe Adăugare și configurați excluderile:
Criteriile sunt combinate cu ȘI logic.
- Salvați-vă modificările.
- În arborele Consolei de administrare Kaspersky Security Center, selectează Tasks.
Lista activităților se deschide.
- Fă clic pe New task.
Expertul de activitate pornește. Urmează instrucțiunile din expert.
Pasul 1. Selectarea tipului activității
- Selectați Kaspersky Endpoint Security for Windows (12.12) → Derulare înapoi actualizare.
Pasul 2. Selectarea dispozitivelor cărora le va fi atribuită activitatea
Selectați computerele pe care se va efectua activitatea. Sunt disponibile următoarele opțiuni:
- Atribuirea activității unui grup de administrare. În acest caz, activitatea este atribuită computerelor incluse într-un grup de administrare creat anterior.
- Selectare computere detectate în rețea de Serverul de administrare: dispozitive neatribuite. Dispozitivele specifice pot include dispozitive din grupuri de administrare, precum și dispozitive neatribuite.
- Specificarea manuală a adreselor computerelor sau importarea adreselor dintr-o listă. Poți specifica nume NetBIOS, adrese IP și subrețele IP ale dispozitivelor cărora dorești să le atribui activitatea.
Pasul 3. Configurarea unei planificări de pornire a activității
Configurează planificarea activității, de exemplu, manual.
Pasul 4. Definirea numelui activității
Introdu un nume pentru activitate.
Pasul 7. Finalizarea creării activității
Ieșiți din Expert. Dacă este necesar, bifați caseta de selectare Run the task after the wizard finishes. Puteți monitoriza progresul activității în proprietățile activității.