Configurarea setărilor de telemetrie EDR Expert (on-premise)

Telemetrie este o listă de evenimente care au avut loc pe computerul protejat. Kaspersky Endpoint Security analizează datele de telemetrie și le trimite către serverele de colectare a telemetriei în timpul sincronizării. Evenimentele de telemetrie ajung pe server aproape continuu. Kaspersky Endpoint Security inițiază sincronizarea cu serverul atunci când este îndeplinită oricare dintre următoarele condiții:

• intervalul de sincronizare a expirat;
• numărul de evenimente din memoria tampon depășește limita superioară.

Prin urmare, în mod implicit, aplicația se sincronizează la fiecare 30 de secunde sau ori de câte ori memoria tampon conține 1024 de evenimente. Puteți configura comportamentul de sincronizare în politica Kaspersky Endpoint Security și puteți selecta valorile optime care să corespundă încărcării rețelei dvs. (consultați instrucțiunile de mai jos).

Dacă nu există nicio conexiune între Kaspersky Endpoint Security și server, aplicația pune în coadă evenimentele noi. Când conexiunea este restabilită, Kaspersky Endpoint Security trimite evenimentele din coadă către server în ordinea corespunzătoare. Pentru a evita supraîncărcarea serverului, Kaspersky Endpoint Security poate sări peste unele evenimente. Pentru a activa acest lucru, puteți optimiza setările de transmitere a evenimentelor, de exemplu, puteți seta o valoare maximă pentru numărul evenimentelor pe oră (consultați instrucțiunile de mai jos).

Pentru a configura setările de telemetrie, urmează pașii de mai jos:

1. În fereastra principală a Web Console, selectați fila Assets (Devices) → Policies & profiles.
2. Faceți clic pe numele politicii Kaspersky Endpoint Security.

   Se deschide fereastra de proprietăți a politicii.

3. Selectați fila Application settings.
4. Accesați Built-in Agents Configuration → Endpoint Detection and Response Expert (on-premise).
5. Pentru a configura EDR Expert (on-premise), selectează Endpoint Detection and Response Expert (version 8.0 or later) din lista de soluții.
6. Asigură-te că ai bifat caseta de selectare Send telemetry to telemetry collection servers din blocul Data transmission settings.
7. Dacă este necesar, bifați caseta de selectare Send telemetry with IOA only. Indicatorul de atac (IOA) este o regulă care conține o descriere a comportamentului suspect din sistem, care poate indica un atac țintit. Aplicația compară comportamentul curent din sistem cu aceste reguli și înregistrează în jurnal evenimentele care indică un atac țintit. Aplicația utilizează tehnologia scanare în flux care permite urmărirea în timp real a acestor evenimente.
8. Dacă este necesar, configurează sincronizarea cu setările serverului în blocul Data transmission settings:
   • Maximum event transmission delay (sec). Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde.
   • Maximum number of event packages. Aplicația se sincronizează cu serverul atunci când memoria tampon este umplută cu evenimente. Valoarea implicită este de 1024 de evenimente.
9. Dacă este necesar, bifați caseta de selectare Enable request throttling din blocul Request throttling.

   Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor.

10. Configurați setările de optimizare pentru trimiterea evenimentelor către server:
    • Maximum number of events per hour. Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră. Dacă aplicația este instalată pe un server, fluxul de date de telemetrie este mai mare. Pentru servere, se recomandă creșterea valorii la 60.000 de evenimente pe oră.
    • Percentage of event limit excess. Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%.
11. În blocul Connection to response servers, introdu o valoare pentru parametrul Send sync request to server every (min).
12. Frecvența solicitărilor de sincronizare trimise către serverul. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației.
13. Salvați-vă modificările. Pentru a aplica politica pe computere, închide lacătele .

Începutul paginii