配置 EDR Expert (on-premise) 遥测设置

遥测是受保护计算机上发生的事件的列表。Kaspersky Endpoint Security 在同步期间分析遥测数据并将其发送到遥测采集服务器。遥测事件几乎连续不断地到达服务器。当满足以下任一条件时，Kaspersky Endpoint Security 启动与服务器的同步：

• 同步间隔已用完。
• 缓冲区中的事件数超过上限。

因此，默认情况下，应用程序每 30 秒或每当缓冲区包含 1024 个事件时同步一次。您可以在 Kaspersky Endpoint Security 策略中配置同步行为并选择最佳值以匹配您的网络负载（请参阅下面的说明）。

如果 Kaspersky Endpoint Security 与服务器之间没有连接，应用程序将对新事件进行排队。当连接恢复时，Kaspersky Endpoint Security 以正确的顺序将排队的事件发送到服务器。为避免服务器过载，Kaspersky Endpoint Security 可能会跳过一些事件。要启用此功能，您可以优化事件传输设置，例如，设置每小时最大事件数值（请参阅下面的说明）。

要配置遥测设置，请执行下列步骤：

1. 在 Web Console 的主窗口中，选择“资产(设备)” → “策略和配置文件”选项卡。
2. 单击 Kaspersky Endpoint Security 策略的名称。

   策略属性窗口将打开。

3. 选择应用程序设置选项卡。
4. 选择 内置代理配置 → Endpoint Detection and Response Expert (on-premise)。
5. 要配置 EDR Expert (on-premise)，请从解决方案列表中选择“Endpoint Detection and Response Expert (版本 8.0 或更高版本)”。
6. 确保在“数据传输设置”块中，“将遥测发送到遥测采集服务器”复选框被选中。
7. 如有必要，选中“仅发送带有 IOA 的遥测”复选框。攻击指标 (IOA) 是一条包含系统中可能表明有针对性攻击的可疑行为描述的规则。应用程序将系统中正在进行的行为与这些规则进行比较，并记录表明有针对性攻击的事件。应用程序使用流式扫描技术，可以实时跟踪此类事件。
8. 如果需要，请在“数据传输设置”块配置与服务器设置的同步：
   • “最大事件传输延迟(秒)”。应用程序在同步间隔到期后与服务器同步以发送事件。默认设置是 30 秒。
   • “事件包的最大数量”。当缓冲区充满事件时，应用程序会与服务器同步。默认设置是 1024 个事件。
9. 如有必要，在“请求限制”块选择“启用请求限制”复选框。

   该功能有助于优化服务器上的负载。如果选中该复选框，应用程序将限制传输的事件。如果事件数量超过配置的限制，Kaspersky Endpoint Security 将停止发送事件。

10. 配置用于将事件发送到服务器的优化设置：
    • “每小时最大事件数”。如果事件流超过配置的每小时事件数限制，应用程序会分析遥测数据流并限制事件的发送。Kaspersky Endpoint Security 在一小时后恢复发送事件。默认设置是每小时 3000 个事件。如果应用程序安装在服务器上，遥测数据流会更高。对于服务器，建议将该值增加到每小时 60,000 个事件。
    • “超出事件限制的百分比”。该应用程序按类型对事件进行排序（例如，“注册表中的更改”事件），如果相同类型的事件占事件总数的比率超过配置的百分比限制，则限制事件的传输。当其他事件与事件总数的比率再次变得足够大时，Kaspersky Endpoint Security 将恢复发送事件。默认设置为 15%。
11. 在“连接到响应服务器”块中，为“发送同步请求到服务器的间隔(分钟)”参数输入一个值。
12. 发送到服务器的同步请求的频率。在同步期间，Kaspersky Endpoint Security 发送有关修改的应用程序设置和任务的信息。
13. 保存更改。要在计算机上应用该策略，请关闭“挂锁”。

页面顶部