원격 측정은 보호된 컴퓨터에서 발생한 이벤트 목록입니다. Kaspersky Endpoint Security는 원격 측정 데이터를 분석하여 동기화 시 Kaspersky Anti Targeted Attack Platform에 보냅니다. 원격 측정 이벤트는 거의 지속적으로 서버에 도착합니다. Kaspersky Endpoint Security는 다음 조건 중 하나라도 충족되면 서버와의 동기화를 시작합니다.
동기화 주기가 되었습니다.
버퍼의 이벤트 개수가 상한을 초과합니다.
따라서 기본적으로 애플리케이션은 30초마다, 또는 버퍼에 이벤트가 1024개 있을 때마다 동기화를 합니다. Kaspersky Endpoint Security 정책에서 동기화 동작을 구성하고 네트워크 부하에 맞는 최적의 값을 선택할 수 있습니다(아래 지침 참조).
Kaspersky Endpoint Security와 서버가 서로 연결되어 있지 않으면 애플리케이션이 새 이벤트를 대기시킵니다. 연결이 복원되면 Kaspersky Endpoint Security가 대기열에 있는 이벤트들을 적절한 순서로 서버에 보냅니다. 서버 과부하를 방지하기 위해 Kaspersky Endpoint Security는 일부 이벤트를 건너뛸 수 있습니다. 이를 활성화하기 위해 이벤트 전송 설정을 최적화할 수 있습니다. 예를 들어, 시간당 이벤트 값을 최대로 설정합니다(아래 지침 참조).
Kaspersky Anti Targeted Attack Platform을 원격 측정을 사용하는 다른 솔루션과 함께 사용할 경우 KATA(EDR)의 원격 측정을 끌 수 있습니다(위 지침 참고). 이렇게 하면 솔루션의 서버 로드를 최적화할 수 있습니다. 예를 들어 Managed Detection and Response 솔루션과 KATA(EDR)가 배포되어 있다면 MDR 원격 측정을 사용해 KATA(EDR)에서 보안 위협 대응 작업을 만들 수 있습니다.
정책 창에서 Detection and Response → Endpoint Detection and Response(KATA)를 선택합니다.
다음 시간마다 KATA 서버로 동기화 요청 보내기(분) 설정을 구성합니다. Central Node 서버로 전송되는 동기화 요청 빈도. 동기화하는 동안 Kaspersky Endpoint Security는 수정된 애플리케이션 설정 및 작업에 대한 정보를 보냅니다.
KATA로 원격 측정 전송 확인란이 선택되어 있어야 합니다.
필요한 경우 데이터 전송 설정에서 최대 이벤트 전송 지연(초) 설정을 구성합니다. 애플리케이션이 서버와 동기화하여 동기화 주기가 만료된 후 이벤트를 보냅니다. 기본 설정은 30초입니다.
필요한 경우 요청 제한 블록에서 요청 제한 사용 확인란을 선택합니다.
이 기능은 서버의 부하를 최적화하는 데 도움이 됩니다. 이 확인란을 선택하면 애플리케이션이 전송되는 이벤트를 제한합니다. 이벤트 수가 구성된 제한을 초과하면 Kaspersky Endpoint Security가 이벤트 전송을 중지합니다.
이벤트를 서버로 전송하기 위한 최적화 설정을 구성합니다.
시간당 최대 이벤트 수. 애플리케이션은 이벤트 스트림이 구성된 시간당 이벤트 제한을 초과할 경우 원격 측정 데이터 스트림을 분석하여 이벤트 전송을 제한합니다. Kaspersky Endpoint Security는 1시간 후에 이벤트 전송을 재개합니다. 기본 설정은 시간당 이벤트 3000개입니다.
이벤트 제한 초과율. 애플리케이션은 이벤트를 유형별로 정렬하고(예: "레지스트리 변경 사항" 이벤트) 총 이벤트 수에 대한 동일한 유형의 이벤트 비율이 설정된 제한(백분율)을 초과할 경우 이벤트 전송을 제한합니다. Kaspersky Endpoint Security는 총 이벤트 수에 대한 다른 이벤트의 비율이 다시 충분히 커지면 이벤트 전송을 재개합니다. 기본 설정은 15%입니다.
Detection and Response → Endpoint Detection and Response(KATA)로 갑니다.
다음 시간마다 KATA 서버로 동기화 요청 보내기(분) 설정을 구성합니다. Central Node 서버로 전송되는 동기화 요청 빈도. 동기화하는 동안 Kaspersky Endpoint Security는 수정된 애플리케이션 설정 및 작업에 대한 정보를 보냅니다.
KATA로 원격 측정 전송 확인란이 선택되어 있어야 합니다.
필요한 경우 데이터 전송 설정에서 최대 이벤트 전송 지연(초) 설정을 구성합니다. 애플리케이션이 서버와 동기화하여 동기화 주기가 만료된 후 이벤트를 보냅니다. 기본 설정은 30초입니다.
필요한 경우 요청 제한 블록에서 요청 제한 사용 확인란을 선택합니다.
이 기능은 서버의 부하를 최적화하는 데 도움이 됩니다. 이 확인란을 선택하면 애플리케이션이 전송되는 이벤트를 제한합니다. 이벤트 수가 구성된 제한을 초과하면 Kaspersky Endpoint Security가 이벤트 전송을 중지합니다.
이벤트를 서버로 전송하기 위한 최적화 설정을 구성합니다.
시간당 최대 이벤트 수. 애플리케이션은 이벤트 스트림이 구성된 시간당 이벤트 제한을 초과할 경우 원격 측정 데이터 스트림을 분석하여 이벤트 전송을 제한합니다. Kaspersky Endpoint Security는 1시간 후에 이벤트 전송을 재개합니다. 기본 설정은 시간당 이벤트 3000개입니다.
이벤트 제한 초과율. 애플리케이션은 이벤트를 유형별로 정렬하고(예: "레지스트리 변경 사항" 이벤트) 총 이벤트 수에 대한 동일한 유형의 이벤트 비율이 설정된 제한(백분율)을 초과할 경우 이벤트 전송을 제한합니다. Kaspersky Endpoint Security는 총 이벤트 수에 대한 다른 이벤트의 비율이 다시 충분히 커지면 이벤트 전송을 재개합니다. 기본 설정은 15%입니다.
변경 사항을 저장합니다.
웹 콘솔의 메인 창에서 기기 → 정책 및 프로필을 선택합니다.
Kaspersky Endpoint Security 정책 이름을 클릭합니다.
정책 속성 창이 열립니다.
애플리케이션 설정 탭을 선택합니다.
KATA와의 통합 → 원격 측정 예외 규칙 섹션으로 이동합니다.
데이터 전송 설정에서 예외 사용 확인란을 선택합니다.
추가를 클릭하고 예외 규칙을 설정합니다.
기준은 논리 AND로 결합됩니다.
경로. 이름과 확장자를 포함한 파일의 전체 경로입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 * 및 ? 문자를 지원합니다. 예외가 작동하려면 파일 경로를 지정해야 합니다.
명령줄. 개체를 실행하는 데 사용되는 명령입니다.
설명. RT_VERSION(VersionInfo) 리소스의 FileDescription 매개변수 값입니다.
VersionInfo 리소스에 대한 자세한 내용은 Microsoft 웹사이트를 참고하시기 바랍니다.
원본 파일 이름. RT_VERSION(VersionInfo) 리소스의 OriginalFilename 매개변수 값입니다.