請在您的網頁瀏覽器中啟用 JavaScript!
配置遙測
遙測 是受防護電腦上發生的事件的清單。Kaspersky Endpoint Security 會分析遙測資料並在同步期間將其傳送到 Kaspersky Anti Targeted Attack Platform。遙測事件幾乎連續不斷地到達伺服器。當滿足以下任一條件時,Kaspersky Endpoint Security 啟動與伺服器的同步:
因此,預設情況下,應用程式每 30 秒或每當緩衝區包含 1024 個事件時同步一次。您可以在 Kaspersky Endpoint Security 政策中配置同步行為並選擇最佳值以匹配您的網路負載(請參閱下面的說明)。
如果 Kaspersky Endpoint Security 與伺服器之間沒有連線,應用程式將對新事件進行佇列。當連線還原時,Kaspersky Endpoint Security 將以正確順序將佇列事件傳送到伺服器。為避免伺服器過載,Kaspersky Endpoint Security 可能會略過一些事件。要啟用此功能,您可以最佳化事件傳輸設定,例如,設定每小時最大事件數值(請參閱下面的說明)。
如果您將 Kaspersky Anti Targeted Attack Platform 與另一個也使用遙測的解決方案一起使用,您可以關閉 KATA (EDR) 的遙測(請參閱以上說明)。這可讓您最佳化這些解決方案的伺服器負載。例如,如果您部署了 Managed Detection and Response 解決方案和 KATA (EDR),則可以使用 MDR 遙測並在 KATA (EDR) 中建立威脅回應工作。
如何在管理主控台 (MMC) 上設定 EDR 遙測
開啟卡巴斯基安全管理中心管理主控台。 在主控台樹狀目錄中,選擇“政策 ”。 選擇必要的政策並點擊以開啟政策內容。 在政策視窗中,選擇“Detection and Response → Endpoint Detection and Response (KATA) ”。 配置 傳送同步請求到 KATA 伺服器間隔(分) 設定。傳送到中央節點伺服器的同步請求的頻率。在同步期間,Kaspersky Endpoint Security 傳送有關被修改應用程式設定和工作的資訊。 請確保選中發送遙測資料到 KATA 核取方塊。 如有必要,在資料傳輸設定 塊中配置最大事件傳輸延遲時間(秒) 設定。應用程式在同步間隔到期後與伺服器同步以傳送事件。預設設定是 30 秒。 如有必要,在請求節流 塊中選擇啟用請求節流 核取方塊。該功能有助於最佳化伺服器負載。如果選中該核取方塊,應用程式將限制傳輸的事件。如果事件數量超過配置的限制,Kaspersky Endpoint Security 將停止傳送事件。
配置用於將事件傳送到伺服器的最佳化設定:每個小時的最大事件數量 如果事件流超過配置的每小時事件數限制,應用程式會分析遙測數據流並限制事件的傳送。Kaspersky Endpoint Security 在一小時後還原傳送事件。預設設定是每小時 3000 個事件。事件限制超過百分比 該應用程式按類型對事件進行排序(例如,“登錄檔中的變更”事件),如果相同類型的事件佔事件總數的比率超過配置的百分比限制,則限制事件的傳輸。當其他事件與事件總數的比率再次變得足夠大時,Kaspersky Endpoint Security 會還原傳送事件。預設設定為 15%。 儲存變更。 如何在 Web 主控台上配置 EDR 遙測
在網頁主控台的主視窗中,選擇裝置 → 政策和設定檔 。 點擊 Kaspersky Endpoint Security 政策的名稱。政策內容視窗將開啟。
選擇“應用程式設定 ”標籤。 轉到”Detection and Response ”→”Endpoint Detection and Response (KATA) ”。 配置 傳送同步請求到 KATA 伺服器間隔(分) 設定。傳送到中央節點伺服器的同步請求的頻率。在同步期間,Kaspersky Endpoint Security 傳送有關被修改應用程式設定和工作的資訊。 請確保選中發送遙測資料到 KATA 核取方塊。 如有必要,在資料傳輸設定 塊中配置最大事件傳輸延遲時間(秒) 設定。應用程式在同步間隔到期後與伺服器同步以傳送事件。預設設定是 30 秒。 如有必要,在請求節流 塊中選擇啟用請求節流 核取方塊。該功能有助於最佳化伺服器負載。如果選中該核取方塊,應用程式將限制傳輸的事件。如果事件數量超過配置的限制,Kaspersky Endpoint Security 將停止傳送事件。
配置用於將事件傳送到伺服器的最佳化設定:每個小時的最大事件數量 如果事件流超過配置的每小時事件數限制,應用程式會分析遙測數據流並限制事件的傳送。Kaspersky Endpoint Security 在一小時後還原傳送事件。預設設定是每小時 3000 個事件。事件限制超過百分比 該應用程式按類型對事件進行排序(例如,“登錄檔中的變更”事件),如果相同類型的事件佔事件總數的比率超過配置的百分比限制,則限制事件的傳輸。當其他事件與事件總數的比率再次變得足夠大時,Kaspersky Endpoint Security 會還原傳送事件。預設設定為 15%。 儲存變更。
在網頁主控台的主視窗中,選擇裝置 → 政策和設定檔 。 點擊 Kaspersky Endpoint Security 政策的名稱。政策內容視窗將開啟。
選擇“應用程式設定 ”標籤。 前往 KATA 整合 → 遙測排除項目 部分。 在資料傳輸設定 下,選擇使用排除項目 核取方塊。 點擊新增 並配置排除項目:標準與邏輯 AND 相結合。
儲存變更。 開啟卡巴斯基安全管理中心管理主控台。 在主控台樹狀目錄中,選擇“政策 ”。 選擇必要的政策並點擊以開啟政策內容。 在政策視窗中,選擇KATA 整合 → 遙測排除項目 。 在資料傳輸設定 下,選擇使用排除項目 核取方塊。 點擊新增 並配置排除項目:標準與邏輯 AND 相結合。
儲存變更。
頁面頂部