Телеметрия – список событий, которые произошли на защищаемом компьютере. Kaspersky Endpoint Security анализирует данные телеметрии и отправляет их на серверы Kaspersky Anti Targeted Attack Platform во время синхронизации. События телеметрии поступают на сервер почти непрерывно. Kaspersky Endpoint Security выполняет синхронизацию с сервером при выполнении любого из следующих условий:
Истек период синхронизации.
Количество событий в буфере превысило максимальное значение.
Таким образом, по умолчанию приложение выполняет синхронизацию каждые 30 секунд или при накоплении в буфере 1024 события. Вы можете настроить параметры синхронизации в политике Kaspersky Endpoint Security и выбрать оптимальные значения исходя из нагрузки на сеть (см. инструкцию ниже).
Если соединение между Kaspersky Endpoint Security и сервером отсутствует, то приложение ставит новые события в очередь. При восстановлении соединения Kaspersky Endpoint Security отправляет события из очереди на сервер по порядку. При этом, чтобы не перегрузить сервер, Kaspersky Endpoint Security может отправлять не все события. Для этого вы можете оптимизировать параметры отправки событий и, например, задать максимальное количество событий в час (см. инструкцию ниже).
Если вы используете Kaspersky Anti Targeted Attack Platform совместно с другим решением, которое также использует телеметрию, вы можете выключить отправку телеметрии для KATA (EDR) (см. инструкцию ниже). Это позволит оптимизировать нагрузку на серверы для этих решений. Например, если у вас развернуто решение Managed Detection and Response и KATA (EDR), вы можете использовать телеметрию MDR, а создавать задачи реагирования на угрозы в KATA (EDR).
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Detection and Response и выберите компонент, который вы хотите настроить: Endpoint Detection and Response (KATA) или Network Detection and Response (KATA).
Настройте параметр Отправлять запрос на синхронизацию на сервер KATA каждые (мин.). Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах.
Убедитесь, что флажок Отправлять телеметрию в KATA установлен.
Если требуется, в блоке Настройка передачи данных настройте параметр Максимальная задержка отправки событий (сек.). Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации. По умолчанию установлено значение 30 секунд.
Если требуется, в блоке Регулирование количества запросов установите флажок Включить регулирование количества запросов.
Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события.
Настройте параметры оптимизации отправки событий на сервер:
Максимальное количество событий в час. Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. По умолчанию установлено значение 3000 событий в час. Если приложение установлено на сервер, поток данных телеметрии выше. Для серверов рекомендуется увеличить значение до 60 тыс. событий в час.
Процент превышения лимита событий. Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится. По умолчанию установлено значение 15 %.
В главном окне Web Console выберите Устройства → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите закладку Параметры программы.
Перейдите в раздел Detection and Response и выберите компонент, который вы хотите настроить: Endpoint Detection and Response (KATA) или Network Detection and Response (KATA).
Настройте параметр Отправлять запрос на синхронизацию на сервер KATA каждые (мин.). Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах.
Убедитесь, что флажок Отправлять телеметрию в KATA установлен.
Если требуется, в блоке Настройка передачи данных настройте параметр Максимальная задержка отправки событий (сек.). Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации. По умолчанию установлено значение 30 секунд.
Если требуется, в блоке Регулирование количества запросов установите флажок Включить регулирование количества запросов.
Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события.
Настройте параметры оптимизации отправки событий на сервер:
Максимальное количество событий в час. Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. По умолчанию установлено значение 3000 событий в час. Если приложение установлено на сервер, поток данных телеметрии выше. Для серверов рекомендуется увеличить значение до 60 тыс. событий в час.
Процент превышения лимита событий. Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится. По умолчанию установлено значение 15 %.
Сохраните внесенные изменения.
В главном окне Web Console выберите Устройства → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите закладку Параметры программы.
Перейдите в раздел Интеграция с KATA → Исключения из телеметрии.
В блоке Настройка передачи данных установите флажок Использовать исключения.
Нажмите на кнопку Добавить и настройте параметры исключения:
Критерии применяются при помощи логического И.
Путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски. Для работы исключения необходимо обязательно задать путь к файлу.
Командная строка. Команда для запуска объекта.
Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
Подробнее о ресурсе VersionInfo см. на сайте Microsoft.
Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
MD5. MD5-хеш файла.
SHA256. SHA256-хеш файла.
Типы событий. Для работы исключения необходимо выбрать хотя бы один тип событий.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Интеграция с KATA → Исключения из телеметрии.
В блоке Настройка передачи данных установите флажок Использовать исключения.
Нажмите на кнопку Добавить и настройте параметры исключения:
Критерии применяются при помощи логического И.
Путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски. Для работы исключения необходимо обязательно задать путь к файлу.
Командная строка. Команда для запуска объекта.
Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
Подробнее о ресурсе VersionInfo см. на сайте Microsoft.
Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
MD5. MD5-хеш файла.
SHA256. SHA256-хеш файла.
Типы событий. Для работы исключения необходимо выбрать хотя бы один тип событий.