请在您的网页浏览器中启用 JavaScript!
配置遥测
遥测 是受保护计算机上发生的事件的列表。Kaspersky Endpoint Security 分析遥测数据并在同步期间将其发送到 Kaspersky Anti Targeted Attack Platform。遥测事件几乎连续不断地到达服务器。当满足以下任一条件时,Kaspersky Endpoint Security 启动与服务器的同步:
因此,默认情况下,应用程序每 30 秒或每当缓冲区包含 1024 个事件时同步一次。您可以在 Kaspersky Endpoint Security 策略中配置同步行为并选择最佳值以匹配您的网络负载(请参阅下面的说明)。
如果 Kaspersky Endpoint Security 与服务器之间没有连接,应用程序将对新事件进行排队。当连接恢复时,Kaspersky Endpoint Security 以正确的顺序将排队的事件发送到服务器。为避免服务器过载,Kaspersky Endpoint Security 可能会跳过一些事件。要启用此功能,您可以优化事件传输设置,例如,设置每小时最大事件数值(请参阅下面的说明)。
如果您将 Kaspersky Anti Targeted Attack Platform 与另一个也使用遥测的解决方案一起使用,您可以关闭 KATA (EDR) 的遥测(参见下面的说明)。这使您可以优化这些解决方案的服务器负载。例如,如果您部署了 Managed Detection and Response 解决方案和 KATA (EDR),则可以使用 MDR 遥测并在 KATA (EDR) 中创建威胁响应任务。
如何在管理控制台 (MMC) 中配置遥测
打开 Kaspersky Security Center Administration Console。 在控制台树中,选择“策略 ”。 选择必要的策略并双击以打开策略属性。 在策略窗口中,选择“Detection and Response ”并选择要配置的组件:Endpoint Detection and Response (KATA) 或者 Network Detection and Response (KATA) 。 配置“发送同步请求到 KATA 服务器的间隔(分钟) ”设置。发送到服务器的同步请求的频率。在同步期间,Kaspersky Endpoint Security 发送有关修改的应用程序设置和任务的信息。 确保“发送遥测数据到 KATA ”复选框被选中。 如有必要,在“数据传输设置 ”块配置“最大事件传输延迟(秒) ”设置。应用程序在同步间隔到期后与服务器同步以发送事件。默认设置是 30 秒。 如有必要,在“请求限制 ”块选择“启用请求限制 ”复选框。该功能有助于优化服务器上的负载。如果选中该复选框,应用程序将限制传输的事件。如果事件数量超过配置的限制,Kaspersky Endpoint Security 将停止发送事件。
配置用于将事件发送到服务器的优化设置:“每小时最大事件数 ”。如果事件流超过配置的每小时事件数限制,应用程序会分析遥测数据流并限制事件的发送。Kaspersky Endpoint Security 在一小时后恢复发送事件。默认设置是每小时 3000 个事件。如果应用程序安装在服务器上,遥测数据流会更高。对于服务器,建议将该值增加到每小时 60,000 个事件。 “超出事件限制的百分比 ”。该应用程序按类型对事件进行排序(例如,“注册表中的更改”事件),如果相同类型的事件占事件总数的比率超过配置的百分比限制,则限制事件的传输。当其他事件与事件总数的比率再次变得足够大时,Kaspersky Endpoint Security 将恢复发送事件。默认设置为 15%。 保存更改。 如何在 Web Console 中配置遥测
在 Web Console 的主窗口中,选择“资产(设备) ” → “策略和配置文件 ”。 单击 Kaspersky Endpoint Security 策略的名称。策略属性窗口将打开。
选择应用程序设置 选项卡。 前往“Detection and Response ”部分并选择要配置的组件:Endpoint Detection and Response (KATA) 或者 Network Detection and Response (KATA) 。 配置“发送同步请求到 KATA 服务器的间隔(分钟) ”设置。发送到服务器的同步请求的频率。在同步期间,Kaspersky Endpoint Security 发送有关修改的应用程序设置和任务的信息。 确保“发送遥测数据到 KATA ”复选框被选中。 如有必要,在“数据传输设置 ”块配置“最大事件传输延迟(秒) ”设置。应用程序在同步间隔到期后与服务器同步以发送事件。默认设置是 30 秒。 如有必要,在“请求限制 ”块选择“启用请求限制 ”复选框。该功能有助于优化服务器上的负载。如果选中该复选框,应用程序将限制传输的事件。如果事件数量超过配置的限制,Kaspersky Endpoint Security 将停止发送事件。
配置用于将事件发送到服务器的优化设置:“每小时最大事件数 ”。如果事件流超过配置的每小时事件数限制,应用程序会分析遥测数据流并限制事件的发送。Kaspersky Endpoint Security 在一小时后恢复发送事件。默认设置是每小时 3000 个事件。如果应用程序安装在服务器上,遥测数据流会更高。对于服务器,建议将该值增加到每小时 60,000 个事件。 “超出事件限制的百分比 ”。该应用程序按类型对事件进行排序(例如,“注册表中的更改”事件),如果相同类型的事件占事件总数的比率超过配置的百分比限制,则限制事件的传输。当其他事件与事件总数的比率再次变得足够大时,Kaspersky Endpoint Security 将恢复发送事件。默认设置为 15%。 保存更改。
在 Web Console 的主窗口中,选择“资产(设备) ” → “策略和配置文件 ”。 单击 Kaspersky Endpoint Security 策略的名称。策略属性窗口将打开。
选择应用程序设置 选项卡。 转到 KATA 整合 → 遥测排除项 区域。 在“数据传输设置 ”下,选择“使用排除项 ”复选框。 点击“添加 ”并配置排除项:标准与逻辑 AND 相结合。
保存更改。 打开 Kaspersky Security Center Administration Console。 在控制台树中,选择“策略 ”。 选择必要的策略并双击以打开策略属性。 在策略窗口中,选择 KATA 整合 → 遥测排除项 。 在“数据传输设置 ”下,选择“使用排除项 ”复选框。 点击“添加 ”并配置排除项:标准与逻辑 AND 相结合。
保存更改。
页面顶部