تكوين القياس عن بعد

الدعم

دعم حلول الأعمال

Kaspersky Endpoint Security 12 for Windows

حلول Detection and Response

Kaspersky Anti Targeted Attack Platform (EDR)

تكوين القياس عن بعد

14 فبراير 2024

ID 236497

حفظ كملف PDF

القياس عن بعد عبارة عن قائمة الأحداث التي وقعت على الكمبيوتر المحمي. ويحلل Kaspersky Endpoint Security بيانات القياس عن بُعد ويرسلها إلى Kaspersky Anti Targeted Attack Platform أثناء المزامنة. وتصل أحداث التتبع عن بُعد إلى الخادم بشكل شبه مستمر. ويبدأ Kaspersky Endpoint Security المزامنة مع الخادم عند استيفاء أي من الشروط التالية:

نفد الفاصل الزمني للمزامنة.
عدد الأحداث في المخزن المؤقت يتجاوز الحد الأعلى.

لذلك، يتزامن التطبيق افتراضيًا كل 30 ثانية أو كلما احتوى المخزن المؤقت على 1024 حدثًا. ويمكنك تكوين سلوك المزامنة في سياسة Kaspersky Endpoint Security وتحديد القيم المثلى لمطابقة حمل الشبكة (انظر التعليمات أدناه).

إذا لم يكن هناك اتصال بين Kaspersky Endpoint Security والخادم، فإن التطبيق يضع الأحداث الجديدة في قائمة الانتظار. وعند استعادة الاتصال، يرسل Kaspersky Endpoint Security الأحداث في قائمة الانتظار إلى الخادم بالترتيب الصحيح. ولتجنب الحمل الزائد على الخادم، قد يتخطى Kaspersky Endpoint Security بعض الأحداث. ولتمكين هذا، يمكنك تحسين إعدادات إرسال الأحداث، على سبيل المثال، لتعيين الحد الأقصى لقيمة الأحداث في الساعة (انظر الإرشادات أدناه).

وإذا كنت تستخدم Kaspersky Anti Targeted Attack Platform جنبًا إلى جنب مع حل آخر يستخدم أيضًا القياس عن بُعد، يمكنك إيقاف تشغيل القياس عن بُعد لحل KATA (EDR) (راجع الإرشادات أعلاه). ويتيح لك هذا تحسين حمل الخادم لهذه الحلول. على سبيل المثال، إذا كان لديك حل Managed Detection and Response وتم نشر KATA (EDR)، يمكنك استخدام القياس عن بُعد في MDR وإنشاء مهام الاستجابة للتهديد في KATA (EDR).‏

كيفية تكوين القياس عن بُعد في EDR على وحدة تحكم الإدارة (MMC)

افتح Kaspersky Security Center Administration Console.‏
في شجرة وحدة التحكم، حدد السياسات.
حدد السياسة اللازمة وانقر نقرًا مزدوجًا لفتح خصائص السياسة.
في نافذة السياسة، حدد Detection and Response ← ‏Endpoint Detection and Response (KATA)‎.
كوّن إعداد إرسال طلب مزامنة إلى خادم KATA كل (دقيقة). عدد مرات إرسال طلبات المزامنة إلى خادم العقدة المركزية. أثناء المزامنة، يرسل Kaspersky Endpoint Security معلومات عن إعدادات ومهام التطبيق المعدلة.
تأكد من تحديد خانة الاختيار إرسال القياس عن بعد إلى KATA.
إذا لزم الأمر، كوّن إعداد الحد الأقصى لتأخير إرسال الأحداث (ثانية) في القسم إعدادات نقل البيانات. يتزامن التطبيق مع الخادم لإرسال الأحداث بعد انتهاء صلاحية الفاصل الزمني للمزامنة. الإعداد الافتراضي هو 30 ثانية.
إذا لزم الأمر ، حدد خانة الاختيار تمكين تقييد الطلب في القسم تقييد الطلب.‏
تساعد هذه الميزة في تحسين الحمل على الخادم. وفي حالة تحديد خانة الاختيار، فإن التطبيق يُقيد الأحداث المرسلة. وإذا تجاوز عدد الأحداث الحدود التي تم تكوينها، يتوقف Kaspersky Endpoint Security عن إرسال الأحداث.
تكوين إعدادات التحسين لإرسال الأحداث إلى الخادم:
- الحد الأقصى لعدد الأحداث في الساعة. يحلل التطبيق تدفق بيانات القياس عن بُعد ويُقيد إرسال الأحداث إذا تجاوز تدفق الحدث حد الأحداث المكون لكل ساعة. ويستأنف Kaspersky Endpoint Security إرسال الأحداث بعد ساعة. الإعداد الافتراضي هو 3000 حدث في الساعة.
- النسبة المئوية لفائض حد الحدث.‏ يفرز التطبيق الأحداث حسب النوع (على سبيل المثال" أحداث "التغييرات في السجل") ويقيد إرسال الأحداث إذا تجاوزت نسبة الأحداث من النوع نفسه إلى العدد الإجمالي للأحداث الحد الذي تم تكوينه بالنسبة المئوية. ويستأنف Kaspersky Endpoint Security إرسال الأحداث عندما تصبح نسبة الأحداث الأخرى إلى العدد الإجمالي للأحداث كبيرة بما يكفي مرة أخرى. الإعداد الافتراضي هو 15%.
احفظ تغييراتك.

كيفية تكوين EDR عن بعد على Web Console‏

في النافذة الرئيسية لـ Web Console، حدد Devices ← Policies & profiles.
انقر فوق اسم سياسة Kaspersky Endpoint Security.‏
فتح نافذة خصائص السياسة.
حدد علامة التبويب Application settings.
انتقل إلى Detection and Response ‏← Endpoint Detection and Response (KATA).
كوّن إعداد Send sync request to KATA server every (min). عدد مرات إرسال طلبات المزامنة إلى خادم العقدة المركزية. أثناء المزامنة، يرسل Kaspersky Endpoint Security معلومات عن إعدادات ومهام التطبيق المعدلة.
تأكد من تحديد خانة الاختيار Send telemetry to KATA.
إذا لزم الأمر، كوّن إعداد Maximum events transmission delay (sec) في القسم Data transmission settings. يتزامن التطبيق مع الخادم لإرسال الأحداث بعد انتهاء صلاحية الفاصل الزمني للمزامنة. الإعداد الافتراضي هو 30 ثانية.
إذا لزم الأمر ، حدد خانة الاختيار Enable request throttling في القسم Request throttling.‏
تساعد هذه الميزة في تحسين الحمل على الخادم. وفي حالة تحديد خانة الاختيار، فإن التطبيق يُقيد الأحداث المرسلة. وإذا تجاوز عدد الأحداث الحدود التي تم تكوينها، يتوقف Kaspersky Endpoint Security عن إرسال الأحداث.
تكوين إعدادات التحسين لإرسال الأحداث إلى الخادم:
- Maximum number of events per hour. يحلل التطبيق تدفق بيانات القياس عن بُعد ويُقيد إرسال الأحداث إذا تجاوز تدفق الحدث حد الأحداث المكون لكل ساعة. ويستأنف Kaspersky Endpoint Security إرسال الأحداث بعد ساعة. الإعداد الافتراضي هو 3000 حدث في الساعة.
- Percentage of event limit excess.‏ يفرز التطبيق الأحداث حسب النوع (على سبيل المثال" أحداث "التغييرات في السجل") ويقيد إرسال الأحداث إذا تجاوزت نسبة الأحداث من النوع نفسه إلى العدد الإجمالي للأحداث الحد الذي تم تكوينه بالنسبة المئوية. ويستأنف Kaspersky Endpoint Security إرسال الأحداث عندما تصبح نسبة الأحداث الأخرى إلى العدد الإجمالي للأحداث كبيرة بما يكفي مرة أخرى. الإعداد الافتراضي هو 15%.
احفظ تغييراتك.

هل وجدت هذه المقالة مفيدة؟

ما الذي يمكننا تحسينه؟

شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.