Настройка дополнительных параметров телеметрии

Вы можете настраивать следующие дополнительные параметры сбора телеметрии, отправляемой решениям Detection and Response при интеграции с ними:

Источник телеметрии. Для сбора телеметрии можно использовать технологию eBPF и службу auditd или только технологию eBPF.
Режим использования службы auditd. Приложение Kaspersky Endpoint Security может использовать службу auditd в монопольном режиме или в режиме многоадресной рассылки.

Настройка в Web Console

В Web Console вы можете настраивать дополнительные параметры сбора телеметрии в свойствах политики (Параметры приложения → Общие настройки → Настройки взаимодействия с ОС).

Настройка в Консоли администрирования

В Консоли администрирования вы можете настраивать дополнительные параметры сбора телеметрии в свойствах политики (Общие параметры → Параметры взаимодействия с ОС, блок Дополнительные параметры телеметрии).

Дополнительные параметры сбора телеметрии

Параметр	Описание
Источник телеметрии	Источник, который использует приложение Kaspersky Endpoint Security для сбора телеметрии: Использовать только eBPF – использовать для сбора телеметрии только технологию eBPF. Использовать eBPF и auditd (значение по умолчанию) – использовать для сбора телеметрии технологию eBPF и службу auditd.
Использование auditd	Режим использования службы auditd: В монопольном режиме (значение по умолчанию) – приложение Kaspersky Endpoint Security использует службу auditd в монопольном режиме. В режиме многоадресной рассылки – служба auditd используется в режиме многоадресной рассылки. Параметр применяется, только если для параметра Источник телеметрии выбран вариант Использовать eBPF и auditd.

Параметр

Описание

Источник телеметрии

Источник, который использует приложение Kaspersky Endpoint Security для сбора телеметрии:

Использовать только eBPF – использовать для сбора телеметрии только технологию eBPF.
Использовать eBPF и auditd (значение по умолчанию) – использовать для сбора телеметрии технологию eBPF и службу auditd.

Использование auditd

Режим использования службы auditd:

В монопольном режиме (значение по умолчанию) – приложение Kaspersky Endpoint Security использует службу auditd в монопольном режиме.
В режиме многоадресной рассылки – служба auditd используется в режиме многоадресной рассылки.

Параметр применяется, только если для параметра Источник телеметрии выбран вариант Использовать eBPF и auditd.

Настройка в командной строке

В командной строке вы можете настраивать дополнительные параметры сбора телеметрии с помощью параметров TelemetrySource и UseTelemetryMonopolyMode предустановленной задачи Анализ поведения (Behavior_Detection).

Вы можете изменять значения параметров с помощью команды kesl-control --set-settings 20, используя конфигурационный файл, который содержит все параметры задачи, или используя ключи командной строки в формате <имя параметра>=<значение параметра>.

Параметр TelemetrySource позволяет указать источник телеметрии. Параметр может принимать следующие значения:

Default (значение по умолчанию) – использовать для сбора телеметрии технологию eBPF и службу auditd.
OnlyEBPF – использовать для сбора телеметрии только технологию eBPF.

Параметр UseTelemetryMonopolyMode позволяет указать режим использования службы auditd, если она используется для сбора телеметрии. Параметр может принимать следующие значения:

True (значение по умолчанию) – приложение Kaspersky Endpoint Security использует службу auditd в монопольном режиме.
False – служба auditd используется в режиме многоадресной рассылки.

Параметр UseTelemetryMonopolyMode применяется, только если для параметра TelemetrySource установлено значение Default.

В начало