Configurarea telemetriei
Telemetrie este o listă de evenimente care au avut loc pe computerul protejat. Kaspersky Endpoint Security analizează datele de telemetrie și le trimite către Kaspersky Anti Targeted Attack Platform în timpul sincronizării. Evenimentele de telemetrie ajung pe server aproape continuu. Kaspersky Endpoint Security inițiază sincronizarea cu serverul atunci când este îndeplinită oricare dintre următoarele condiții:
- intervalul de sincronizare a expirat;
- numărul de evenimente din memoria tampon depășește limita superioară.
Prin urmare, în mod implicit, aplicația se sincronizează la fiecare 30 de secunde sau ori de câte ori memoria tampon conține 1024 de evenimente. Puteți configura comportamentul de sincronizare în politica Kaspersky Endpoint Security și puteți selecta valorile optime care să corespundă încărcării rețelei dvs. (consultați instrucțiunile de mai jos).
Dacă nu există nicio conexiune între Kaspersky Endpoint Security și server, aplicația pune în coadă evenimentele noi. Când conexiunea este restabilită, Kaspersky Endpoint Security trimite evenimentele din coadă către server în ordinea corespunzătoare. Pentru a evita supraîncărcarea serverului, Kaspersky Endpoint Security poate sări peste unele evenimente. Pentru a activa acest lucru, puteți optimiza setările de transmitere a evenimentelor, de exemplu, puteți seta o valoare maximă pentru numărul evenimentelor pe oră (consultați instrucțiunile de mai jos).
Dacă utilizați Kaspersky Anti Targeted Attack Platform împreună cu o altă soluție care utilizează, de asemenea, telemetria, puteți dezactiva telemetria pentru KATA (EDR) (consultați instrucțiunile de mai sus). Acest lucru vă permite să optimizați încărcarea serverului pentru aceste soluții. De exemplu, dacă aveți soluțiile Managed Detection and Response și KATA (EDR) implementate, puteți utiliza telemetria MDR și puteți crea activități Răspuns la amenințare în KATA (EDR).
Cum se configurează telemetria EDR în Consola de administrare (MMC)
- Deschide Consolă de administrare a Kaspersky Security Center.
- În arborele consolei, selectați Politici.
- Selectați politica necesară și faceți dublu clic pentru a deschide proprietățile politicii.
- În fereastra politicii, selectați Detection and Response → Endpoint Detection and Response (KATA).
- Configurați setarea Trimite solicitarea de sincronizare la serverul KATA la fiecare (min). Frecvența solicitărilor de sincronizare trimise către serverul Central Node. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației.
- Asigurați-vă că este bifată caseta de selectare Trimitere telemetrie către KATA.
- Dacă este necesar, configurați setarea Întârziere maximă între transmiterea evenimentelor (sec) în blocul Setări transmitere date. Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde.
- Dacă este necesar, bifați caseta de selectare Activează limitarea solicitărilor din blocul Limitarea solicitărilor.
Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor.
- Configurați setările de optimizare pentru trimiterea evenimentelor către server:
- Numărul maxim de evenimente pe oră. Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră.
- Procentajul depășirii limitei de evenimente. Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%.
- Salvați-vă modificările.
Cum se configurează telemetria EDR în Web Console
- În fereastra principală a Web Console, selectați Devices → Policies & Profiles.
- Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
- Selectați fila Application settings.
- Accesați Detection and Response → Endpoint Detection and Response (KATA).
- Configurați setarea Send sync request to KATA server every (min). Frecvența solicitărilor de sincronizare trimise către serverul Central Node. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației.
- Asigurați-vă că este bifată caseta de selectare Trimitere telemetrie către KATA.
- Dacă este necesar, configurați setarea Maximum events transmission delay (sec) în blocul Data transmission settings. Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde.
- Dacă este necesar, bifați caseta de selectare Enable request throttling din blocul Request throttling.
Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor.
- Configurați setările de optimizare pentru trimiterea evenimentelor către server:
- Maximum number of events per hour. Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră.
- Percentage of event limit excess. Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%.
- Salvați-vă modificările.
Excluderi telemetrie
Pentru a optimiza datele transmise, puteți adăuga un fișier executabil la lista de aplicații de încredere. În acest caz, Kaspersky Endpoint Security nu trimite evenimente de telemetrie pentru acea aplicație. Acest lucru vă permite să reduceți traficul de rețea și să minimizați cantitatea de evenimente de la obiecte de încredere.
- În fereastra principală a Web Console, selectați Devices → Policies & Profiles.
- Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
- Selectați fila Application settings.
- Accesează secțiunea Integrare KATA → Excluderi telemetrie.
- În Setări transmitere date, bifează caseta de selectare Utilizează excluderi.
- Faceți clic pe Adăugare și configurați excluderile:
Criteriile sunt combinate cu ȘI logic.
- Salvați-vă modificările.
- Deschide Consolă de administrare a Kaspersky Security Center.
- În arborele consolei, selectați Politici.
- Selectați politica necesară și faceți dublu clic pentru a deschide proprietățile politicii.
- În fereastra politicii, selectați Integrare KATA → Excluderi telemetrie.
- În Setări transmitere date, bifează caseta de selectare Utilizează excluderi.
- Faceți clic pe Adăugare și configurați excluderile:
Criteriile sunt combinate cu ȘI logic.
- Salvați-vă modificările.