Konfigurowanie telemetrii
Telemetria to lista zdarzeń, które wystąpiły na chronionym komputerze. Kaspersky Endpoint Security analizuje dane telemetryczne i wysyła je do Kaspersky Anti Targeted Attack Platform podczas synchronizacji. Zdarzenia telemetryczne docierają do serwera prawie nieprzerwanie. Kaspersky Endpoint Security inicjuje synchronizację z serwerem, gdy spełniony jest jeden z następujących warunków:
- Upłynął interwał synchronizacji.
- Liczba zdarzeń w buforze przekracza górną granicę.
Dlatego domyślnie aplikacja synchronizuje się co 30 sekund lub zawsze, gdy w buforze znajdują się 1024 zdarzenia. Możesz skonfigurować sposób synchronizacji w zasadzie Kaspersky Endpoint Security i wybrać optymalne wartości odpowiadające obciążeniu sieci (zobacz instrukcje poniżej).
Jeśli nie ma połączenia między Kaspersky Endpoint Security a serwerem, aplikacja umieszcza nowe zdarzenia w kolejce. Po przywróceniu połączenia Kaspersky Endpoint Security wysyła zdarzenia z kolejki do serwera w odpowiedniej kolejności. Aby uniknąć przeciążenia serwera, Kaspersky Endpoint Security może pominąć niektóre zdarzenia. Aby to włączyć, możesz zoptymalizować ustawienia transmisji zdarzeń, na przykład ustawić maksymalną liczbę zdarzeń na godzinę (patrz instrukcje poniżej).
Jeśli używasz Kaspersky Anti Targeted Attack Platform wraz z innym rozwiązaniem, które również wykorzystuje telemetrię, możesz wyłączyć telemetrię dla KATA (EDR) — patrz instrukcje powyżej. Pozwala to zoptymalizować obciążenie serwera dla tych rozwiązań. Na przykład, jeśli masz wdrożone rozwiązanie Managed Detection and Response i KATA (EDR), możesz użyć telemetrii MDR i utworzyć zadania Threat Response w KATA (EDR).
Jak skonfigurować telemetrię EDR w Konsoli administracyjnej (MMC)
- Otwórz Konsolę administracyjną Kaspersky Security Center.
- W drzewie konsoli wybierz Zasady.
- Wybierz żądany profil i kliknij go dwukrotnie, aby otworzyć właściwości profilu.
- W oknie zasady wybierz Detection and Response → Endpoint Detection and Response (KATA).
- Skonfiguruj ustawienie Wysyłaj żądanie synchronizacji z serwerem KATA co (min). Częstotliwość żądań synchronizacji wysyłanych do serwera węzła centralnego. Podczas synchronizacji Kaspersky Endpoint Security wysyła informacje o zmodyfikowanych ustawieniach i zadaniach aplikacji.
- Upewnij się, że pole wyboru Wyślij dane telemetryczne do KATA jest zaznaczone.
- W razie potrzeby skonfiguruj ustawienie Maksymalne opóźnienie transmisji zdarzenia (s) w bloku Ustawienia przesyłania danych. Aplikacja synchronizuje się z serwerem w celu wysyłania zdarzeń po wygaśnięciu przedziału synchronizacji. Domyślnie ustawienie to 30 sekund.
- W razie potrzeby zaznacz pole wyboru Włącz ograniczanie żądań w bloku Ograniczanie żądań.
Ta funkcja pomaga zoptymalizować obciążenie serwera. Jeśli to pole jest zaznaczone, aplikacja ogranicza transmitowane zdarzenia. Jeśli liczba zdarzeń przekroczy skonfigurowane limity, Kaspersky Endpoint Security przestanie wysyłać zdarzenia.
- Skonfiguruj ustawienia optymalizacji wysyłania zdarzeń na serwer:
- Maksymalna liczba zdarzeń na godzinę. Aplikacja analizuje strumień danych telemetrycznych i ogranicza wysyłanie zdarzeń, jeśli strumień zdarzeń przekroczy skonfigurowany limit zdarzeń na godzinę. Kaspersky Endpoint Security wznawia wysyłanie zdarzeń po godzinie. Ustawienie domyślne to 3000 zdarzeń na godzinę.
- Procent przekroczenia limitu zdarzeń. Aplikacja sortuje zdarzenia według typu (np. zdarzenia „zmiany w rejestrze”) i ogranicza transmisję zdarzeń, jeśli stosunek zdarzeń tego samego typu do całkowitej liczby zdarzeń przekroczy skonfigurowany limit w procentach. Kaspersky Endpoint Security wznawia wysyłanie zdarzeń, gdy stosunek innych zdarzeń do łącznej liczby zdarzeń ponownie stanie się wystarczająco duży. Ustawienie domyślne to 15%.
- Zapisz swoje zmiany.
Jak skonfigurować telemetrię EDR w Web Console
- W oknie głównym Web Console wybierz Urządzenia → Zasady i profile.
- Kliknij nazwę zasady Kaspersky Endpoint Security.
Zostanie otwarte okno właściwości profilu.
- Wybierz zakładkę Ustawienia aplikacji.
- Wybierz Detection and Response → Endpoint Detection and Response (KATA).
- Skonfiguruj ustawienie Wysyłaj żądanie synchronizacji z serwerem KATA co (min). Częstotliwość żądań synchronizacji wysyłanych do serwera węzła centralnego. Podczas synchronizacji Kaspersky Endpoint Security wysyła informacje o zmodyfikowanych ustawieniach i zadaniach aplikacji.
- Upewnij się, że pole wyboru Wyślij dane telemetryczne do KATA jest zaznaczone.
- W razie potrzeby skonfiguruj ustawienie Maksymalne opóźnienie transmisji zdarzenia (s) w bloku Ustawienia przesyłania danych. Aplikacja synchronizuje się z serwerem w celu wysyłania zdarzeń po wygaśnięciu przedziału synchronizacji. Domyślnie ustawienie to 30 sekund.
- W razie potrzeby zaznacz pole wyboru Włącz ograniczanie żądań w bloku Ograniczanie żądań.
Ta funkcja pomaga zoptymalizować obciążenie serwera. Jeśli to pole jest zaznaczone, aplikacja ogranicza transmitowane zdarzenia. Jeśli liczba zdarzeń przekroczy skonfigurowane limity, Kaspersky Endpoint Security przestanie wysyłać zdarzenia.
- Skonfiguruj ustawienia optymalizacji wysyłania zdarzeń na serwer:
- Maksymalna liczba zdarzeń na godzinę. Aplikacja analizuje strumień danych telemetrycznych i ogranicza wysyłanie zdarzeń, jeśli strumień zdarzeń przekroczy skonfigurowany limit zdarzeń na godzinę. Kaspersky Endpoint Security wznawia wysyłanie zdarzeń po godzinie. Ustawienie domyślne to 3000 zdarzeń na godzinę.
- Procent przekroczenia limitu zdarzeń. Aplikacja sortuje zdarzenia według typu (np. zdarzenia „zmiany w rejestrze”) i ogranicza transmisję zdarzeń, jeśli stosunek zdarzeń tego samego typu do całkowitej liczby zdarzeń przekroczy skonfigurowany limit w procentach. Kaspersky Endpoint Security wznawia wysyłanie zdarzeń, gdy stosunek innych zdarzeń do łącznej liczby zdarzeń ponownie stanie się wystarczająco duży. Ustawienie domyślne to 15%.
- Zapisz swoje zmiany.
Wykluczenia telemetrii
Aby zoptymalizować przesyłane dane, możesz dodać plik wykonywalny do listy zaufanych aplikacji. W takim przypadku Kaspersky Endpoint Security nie wysyła zdarzeń telemetrycznych dla tej aplikacji. Pozwala to zmniejszyć ruch w sieci i zminimalizować liczbę zdarzeń z zaufanych obiektów.
- W oknie głównym Web Console wybierz Urządzenia → Zasady i profile.
- Kliknij nazwę zasady Kaspersky Endpoint Security.
Zostanie otwarte okno właściwości profilu.
- Wybierz zakładkę Ustawienia aplikacji.
- Idź do sekcji Integracja KATA → Wykluczenia telemetrii.
- Pod Ustawienia przesyłania danych wybierz pole wyboru Użyj wykluczeń.
- Kliknij Dodaj i skonfiguruj wykluczenia:
Kryteria są łączone z logiką I.
- Zapisz swoje zmiany.
- Otwórz Konsolę administracyjną Kaspersky Security Center.
- W drzewie konsoli wybierz Zasady.
- Wybierz żądany profil i kliknij go dwukrotnie, aby otworzyć właściwości profilu.
- W oknie zasad wybierz Integracja KATA → Wykluczenia telemetrii.
- Pod Ustawienia przesyłania danych wybierz pole wyboru Użyj wykluczeń.
- Kliknij Dodaj i skonfiguruj wykluczenia:
Kryteria są łączone z logiką I.
- Zapisz swoje zmiany.
Przejdź do góry