Настройка отправки телеметрии EDR Expert (on-premise)

Телеметрия – список событий, которые произошли на защищаемом компьютере. Kaspersky Endpoint Security анализирует данные телеметрии и отправляет их на серверы сбора телеметрии во время синхронизации. События телеметрии поступают на сервер почти непрерывно. Kaspersky Endpoint Security выполняет синхронизацию с сервером при выполнении любого из следующих условий:

• Истек период синхронизации.
• Количество событий в буфере превысило максимальное значение.

Таким образом, по умолчанию приложение выполняет синхронизацию каждые 30 секунд или при накоплении в буфере 1024 события. Вы можете настроить параметры синхронизации в политике Kaspersky Endpoint Security и выбрать оптимальные значения исходя из нагрузки на сеть (см. инструкцию ниже).

Если соединение между Kaspersky Endpoint Security и сервером отсутствует, то приложение ставит новые события в очередь. При восстановлении соединения Kaspersky Endpoint Security отправляет события из очереди на сервер по порядку. При этом, чтобы не перегрузить сервер, Kaspersky Endpoint Security может отправлять не все события. Для этого вы можете оптимизировать параметры отправки событий и, например, задать максимальное количество событий в час (см. инструкцию ниже).

Чтобы настроить параметры отправки телеметрии, выполните следующие действия:

1. В главном окне Web Console выберите закладку Активы (Устройства) → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Встроенные агенты → Endpoint Detection and Response Expert (on-premise).
5. Для настройки EDR Expert (on-premise) в списке решений выберите Endpoint Detection and Response Expert (версия 8.0 и выше).
6. В блоке Настройка передачи данных убедитесь, что установлен флажок Отправлять телеметрию на серверы сбора телеметрии.
7. Если требуется, установите флажок Отправлять телеметрию только с IOA. Индикатор атак (Indicator of Attack, IOA) – правило, содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Приложение сравнивает текущее поведение в системе с этими правилами и регистрирует события, характерные для целевой атаки. Приложение использует технологию потоковой проверки, которая позволяет отслеживать такие события в режиме реального времени.
8. Если требуется, в блоке Настройка передачи данных настройте параметры синхронизации с сервером:
   • Максимальная задержка отправки событий (сек.). Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации. По умолчанию установлено значение 30 секунд.
   • Максимальное количество пакетов событий. Приложение выполняет синхронизацию с сервером при заполнении буфера событиями. По умолчанию установлено значение 1024 события.
9. Если требуется, в блоке Регулирование количества запросов установите флажок Включить регулирование количества запросов.

   Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события.

10. Настройте параметры оптимизации отправки событий на сервер:
    • Максимальное количество событий в час. Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. По умолчанию установлено значение 3000 событий в час. Если приложение установлено на сервер, поток данных телеметрии выше. Для серверов рекомендуется увеличить значение до 60 тыс. событий в час.
    • Процент превышения лимита событий. Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится. По умолчанию установлено значение 15 %.
11. В блоке Подключение к серверам реагирования введите значение для параметра Отправлять запрос на синхронизацию на сервер каждые (мин.).
12. Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах.
13. Сохраните внесенные изменения. Для применения политики на компьютерах, закройте замки .

В начало