Telemetrie je seznam událostí, ke kterým došlo na chráněném počítači. Kaspersky Endpoint Security analyzuje telemetrická data a během synchronizace je odesílá do součásti Kaspersky Anti Targeted Attack Platform. Telemetrické události přicházejí na server téměř nepřetržitě. Kaspersky Endpoint Security zahájí synchronizaci se serverem, když je splněna některá z následujících podmínek:
Interval synchronizace vypršel.
Počet událostí ve vyrovnávací paměti překročí horní limit.
Ve výchozím nastavení se tedy aplikace synchronizuje každých 30 sekund nebo vždy, když vyrovnávací paměť obsahuje 1024 událostí. Chování synchronizace můžete nakonfigurovat v zásadách aplikace Kaspersky Endpoint Security a vybrat optimální hodnoty, aby odpovídaly zatížení vaší sítě (viz pokyny níže).
Pokud mezi aplikací Kaspersky Endpoint Security a serverem není navázáno připojení, aplikace zařadí nové události do fronty. Po obnovení připojení odešle Kaspersky Endpoint Security události ve frontě na server ve správném pořadí. Aby nedošlo k přetížení serveru, může aplikace Kaspersky Endpoint Security některé události přeskočit. Chcete-li to povolit, můžete optimalizovat nastavení přenosu událostí, například nastavit maximální hodnotu událostí za hodinu (viz pokyny níže).
Pokud používáte Kaspersky Anti Targeted Attack Platform spolu s jiným řešením, které také využívá telemetrii, můžete telemetrii pro KATA (EDR) vypnout (viz pokyny výše). To vám umožní optimalizovat zatížení serveru pro tato řešení. Pokud máte například nasazené řešení Managed Detection and Response a součást KATA (EDR), můžete použít telemetrii MDR a vytvářet úlohy Reakce na hrozby v KATA (EDR).
Otevřete konzolu pro správu aplikace Kaspersky Security Center.
Ve stromu konzoly vyberte možnost Policies.
Vyberte potřebnou zásadu a dvojitým kliknutím otevřete vlastnosti zásady.
V okně zásad vyberte Detection and Response → Endpoint Detection and Response (KATA).
Nakonfigurujte nastavení Odesílat požadavek na synchronizaci na server KATA každých (min.). Frekvence požadavků na synchronizaci odesílaných na server součásti Central Node. Během synchronizace Kaspersky Endpoint Security odesílá informace o změněných nastaveních aplikací a úlohách.
Ujistěte se, že je zaškrtnuto políčko Odesílat telemetrické údaje do KATA.
V případě potřeby nakonfigurujte nastavení Maximální prodleva přenosu událostí (sek.) v bloku Nastavení přenosu dat. Aplikace se synchronizuje se serverem a odesílá události po uplynutí intervalu synchronizace. Výchozí hodnota je 30 sekund.
V případě potřeby zaškrtněte políčko Povolit omezování požadavků v bloku Omezování požadavků.
Tato funkce pomáhá optimalizovat zátěž serveru. Pokud je políčko zaškrtnuto, aplikace omezí přenášené události. Pokud počet událostí překročí nakonfigurované limity, aplikace Kaspersky Endpoint Security přestane odesílat události.
Konfigurace nastavení optimalizace pro odesílání událostí na server:
Maximální počet událostí za hodinu. Aplikace analyzuje tok telemetrických dat a omezí odesílání událostí, pokud tok událostí překročí nakonfigurovaný limit událostí za hodinu. Kaspersky Endpoint Security obnoví odesílání událostí po hodině. Výchozí nastavení je 3000 událostí za hodinu.
Procentní hodnota překročení limitu událostí. Aplikace třídí události podle typu (například události „změny registru“) a omezuje přenos událostí, pokud poměr událostí stejného typu k celkovému počtu událostí překročí nakonfigurovaný limit v procentech. Kaspersky Endpoint Security obnoví odesílání událostí, když poměr ostatních událostí k celkovému počtu událostí bude opět dostatečně velký. Výchozí nastavení je 15 %.
V hlavním okně webové konzoly vyberte možnosti Devices → Policies & profiles.
Klikněte na název zásad aplikace Kaspersky Endpoint Security.
Otevře se okno vlastností zásad.
Vyberte kartu Application settings.
Přejděte na Detection and Response → Endpoint Detection and Response (KATA).
Nakonfigurujte nastavení Send sync request to KATA server every (min). Frekvence požadavků na synchronizaci odesílaných na server součásti Central Node. Během synchronizace Kaspersky Endpoint Security odesílá informace o změněných nastaveních aplikací a úlohách.
Ujistěte se, že je zaškrtnuto políčko Send telemetry to KATA.
V případě potřeby nakonfigurujte nastavení Maximum events transmission delay (sec) v bloku Data transmission settings. Aplikace se synchronizuje se serverem a odesílá události po uplynutí intervalu synchronizace. Výchozí hodnota je 30 sekund.
V případě potřeby zaškrtněte políčko Enable request throttling v bloku Request throttling.
Tato funkce pomáhá optimalizovat zátěž serveru. Pokud je políčko zaškrtnuto, aplikace omezí přenášené události. Pokud počet událostí překročí nakonfigurované limity, aplikace Kaspersky Endpoint Security přestane odesílat události.
Konfigurace nastavení optimalizace pro odesílání událostí na server:
Maximum number of events per hour. Aplikace analyzuje tok telemetrických dat a omezí odesílání událostí, pokud tok událostí překročí nakonfigurovaný limit událostí za hodinu. Kaspersky Endpoint Security obnoví odesílání událostí po hodině. Výchozí nastavení je 3000 událostí za hodinu.
Percentage of event limit excess. Aplikace třídí události podle typu (například události „změny registru“) a omezuje přenos událostí, pokud poměr událostí stejného typu k celkovému počtu událostí překročí nakonfigurovaný limit v procentech. Kaspersky Endpoint Security obnoví odesílání událostí, když poměr ostatních událostí k celkovému počtu událostí bude opět dostatečně velký. Výchozí nastavení je 15 %.
Uložte změny.
V hlavním okně webové konzoly vyberte možnosti Devices → Policies & profiles.
Klikněte na název zásad aplikace Kaspersky Endpoint Security.
Otevře se okno vlastností zásad.
Vyberte kartu Application settings.
Přejděte do části Integrace KATA → Výjimky telemetrie.
V části Nastavení přenosu dat zaškrtněte políčko Použít výjimky.
Klikněte na možnost Přidat a nakonfigurujte výjimky:
Kritéria lze spojovat pomocí logického AND.
Cesta. Úplná cesta k souboru včetně jeho názvu a přípony. Při zadávání masky podporuje aplikace Kaspersky Endpoint Security proměnné prostředí a znaky * a ?. Aby výjimka fungovala, musí být zadána cesta k souboru.
Příkazový řádek. Příkaz používaný ke spuštění objektu.
Popis. Hodnota parametru FileDescription z prostředku RT_VERSION (VersionInfo).
Podrobnější informace prostředku VersionInfo najdete na webu společnosti Microsoft.
Původní název souboru. Hodnota parametru OriginalFilename z prostředku RT_VERSION (VersionInfo).
Verze. Hodnota parametru FileVersion z prostředku RT_VERSION (VersionInfo).
MD5. Hodnota hash MD5 souboru.
SHA256. Hodnota hash SHA256 souboru.
Typ události. Aby výjimka fungovala, musíte vybrat alespoň jeden typ události.
Uložte změny.
Otevřete konzolu pro správu aplikace Kaspersky Security Center.
Ve stromu konzoly vyberte možnost Policies.
Vyberte potřebnou zásadu a dvojitým kliknutím otevřete vlastnosti zásady.
V okně zásad vyberte možnost Integrace KATA → Výjimky telemetrie.
V části Nastavení přenosu dat zaškrtněte políčko Použít výjimky.
Klikněte na možnost Přidat a nakonfigurujte výjimky:
Kritéria lze spojovat pomocí logického AND.
Cesta. Úplná cesta k souboru včetně jeho názvu a přípony. Při zadávání masky podporuje aplikace Kaspersky Endpoint Security proměnné prostředí a znaky * a ?. Aby výjimka fungovala, musí být zadána cesta k souboru.
Příkazový řádek. Příkaz používaný ke spuštění objektu.
Popis. Hodnota parametru FileDescription z prostředku RT_VERSION (VersionInfo).
Podrobnější informace prostředku VersionInfo najdete na webu společnosti Microsoft.
Původní název souboru. Hodnota parametru OriginalFilename z prostředku RT_VERSION (VersionInfo).
Verze. Hodnota parametru FileVersion z prostředku RT_VERSION (VersionInfo).
MD5. Hodnota hash MD5 souboru.
SHA256. Hodnota hash SHA256 souboru.
Typ události. Aby výjimka fungovala, musíte vybrat alespoň jeden typ události.