请在您的网页浏览器中启用 JavaScript!
配置遥测
遥测 是受保护计算机上发生的事件的列表。Kaspersky Endpoint Security 分析遥测数据并在同步期间将其发送到 Kaspersky Anti Targeted Attack Platform。遥测事件几乎连续不断地到达服务器。当满足以下任一条件时,Kaspersky Endpoint Security 启动与服务器的同步:
因此,默认情况下,应用程序每 30 秒或每当缓冲区包含 1024 个事件时同步一次。您可以在 Kaspersky Endpoint Security 策略中配置同步行为并选择最佳值以匹配您的网络负载(请参阅下面的说明)。
如果 Kaspersky Endpoint Security 与服务器之间没有连接,应用程序将对新事件进行排队。当连接恢复时,Kaspersky Endpoint Security 以正确的顺序将排队的事件发送到服务器。为避免服务器过载,Kaspersky Endpoint Security 可能会跳过一些事件。要启用此功能,您可以优化事件传输设置,例如,设置每小时最大事件数值(请参阅下面的说明)。
如果您将 Kaspersky Anti Targeted Attack Platform 与另一个也使用遥测的解决方案一起使用,您可以关闭 KATA (EDR) 的遥测(参见上面的说明)。这使您可以优化这些解决方案的服务器负载。例如,如果您部署了托管检测和响应解决方案和 KATA (EDR),则可以使用 MDR 遥测并在 KATA (EDR) 中创建威胁响应任务。
如何在管理控制台 (MMC) 中配置 EDR 遥测
打开 Kaspersky Security Center Administration Console。 在控制台树中,选择“策略 ”。 选择必要的策略并双击以打开策略属性。 在策略窗口中,选择 Detection and Response → Endpoint Detection and Response (KATA) 。 配置“发送同步请求到 KATA 服务器的间隔(分钟) ”设置。发送到中央节点服务器的同步请求的频率。在同步期间,Kaspersky Endpoint Security 发送有关修改的应用程序设置和任务的信息。 确保“发送遥测数据到 KATA ”复选框被选中。 如有必要,在“数据传输设置 ”块配置“最大事件传输延迟(秒) ”设置。应用程序在同步间隔到期后与服务器同步以发送事件。默认设置是 30 秒。 如有必要,在“请求限制 ”块选择“启用请求限制 ”复选框。该功能有助于优化服务器上的负载。如果选中该复选框,应用程序将限制传输的事件。如果事件数量超过配置的限制,Kaspersky Endpoint Security 将停止发送事件。
配置用于将事件发送到服务器的优化设置:“每小时最大事件数 ”。如果事件流超过配置的每小时事件数限制,应用程序会分析遥测数据流并限制事件的发送。Kaspersky Endpoint Security 在一小时后恢复发送事件。默认设置是每小时 3000 个事件。 “超出事件限制的百分比 ”。该应用程序按类型对事件进行排序(例如,“注册表中的更改”事件),如果相同类型的事件占事件总数的比率超过配置的百分比限制,则限制事件的传输。当其他事件与事件总数的比率再次变得足够大时,Kaspersky Endpoint Security 将恢复发送事件。默认设置为 15%。 保存更改。 如何在 Web Console 上配置 EDR 遥测
在 Web Console 的主窗口中,选择“设备 ” → “策略和配置文件 ”。 单击 Kaspersky Endpoint Security 策略的名称。策略属性窗口将打开。
选择应用程序设置 选项卡。 选择 Detection and Response → Endpoint Detection and Response (KATA) 。 配置“发送同步请求到 KATA 服务器的间隔(分钟) ”设置。发送到中央节点服务器的同步请求的频率。在同步期间,Kaspersky Endpoint Security 发送有关修改的应用程序设置和任务的信息。 确保“发送遥测数据到 KATA ”复选框被选中。 如有必要,在“数据传输设置 ”块配置“最大事件传输延迟(秒) ”设置。应用程序在同步间隔到期后与服务器同步以发送事件。默认设置是 30 秒。 如有必要,在“请求限制 ”块选择“启用请求限制 ”复选框。该功能有助于优化服务器上的负载。如果选中该复选框,应用程序将限制传输的事件。如果事件数量超过配置的限制,Kaspersky Endpoint Security 将停止发送事件。
配置用于将事件发送到服务器的优化设置:“每小时最大事件数 ”。如果事件流超过配置的每小时事件数限制,应用程序会分析遥测数据流并限制事件的发送。Kaspersky Endpoint Security 在一小时后恢复发送事件。默认设置是每小时 3000 个事件。 “超出事件限制的百分比 ”。该应用程序按类型对事件进行排序(例如,“注册表中的更改”事件),如果相同类型的事件占事件总数的比率超过配置的百分比限制,则限制事件的传输。当其他事件与事件总数的比率再次变得足够大时,Kaspersky Endpoint Security 将恢复发送事件。默认设置为 15%。 保存更改。
在 Web Console 的主窗口中,选择“设备 ” → “策略和配置文件 ”。 单击 Kaspersky Endpoint Security 策略的名称。策略属性窗口将打开。
选择应用程序设置 选项卡。 转到 KATA 整合 → 遥测排除项 区域。 在“数据传输设置 ”下,选择“使用排除项 ”复选框。 点击“添加 ”并配置排除项:标准与逻辑 AND 相结合。
保存更改。 打开 Kaspersky Security Center Administration Console。 在控制台树中,选择“策略 ”。 选择必要的策略并双击以打开策略属性。 在策略窗口中,选择 KATA 整合 → 遥测排除项 。 在“数据传输设置 ”下,选择“使用排除项 ”复选框。 点击“添加 ”并配置排除项:标准与逻辑 AND 相结合。
保存更改。
页面顶部