Telemetrie ist eine Liste von Ereignissen, die auf dem geschützten Computer aufgetreten sind. Kaspersky Endpoint Security analysiert Telemetriedaten und sendet sie während der Synchronisierung an Kaspersky Anti Targeted Attack Platform. Telemetrie-Ereignisse treffen fast kontinuierlich auf dem Server ein. Kaspersky Endpoint Security startet die Synchronisierung mit dem Server, wenn eine der folgenden Bedingungen erfüllt ist:
Das Synchronisierungsintervall ist abgelaufen.
Die Anzahl der Ereignisse im Puffer überschreitet die Höchstgrenze.
Dann synchronisiert die App standardmäßig alle 30 Sekunden oder immer, wenn der Puffer 1024 Ereignisse enthält. Sie können das Synchronisierungsverhalten in der Richtlinie von Kaspersky Endpoint Security anpassen und optimale Werte für Ihre Netzwerklast auswählen (siehe Anleitung unten).
Bei fehlender Verbindung zwischen Kaspersky Endpoint Security und dem Server stellt die App neue Ereignisse in die Warteschlange. Sobald die Verbindung wiederhergestellt wird, sendet Kaspersky Endpoint Security die Ereignisse aus der Warteschlange in der richtigen Reihenfolge an den Server. Um eine Überlastung des Servers zu vermeiden, kann Kaspersky Endpoint Security bestimmte Ereignisse überspringen. Diese Option können Sie in den Einstellungen für die Ereignisübertragung optimieren und dafür beispielsweise einen Höchstwert für Ereignisse pro Stunde festlegen (siehe Anleitung unten).
Wenn Sie Kaspersky Anti Targeted Attack Platform zusammen mit einer anderen Lösung verwenden, die ebenfalls Telemetrie verwendet, können Sie die Telemetrie für KATA (EDR) deaktivieren (siehe Anleitung unten). Dadurch lässt sich die Serverlast für diese Lösungen optimieren. Wenn Sie beispielsweise die Managed Detection and Response-Lösung und KATA (EDR) bereitgestellt haben, können Sie MDR-Telemetrie verwenden und Threat Response-Aufgaben in KATA (EDR) erstellen.
Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
Wählen Sie im Richtlinienfenster Detection and Response aus und wählen Sie die Komponente aus, die Sie konfigurieren möchten: Endpoint Detection and Response (KATA) oder Network Detection and Response (KATA).
Konfigurieren Sie die Einstellung Synchronisierungsanfrage an KATA-Server senden alle (Min.). Häufigkeit der an den Server gesendeten Synchronisierungsanfragen. Während der Synchronisierung sendet Kaspersky Endpoint Security Informationen über geänderte Einstellungen und Aufgaben der App.
Stellen Sie sicher, dass das Kontrollkästchen Telemetriedaten an KATA senden aktiviert ist.
Konfigurieren Sie, sofern erforderlich, die Einstellung Maximale Verzögerung der Ereignisübertragung (Sek.) im Block Einstellungen für die Datenübertragung. Die App synchronisiert sich mit dem Server, um Ereignisse nach Ablauf des Synchronisierungsintervalls zu senden. Der Standardwert ist 30 Sekunden.
Aktivieren Sie, sofern erforderlich, das Kontrollkästchen Anforderungsbegrenzung aktivieren im Block Anforderungsbegrenzung.
Durch diese Funktion wird die Auslastung des Computers optimiert. Ist das Kontrollkästchen aktiviert, schränkt die App die übertragenen Ereignisse ein. Wenn die Anzahl der Ereignisse die festgelegten Grenzwerte überschreitet, beendet Kaspersky Endpoint Security das Senden von Ereignissen.
Konfigurieren Sie die Optimierungseinstellungen für das Senden von Ereignissen an den Server:
Maximale Anzahl von Ereignissen pro Stunde. Die App analysiert den Telemetriedatenstrom und schränkt das Senden von Ereignissen ein, wenn der Ereignisstrom das festgelegte Limit für Ereignisse pro Stunde überschreitet. Kaspersky Endpoint Security setzt das Senden von Ereignissen nach einer Stunde fort. Die Standardeinstellung ist 3.000 Ereignisse pro Stunde. Wenn die App auf einem Server installiert ist, ist der Telemetrie-Datenstrom höher. Für Server wird empfohlen, den Wert auf 60.000 Ereignisse pro Stunde zu erhöhen.
Prozentsatz für die Überschreitung des Ereignislimits. Die App sortiert Ereignisse nach Typ (z. B. Ereignisse des Typs „Änderungen in der Registrierung“) und schränkt die Übertragung von Ereignissen ein, wenn das Verhältnis von Ereignissen desselben Typs zur Gesamtzahl von Ereignissen den in Prozent festgelegten Grenzwert überschreitet. Kaspersky Endpoint Security setzt das Senden von Ereignissen fort, wenn das Verhältnis der anderen Ereignisse zur Gesamtzahl der Ereignisse wieder dem Grenzwert entspricht. Die Standardeinstellung ist 15%.
Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Wählen Sie die Registerkarte Programmeinstellungen aus.
Gehen Sie zum Abschnitt Detection and Response und wählen Sie die Komponente aus, die Sie konfigurieren möchten: Endpoint Detection and Response (KATA) oder Network Detection and Response (KATA).
Konfigurieren Sie die Einstellung Synchronisierungsanfrage an KATA-Server senden alle (Min.). Häufigkeit der an den Server gesendeten Synchronisierungsanfragen. Während der Synchronisierung sendet Kaspersky Endpoint Security Informationen über geänderte Einstellungen und Aufgaben der App.
Stellen Sie sicher, dass das Kontrollkästchen Telemetriedaten an KATA senden aktiviert ist.
Konfigurieren Sie, sofern erforderlich, die Einstellung Maximale Verzögerung der Ereignisübertragung (Sek.) im Block Einstellungen für die Datenübertragung. Die App synchronisiert sich mit dem Server, um Ereignisse nach Ablauf des Synchronisierungsintervalls zu senden. Der Standardwert ist 30 Sekunden.
Aktivieren Sie, sofern erforderlich, das Kontrollkästchen Anforderungsbegrenzung aktivieren im Block Anforderungsbegrenzung.
Durch diese Funktion wird die Auslastung des Computers optimiert. Ist das Kontrollkästchen aktiviert, schränkt die App die übertragenen Ereignisse ein. Wenn die Anzahl der Ereignisse die festgelegten Grenzwerte überschreitet, beendet Kaspersky Endpoint Security das Senden von Ereignissen.
Konfigurieren Sie die Optimierungseinstellungen für das Senden von Ereignissen an den Server:
Maximale Anzahl von Ereignissen pro Stunde. Die App analysiert den Telemetriedatenstrom und schränkt das Senden von Ereignissen ein, wenn der Ereignisstrom das festgelegte Limit für Ereignisse pro Stunde überschreitet. Kaspersky Endpoint Security setzt das Senden von Ereignissen nach einer Stunde fort. Die Standardeinstellung ist 3.000 Ereignisse pro Stunde. Wenn die App auf einem Server installiert ist, ist der Telemetrie-Datenstrom höher. Für Server wird empfohlen, den Wert auf 60.000 Ereignisse pro Stunde zu erhöhen.
Prozentsatz für die Überschreitung des Ereignislimits. Die App sortiert Ereignisse nach Typ (z. B. Ereignisse des Typs „Änderungen in der Registrierung“) und schränkt die Übertragung von Ereignissen ein, wenn das Verhältnis von Ereignissen desselben Typs zur Gesamtzahl von Ereignissen den in Prozent festgelegten Grenzwert überschreitet. Kaspersky Endpoint Security setzt das Senden von Ereignissen fort, wenn das Verhältnis der anderen Ereignisse zur Gesamtzahl der Ereignisse wieder dem Grenzwert entspricht. Die Standardeinstellung ist 15%.
Speichern Sie die vorgenommenen Änderungen.
Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Wählen Sie die Registerkarte Programmeinstellungen aus.
Gehen Sie zum Abschnitt KATA-Integration → Telemetrie-Ausnahmen.
Aktivieren Sie unter Einstellungen für die Datenübertragung das Kontrollkästchen Ausnahmen verwenden.
Klicken Sie auf Hinzufügen und konfigurieren Sie die Ausnahmen:
Kriterien werden mit logischem UND kombiniert.
Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske. Damit die Ausnahme funktioniert, muss der Dateipfad angegeben werden.
Befehlszeile. Befehl zum Ausführen des Objekts.
Beschreibung. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
Weitere Informationen über die VersionInfo-Ressource finden Sie auf der Microsoft-Website.
Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
MD5. MD5-Hash der Datei.
SHA256. SHA256-Hash der Datei.
Ereignistypen. Damit die Ausnahme funktioniert, müssen Sie mindestens einen Ereignistyp auswählen.
Speichern Sie die vorgenommenen Änderungen.
Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
Wählen Sie im Richtlinienfenster KATA-Integration → Telemetrie-Ausnahmen aus.
Aktivieren Sie unter Einstellungen für die Datenübertragung das Kontrollkästchen Ausnahmen verwenden.
Klicken Sie auf Hinzufügen und konfigurieren Sie die Ausnahmen:
Kriterien werden mit logischem UND kombiniert.
Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske. Damit die Ausnahme funktioniert, muss der Dateipfad angegeben werden.
Befehlszeile. Befehl zum Ausführen des Objekts.
Beschreibung. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
Weitere Informationen über die VersionInfo-Ressource finden Sie auf der Microsoft-Website.
Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
MD5. MD5-Hash der Datei.
SHA256. SHA256-Hash der Datei.
Ereignistypen. Damit die Ausnahme funktioniert, müssen Sie mindestens einen Ereignistyp auswählen.