Telemetria è un elenco di eventi che si sono verificati nel computer protetto. Kaspersky Endpoint Security analizza i dati di telemetria e li invia a Kaspersky Anti Targeted Attack Platform durante la sincronizzazione. Gli eventi di telemetria arrivano sul server quasi continuamente. Kaspersky Endpoint Security avvia la sincronizzazione con il server quando viene soddisfatta una delle seguenti condizioni:
L'intervallo di sincronizzazione è scaduto.
Il numero di eventi nel buffer supera il limite massimo.
Pertanto, per impostazione predefinita, l'applicazione esegue la sincronizzazione ogni 30 secondi oppure ogni volta che il buffer contiene 1024 eventi. È possibile configurare il comportamento di sincronizzazione nella policy di Kaspersky Endpoint Security e selezionare i valori ottimali in base al carico di rete (vedere le istruzioni di seguito).
Se non è presente alcuna connessione tra Kaspersky Endpoint Security e il server, l'applicazione accoda i nuovi eventi. Quando la connessione viene ripristinata, Kaspersky Endpoint Security invia gli eventi in coda al server nell'ordine corretto. Per evitare di sovraccaricare il server, Kaspersky Endpoint Security potrebbe ignorare alcuni eventi. Per abilitare questo, è possibile ottimizzare le impostazioni di trasmissione degli eventi, ad esempio, per impostare un valore massimo di eventi all'ora (vedere le istruzioni di seguito).
Se si utilizza Kaspersky Anti Targeted Attack Platform insieme a un'altra soluzione che usa anch'essa la telemetria, è possibile disattivare la telemetria per KATA (EDR) (vedere le istruzioni riportate di seguito). Ciò consente di ottimizzare il carico del server per queste soluzioni. Ad esempio, se è stata distribuita la soluzione Managed Detection and Response e KATA (EDR), è possibile utilizzare la telemetria MDR e creare attività Risposta alle minacce in KATA (EDR).
Aprire Kaspersky Security Center Administration Console.
Nella struttura della console, selezionare Criteri.
Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
Nella finestra del criterio, selezionare Detection and Response, quindi selezionare il componente che si desidera configurare: Endpoint Detection and Response (KATA) o Network Detection and Response (KATA).
Configurare l'impostazione Invia richiesta di sincronizzazione al server KATA ogni (min.). Frequenza delle richieste di sincronizzazione inviate al server. Durante la sincronizzazione, Kaspersky Endpoint Security invia informazioni sulle attività e le impostazioni dell'applicazione modificate.
Verificare che la casella di controllo Invia telemetria a KATA sia selezionata.
Se necessario, configurare l'impostazione Ritardo di trasmissione eventi massimo (sec) nel blocco Impostazioni trasmissione dati. L'applicazione si sincronizza con il server per inviare eventi dopo la scadenza dell'intervallo di sincronizzazione. L'impostazione predefinita è 30 secondi.
Se necessario, selezionare la casella di controllo Abilita limitazione delle richieste nel blocco Limitazione delle richieste.
Questa funzionalità consente di ottimizzare il carico sul server. Se la casella di controllo è selezionata, l'applicazione limita gli eventi trasmessi. Se il numero di eventi supera i limiti configurati, Kaspersky Endpoint Security interrompe l'invio degli eventi.
Configurare le impostazioni di ottimizzazione per l'invio degli eventi al server:
Numero massimo di eventi all'ora. L'applicazione analizza il flusso di dati di telemetria e limita l'invio degli eventi se il flusso di eventi supera il limite di eventi all'ora configurato. Kaspersky Endpoint Security riprende l'invio degli eventi dopo un'ora. L'impostazione predefinita è 3000 eventi all'ora. Se l'applicazione è installata in un server, il flusso di dati di telemetria è maggiore. Per i server, è consigliabile aumentare il valore a 60.000 eventi all'ora.
Percentuale di eccedenza limite eventi. L'applicazione ordina gli eventi in base al tipo (ad esempio, eventi di "Modifiche nel Registro di sistema") e limita la trasmissione degli eventi se il rapporto tra eventi dello stesso tipo e il numero totale di eventi supera il limite percentuale configurato. Kaspersky Endpoint Security riprende l'invio degli eventi quando il rapporto tra altri eventi e il numero totale di eventi diventa di nuovo sufficientemente elevato. L'impostazione predefinita è 15%.
Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
Selezionare la scheda Impostazioni applicazione.
Passare alla sezione Detection and Response e selezionare il componente che si desidera configurare: Endpoint Detection and Response (KATA) o Network Detection and Response (KATA).
Configurare l'impostazione Invia richiesta di sincronizzazione al server KATA ogni (min). Frequenza delle richieste di sincronizzazione inviate al server. Durante la sincronizzazione, Kaspersky Endpoint Security invia informazioni sulle attività e le impostazioni dell'applicazione modificate.
Verificare che la casella di controllo Invia telemetria a KATA sia selezionata.
Se necessario, configurare l'impostazione Ritardo di trasmissione eventi massimo (sec) nel blocco Impostazioni trasmissione dati. L'applicazione si sincronizza con il server per inviare eventi dopo la scadenza dell'intervallo di sincronizzazione. L'impostazione predefinita è 30 secondi.
Se necessario, selezionare la casella di controllo Abilita limitazione delle richieste nel blocco Limitazione delle richieste.
Questa funzionalità consente di ottimizzare il carico sul server. Se la casella di controllo è selezionata, l'applicazione limita gli eventi trasmessi. Se il numero di eventi supera i limiti configurati, Kaspersky Endpoint Security interrompe l'invio degli eventi.
Configurare le impostazioni di ottimizzazione per l'invio degli eventi al server:
Numero massimo di eventi all'ora. L'applicazione analizza il flusso di dati di telemetria e limita l'invio degli eventi se il flusso di eventi supera il limite di eventi all'ora configurato. Kaspersky Endpoint Security riprende l'invio degli eventi dopo un'ora. L'impostazione predefinita è 3000 eventi all'ora. Se l'applicazione è installata in un server, il flusso di dati di telemetria è maggiore. Per i server, è consigliabile aumentare il valore a 60.000 eventi all'ora.
Percentuale di eccedenza limite eventi. L'applicazione ordina gli eventi in base al tipo (ad esempio, eventi di "Modifiche nel Registro di sistema") e limita la trasmissione degli eventi se il rapporto tra eventi dello stesso tipo e il numero totale di eventi supera il limite percentuale configurato. Kaspersky Endpoint Security riprende l'invio degli eventi quando il rapporto tra altri eventi e il numero totale di eventi diventa di nuovo sufficientemente elevato. L'impostazione predefinita è 15%.
Salvare le modifiche.
Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
Selezionare la scheda Impostazioni applicazione.
Passare alla sezione Integrazione KATA → Esclusioni di telemetria.
In Impostazioni trasmissione dati, selezionare la casella di controllo Usa esclusioni.
Fare clic su Aggiungi e configurare le esclusioni:
I criteri sono combinati con la logica AND.
Percorso. Percorso completo del file, inclusi il nome e l'estensione. Kaspersky Endpoint Security supporta le variabili di ambiente e i caratteri * e ? durante l'immissione di una maschera. Affinché l'esclusione funzioni, è necessario specificare il percorso del file.
Riga di comando. Comando utilizzato per eseguire l'oggetto.
Descrizione. Valore del parametro FileDescription da una risorsa RT_VERSION (VersionInfo).
Per ulteriori informazioni sulla risorsa VersionInfo, visitare il sito Web di Microsoft.
Nome originale del file. Valore del parametro OriginalFilename da una risorsa RT_VERSION (VersionInfo).
Versione. Valore del parametro FileVersion da una risorsa RT_VERSION (VersionInfo).
MD5. Hash MD5 del file.
SHA256. Hash SHA256 del file.
Tipi di evento. Affinché l'esclusione funzioni, è necessario selezionare almeno un tipo di evento.
Salvare le modifiche.
Aprire Kaspersky Security Center Administration Console.
Nella struttura della console, selezionare Criteri.
Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
Nella finestra del criterio, selezionare Integrazione KATA → Esclusioni di telemetria.
In Impostazioni trasmissione dati, selezionare la casella di controllo Usa esclusioni.
Fare clic su Aggiungi e configurare le esclusioni:
I criteri sono combinati con la logica AND.
Percorso. Percorso completo del file, inclusi il nome e l'estensione. Kaspersky Endpoint Security supporta le variabili di ambiente e i caratteri * e ? durante l'immissione di una maschera. Affinché l'esclusione funzioni, è necessario specificare il percorso del file.
Riga di comando. Comando utilizzato per eseguire l'oggetto.
Descrizione. Valore del parametro FileDescription da una risorsa RT_VERSION (VersionInfo).
Per ulteriori informazioni sulla risorsa VersionInfo, visitare il sito Web di Microsoft.
Nome originale del file. Valore del parametro OriginalFilename da una risorsa RT_VERSION (VersionInfo).
Versione. Valore del parametro FileVersion da una risorsa RT_VERSION (VersionInfo).
MD5. Hash MD5 del file.
SHA256. Hash SHA256 del file.
Tipi di evento. Affinché l'esclusione funzioni, è necessario selezionare almeno un tipo di evento.