Telemetria konfigurálása

Támogatás

Üzleti megoldások támogatása

Kaspersky Endpoint Security 12 for Windows

Detection and Response-megoldások

Kaspersky Anti Targeted Attack Platform (EDR)

Telemetria konfigurálása

2024. február 14.

ID 236497

Mentés PDF formátumban

A Telemetria a védett számítógépen történt események listája. A Kaspersky Endpoint Security elemzi a telemetriai adatokat, és elküldi a Kaspersky Anti Targeted Attack Platform számára a szinkronizálás során. A telemetriai események szinte folyamatosan érkeznek a kiszolgálóra. A Kaspersky Endpoint Security akkor kezdeményezi a szinkronizálást a kiszolgálóval, ha az alábbi feltételek bármelyike teljesül:

A szinkronizálási intervallum lejárt.
A pufferben lévő események száma meghaladja a felső határt.

Ezért alapértelmezés szerint az alkalmazás 30 másodpercenként szinkronizál, vagy amikor a puffer 1024 eseményt tartalmaz. A szinkronizálási viselkedést a Kaspersky Endpoint Security házirendjében konfigurálhatja, és kiválaszthatja a hálózati terhelésnek megfelelő optimális értékeket (lásd az alábbi utasításokat).

Ha nincs kapcsolat a Kaspersky Endpoint Security és a kiszolgáló között, az alkalmazás sorba állítja az új eseményeket. Amikor a kapcsolat helyreáll, a Kaspersky Endpoint Security megfelelő sorrendben küldi el a sorban álló eseményeket a kiszolgálónak. A kiszolgáló túlterhelésének elkerülése érdekében a Kaspersky Endpoint Security kihagyhat néhány eseményt. Ennek engedélyezéséhez optimalizálhatja az eseményátviteli beállításokat, például beállíthatja az események óránkénti maximális értékét (lásd az alábbi utasításokat).

Ha a Kaspersky Anti Targeted Attack Platformot egy másik, szintén telemetriát használó megoldással együtt használja, kikapcsolhatja a KATA (EDR) telemetriáját (lásd a fenti utasításokat). Ez lehetővé teszi a kiszolgálói terhelés optimalizálását ezekhez a megoldásokhoz. Ha például telepítette a Managed Detection and Response megoldást és a KATA (EDR) megoldást, használhatja az MDR-telemetriát, és létrehozhat Fenyegetésekre adott válasz típusú feladatokat a KATA (EDR) megoldásban.

EDR telemetria konfigurálása az Adminisztrációs Konzolban (MMC)

Nyissa meg a Kaspersky Security Center Adminisztrációs Konzolt.
A konzolfán válassza ki a Policies lehetőséget.
Válassza ki a szükséges rendszabályt, és kattintson duplán a házirend tulajdonságainak megnyitásához.
A házirend ablakban válassza ki a Detection and Response → Endpoint Detection and Response (KATA) lehetőséget.
Konfigurálhatja a Szinkronizálási kérés küldése a KATA kiszolgálójának ennyi percenként (perc) beállítást. A központi csomópont-kiszolgálónak küldött szinkronizálási kérések gyakorisága. A szinkronizálás során a Kaspersky Endpoint Security információkat küld a módosított alkalmazásbeállításokról és feladatokról.
Győződjön meg arról, hogy a Telemetriai adatok küldése a KATA számára jelölőnégyzet be van jelölve.
Ha szükséges, konfigurálja a Maximális eseményátviteli idő (mp) beállítást az Adatátviteli beállítások részen. Az alkalmazás szinkronizál a kiszolgálóval, hogy a szinkronizálási intervallum lejárta után eseményeket küldjön. Az alapértelmezett beállítás 30 másodperc.
Ha szükséges, jelölje be a Kérésszabályzás engedélyezése jelölőnégyzetet a Kérésszabályzás részen.
Ez a funkció segíti a kiszolgáló terhelésének optimalizálását. Ha a jelölőnégyzet be van jelölve, az alkalmazás korlátozza a továbbított eseményeket. Ha az események száma meghaladja a beállított korlátokat, a Kaspersky Endpoint Security leállítja az események küldését.
Konfigurálja az optimalizálási beállításokat az események kiszolgálóra küldéséhez:
- Események maximális száma óránként. Az alkalmazás elemzi a telemetriai adatfolyamot, és korlátozza az események küldését, ha az eseményfolyam meghaladja a konfigurált események óránkénti korlátját. A Kaspersky Endpoint Security egy óra elteltével folytatja az események küldését. Az alapértelmezett beállítás óránként 3000 esemény.
- Eseménykorlát túllépésének százalékos aránya. Az alkalmazás típusok szerint rendezi az eseményeket (például "Változások a beállításjegyzékben" események), és korlátozza az események továbbítását, ha az azonos típusú események aránya az események teljes számához viszonyítva meghaladja a beállított százalékos korlátot. A Kaspersky Endpoint Security akkor folytatja az események küldését, amikor a többi esemény aránya az események teljes számához képest ismét elég nagy lesz. Az alapértelmezett beállítás 15%.
Mentse el a módosításokat.

Az EDR telemetria konfigurálása a Web Console-on

A Web Console fő ablakában válassza a Devices → Policies & Profiles lehetőséget.
Kattintson a Kaspersky Endpoint Security házirend nevére.
Megnyílik a rendszabályok tulajdonságai ablak.
Válassza ki az Application settings lapot.
Nyissa meg a Detection and Response → Endpoint Detection and Response (KATA) elemet.
Konfigurálhatja a Send sync request to KATA server every (min) beállítást. A központi csomópont-kiszolgálónak küldött szinkronizálási kérések gyakorisága. A szinkronizálás során a Kaspersky Endpoint Security információkat küld a módosított alkalmazásbeállításokról és feladatokról.
Győződjön meg arról, hogy a Telemetriai adatok küldése a KATA számára jelölőnégyzet be van jelölve.
Ha szükséges, konfigurálja a Maximum events transmission delay (sec) beállítást az Data transmission settings részen. Az alkalmazás szinkronizál a kiszolgálóval, hogy a szinkronizálási intervallum lejárta után eseményeket küldjön. Az alapértelmezett beállítás 30 másodperc.
Ha szükséges, jelölje be a Enable request throttling jelölőnégyzetet a Request throttling részen.
Ez a funkció segíti a kiszolgáló terhelésének optimalizálását. Ha a jelölőnégyzet be van jelölve, az alkalmazás korlátozza a továbbított eseményeket. Ha az események száma meghaladja a beállított korlátokat, a Kaspersky Endpoint Security leállítja az események küldését.
Konfigurálja az optimalizálási beállításokat az események kiszolgálóra küldéséhez:
- Maximum number of events per hour. Az alkalmazás elemzi a telemetriai adatfolyamot, és korlátozza az események küldését, ha az eseményfolyam meghaladja a konfigurált események óránkénti korlátját. A Kaspersky Endpoint Security egy óra elteltével folytatja az események küldését. Az alapértelmezett beállítás óránként 3000 esemény.
- Percentage of event limit excess. Az alkalmazás típusok szerint rendezi az eseményeket (például "Változások a beállításjegyzékben" események), és korlátozza az események továbbítását, ha az azonos típusú események aránya az események teljes számához viszonyítva meghaladja a beállított százalékos korlátot. A Kaspersky Endpoint Security akkor folytatja az események küldését, amikor a többi esemény aránya az események teljes számához képest ismét elég nagy lesz. Az alapértelmezett beállítás 15%.
Mentse el a módosításokat.

Hasznosnak találta ezt a cikket?

Min tudnánk javítani?

Köszönjük a visszajelzést! Segít nekünk a fejlesztésben.