По умолчанию Kaspersky Anti Targeted Attack Platform обрабатывает все данные о событиях (телеметрию), поступающие от Endpoint Agent. Ограничив объем телеметрии, можно снизить нагрузку на серверы, предназначенные для хранения и обработки телеметрии. Телеметрия в ограниченном объеме включает в себя полную информацию о самих событиях и наиболее важные сведения о процессах, запустивших эти события. Информация о прочих процессах, связанных с событиями, исключается.
Ограничить объем телеметрии могут пользователи с ролью Старший сотрудник службы безопасности. Пользователи с ролью Администратор и Аудитор могут просмотреть настройки ограничения телеметрии, но не могут их изменить. Пользователь с ролью Сотрудник службы безопасности не имеет доступа к настройкам телеметрии.
Чтобы ограничить объем телеметрии от Endpoint Agent:
Телеметрия будет ограничена.
Особенности ограничения телеметрии на Central Node и SCN
После нажатия кнопки Применить может появиться сообщение Не удалось ограничить объем получаемых данных. Это означает, что среди пользовательских правил TAA (IOA) есть такие, которые не позволяют включить ограничение телеметрии, так как содержат поля, которые при ограничении телеметрии не обрабатываются. Вы можете отключить эти правила или удалить их.
Список правил, которые требуется отключить или удалить, отображается в окне предупреждения под заголовком Правила TAA, которые нужно отключить или изменить. Вы можете скопировать список этих правил, нажав на кнопку Копировать список, и сохранить его любым удобным для вас способом. Кнопка Перейти к правилам TAA в окне предупреждения позволяет перейти в раздел пользовательских правил TAA (IOA).
Особенности ограничения телеметрии на PCN
Kaspersky Anti Targeted Attack Platform не проверяет пользовательские правила TAA (IOA), действующие на PCN, на работоспособность в режиме ограниченной телеметрии. Мы рекомендуем проверить на работоспособность каждое пользовательское правило TAA (IOA) самостоятельно.
Проверка пользовательских правил TAA (IOA) на работоспособность в режиме ограниченной телеметрии включает следующие этапы:
Чтобы выполнить поиск событий по коду из правила, откройте окно просмотра правила и нажмите на кнопку Запрос. После запуска поиска открывается окно Поиск угроз.
Правило TAA (IOA) является работоспособным, если в открывшемся окне отображается таблица событий, соответствующих условиям поиска. Если в открывшемся окне напротив имени PCN отображается ошибка Server error: Request failed, правило не является работоспособным.
Если вы хотите удалить или отключить неработоспособное правило на PCN, но при этом хотите применять правило на SCN, вам нужно создать аналогичное правило в веб-интерфейсе каждого SCN, на котором должно работать правило.
Если вы не хотите отключать или удалять правила, откажитесь от ограничения телеметрии.