默认情况下,Kaspersky Anti Targeted Attack Platform 会处理从 Endpoint Agent 收到的所有事件数据(遥测)。通过限制遥测量,您可以减少存储和处理遥测的服务器的负载。有限遥测包括有关事件本身的完整信息以及有关触发这些事件的进程的最重要的信息。与事件相关的其他进程的信息被排除。
拥有“高级安全官”角色的用户可以限制遥测量。拥有“管理员”或者“安全审计员”角色的用户可以查看遥测限制设置,但不能管理这些设置。具有“安全官”角色的用户无权访问遥测设置。
要限制来自 Endpoint Agent 的遥测量,请执行以下操作:
遥测受到限制。
限制 Central Node 和 SCN 遥测的特殊注意事项
点击“应用”后,可能显示“限制接收数据的范围失败”消息。这意味着某些用户定义的 TAA(IOA)规则不允许限制遥测,因为这些规则包含在遥测受限时不会被处理的字段。您可以禁用或删除此类规则。
需要禁用或删除的规则列表显示在警告窗口的“要禁用或修改的 TAA 规则”标题下。您可以通过点击“复制列表”复制这些规则的列表并以您想要的任何方式保存列表。警告窗口中的“转到 TAA 规则”按钮将带您进入用户定义的 TAA (IOA) 规则部分。
限制 PCN 遥测的特殊考虑
Kaspersky Anti Targeted Attack Platform 不会检查 PCN 上活动的用户定义的 TAA (IOA) 规则是否能够在有限的遥测下保持功能。我们建议采取措施测试每个用户定义的 TAA (IOA) 规则。
测试有限遥测模式下用户定义的 TAA (IOA) 规则的功能涉及以下步骤:
要按规则中的代码搜索事件,打开规则窗口并单击“运行查询”按钮。开始搜索后,“威胁搜索”窗口将打开。
如果窗口包含符合搜索条件的事件表,则 TAA (IOA) 规则有效。如果窗口在 PCN 名称旁边显示“服务器错误:请求失败”错误,则表示该规则不起作用。
如果您想要删除或禁用在 PCN 上不起作用的规则,但仍想在 SCN 上应用该规则,则需要在要应用该规则的每个 SCN 的 Web 界面中创建类似的规则。
如果您不想禁用或删除任何规则,请不要限制遥测。