Настройка отправки телеметрии
Телеметрия – список событий, которые произошли на защищаемом компьютере. Kaspersky Endpoint Security анализирует данные телеметрии и отправляет их на серверы Kaspersky Anti Targeted Attack Platform во время синхронизации. События телеметрии поступают на сервер почти непрерывно. Kaspersky Endpoint Security выполняет синхронизацию с сервером при выполнении любого из следующих условий:
- Истек период синхронизации.
- Количество событий в буфере превысило максимальное значение.
Таким образом, по умолчанию приложение выполняет синхронизацию каждые 30 секунд или при накоплении в буфере 1024 события. Вы можете настроить параметры синхронизации в политике Kaspersky Endpoint Security и выбрать оптимальные значения исходя из нагрузки на сеть (см. инструкцию ниже).
Если соединение между Kaspersky Endpoint Security и сервером отсутствует, то приложение ставит новые события в очередь. При восстановлении соединения Kaspersky Endpoint Security отправляет события из очереди на сервер по порядку. При этом, чтобы не перегрузить сервер, Kaspersky Endpoint Security может отправлять не все события. Для этого вы можете оптимизировать параметры отправки событий и, например, задать максимальное количество событий в час (см. инструкцию ниже).
Если вы используете Kaspersky Anti Targeted Attack Platform совместно с другим решением, которое также использует телеметрию, вы можете выключить отправку телеметрии для KATA (EDR) (см. инструкцию выше). Это позволит оптимизировать нагрузку на серверы для этих решений. Например, если у вас развернуто решение Managed Detection and Response и KATA (EDR), вы можете использовать телеметрию MDR, а создавать задачи реагирования на угрозы в KATA (EDR).
Как настроить параметры отправки EDR-телеметрии в Консоли администрирования (MMC)
- Откройте Консоль администрирования Kaspersky Security Center.
- В дереве консоли выберите папку Политики.
- Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
- В окне политики выберите Detection and Response → Endpoint Detection and Response (KATA).
- Настройте параметр Отправлять запрос на синхронизацию на сервер KATA каждые (мин.). Период отправки запросов на синхронизацию с сервером Central Node. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах.
- Убедитесь, что флажок Отправлять телеметрию в KATA установлен.
- Если требуется, в блоке Настройка передачи данных настройте параметр Максимальная задержка отправки событий (сек.). Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации. По умолчанию установлено значение 30 секунд.
- Если требуется, в блоке Регулирование количества запросов установите флажок Включить регулирование количества запросов.
Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события.
- Настройте параметры оптимизации отправки событий на сервер:
- Максимальное количество событий в час. Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. По умолчанию установлено значение 3000 событий в час.
- Процент превышения лимита событий. Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится. По умолчанию установлено значение 15 %.
- Сохраните внесенные изменения.
Как настроить параметры отправки EDR-телеметрии в Web Console
- В главном окне Web Console выберите Устройства → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
- Выберите закладку Параметры программы.
- Перейдите в раздел Detection and Response → Endpoint Detection and Response (KATA).
- Настройте параметр Отправлять запрос на синхронизацию на сервер KATA каждые (мин.). Период отправки запросов на синхронизацию с сервером Central Node. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах.
- Убедитесь, что флажок Отправлять телеметрию в KATA установлен.
- Если требуется, в блоке Настройка передачи данных настройте параметр Максимальная задержка отправки событий (сек.). Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации. По умолчанию установлено значение 30 секунд.
- Если требуется, в блоке Регулирование количества запросов установите флажок Включить регулирование количества запросов.
Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события.
- Настройте параметры оптимизации отправки событий на сервер:
- Максимальное количество событий в час. Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. По умолчанию установлено значение 3000 событий в час.
- Процент превышения лимита событий. Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится. По умолчанию установлено значение 15 %.
- Сохраните внесенные изменения.
Исключения для телеметрии
Для оптимизации передаваемых данных вы можете добавить исполняемый файл в список доверенных приложений. В этом случае Kaspersky Endpoint Security не отправляет события телеметрии для этого приложения. Это позволит уменьшить расход трафика и сократить количество событий от доверенных объектов.
- В главном окне Web Console выберите Устройства → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
- Выберите закладку Параметры программы.
- Перейдите в раздел Интеграция с KATA → Исключения из телеметрии.
- В блоке Настройка передачи данных установите флажок Использовать исключения.
- Нажмите на кнопку Добавить и настройте параметры исключения:
Критерии применяются при помощи логического И.
- Сохраните внесенные изменения.
- Откройте Консоль администрирования Kaspersky Security Center.
- В дереве консоли выберите папку Политики.
- Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
- В окне политики выберите Интеграция с KATA → Исключения из телеметрии.
- В блоке Настройка передачи данных установите флажок Использовать исключения.
- Нажмите на кнопку Добавить и настройте параметры исключения:
Критерии применяются при помощи логического И.
- Сохраните внесенные изменения.
В начало