Konfigurace nastavení telemetrie EDR Expert (on-premise)

Telemetrie je seznam událostí, ke kterým došlo na chráněném počítači. Kaspersky Endpoint Security analyzuje telemetrická data a během synchronizace je odesílá na servery pro shromažďování telemetrie. Telemetrické události přicházejí na server téměř nepřetržitě. Kaspersky Endpoint Security zahájí synchronizaci se serverem, když je splněna některá z následujících podmínek:

• Interval synchronizace vypršel.
• Počet událostí ve vyrovnávací paměti překročí horní limit.

Ve výchozím nastavení se tedy aplikace synchronizuje každých 30 sekund nebo vždy, když vyrovnávací paměť obsahuje 1024 událostí. Chování synchronizace můžete nakonfigurovat v zásadách aplikace Kaspersky Endpoint Security a vybrat optimální hodnoty, aby odpovídaly zatížení vaší sítě (viz pokyny níže).

Pokud mezi aplikací Kaspersky Endpoint Security a serverem není navázáno připojení, aplikace zařadí nové události do fronty. Po obnovení připojení odešle Kaspersky Endpoint Security události ve frontě na server ve správném pořadí. Aby nedošlo k přetížení serveru, může aplikace Kaspersky Endpoint Security některé události přeskočit. Chcete-li to povolit, můžete optimalizovat nastavení přenosu událostí, například nastavit maximální hodnotu událostí za hodinu (viz pokyny níže).

Chcete-li nakonfigurovat nastavení telemetrie, proveďte následující kroky:

1. V hlavním okně webové konzoly vyberte kartu Assets (Devices) → Policies & profiles.
2. Klikněte na název zásad aplikace Kaspersky Endpoint Security.

   Otevře se okno vlastností zásad.

3. Vyberte kartu Application settings.
4. Přejděte na Built-in Agents Configuration → Endpoint Detection and Response Expert (on-premise).
5. Chcete-li nakonfigurovat EDR Expert (on-premise), ze seznamu řešení vyberte možnost Endpoint Detection and Response Expert (version 8.0 or later).
6. Ujistěte se, že je v bloku Data transmission settings zaškrtnuto políčko Send telemetry to telemetry collection servers.
7. V případě potřeby zaškrtněte políčko Send telemetry with IOA only. Indikátor útoku (IOA) je pravidlo, které obsahuje popis podezřelého chování v systému, které může naznačovat cílený útok. Aplikace porovnává průběžné chování v systému s těmito pravidly a zaprotokoluje události, které ukazují na cílený útok. Aplikace používá technologii kontrola streamování, která umožňuje sledování těchto událostí v reálném čase.
8. V případě potřeby nakonfigurujte synchronizaci s nastavením serveru v bloku Data transmission settings:
   • Maximum event transmission delay (sec). Aplikace se synchronizuje se serverem a odesílá události po uplynutí intervalu synchronizace. Výchozí hodnota je 30 sekund.
   • Maximum number of event packages. Aplikace se synchronizuje se serverem, když se vyrovnávací paměť zaplní událostmi. Výchozí hodnota je 1024 událostí.
9. V případě potřeby zaškrtněte políčko Enable request throttling v bloku Request throttling.

   Tato funkce pomáhá optimalizovat zátěž serveru. Pokud je políčko zaškrtnuto, aplikace omezí přenášené události. Pokud počet událostí překročí nakonfigurované limity, aplikace Kaspersky Endpoint Security přestane odesílat události.

10. Konfigurace nastavení optimalizace pro odesílání událostí na server:
    • Maximum number of events per hour. Aplikace analyzuje tok telemetrických dat a omezí odesílání událostí, pokud tok událostí překročí nakonfigurovaný limit událostí za hodinu. Kaspersky Endpoint Security obnoví odesílání událostí po hodině. Výchozí nastavení je 3000 událostí za hodinu. Pokud je aplikace nainstalována na serveru, je datový tok telemetrie vyšší. U serverů se doporučuje zvýšit hodnotu na 60 000 událostí za hodinu.
    • Percentage of event limit excess. Aplikace třídí události podle typu (například události „změny registru“) a omezuje přenos událostí, pokud poměr událostí stejného typu k celkovému počtu událostí překročí nakonfigurovaný limit v procentech. Kaspersky Endpoint Security obnoví odesílání událostí, když poměr ostatních událostí k celkovému počtu událostí bude opět dostatečně velký. Výchozí nastavení je 15 %.
11. V bloku Connection to response servers zadejte hodnotu pro parametr Send sync request to server every (min).
12. Frekvence požadavků na synchronizaci odesílaných na server. Během synchronizace Kaspersky Endpoint Security odesílá informace o změněných nastaveních aplikací a úlohách.
13. Uložte změny. Chcete-li zásady použít v počítačích, zavřete zámky .

Začátek stránky