EDR (KATA)-telemetrie configureren
Telemetrie is een lijst met gebeurtenissen die hebben plaatsgevonden op de beveiligde computer. Kaspersky Endpoint Security analyseert telemetriegegevens en verzendt deze tijdens de synchronisatie naar Kaspersky Anti Targeted Attack Platform. Telemetriegebeurtenissen komen bijna continu op de server aan. Kaspersky Endpoint Security start de synchronisatie met de server wanneer aan een van de volgende voorwaarden is voldaan:
- Het synchronisatie-interval is vervallen.
- Het aantal gebeurtenissen in de buffer overschrijdt de bovengrens.
Daarom synchroniseert het programma standaard elke 30 seconden of wanneer de buffer 1024 gebeurtenissen bevat. U kunt het synchronisatiegedrag configureren in het Kaspersky Endpoint Security-beleid en optimale waarden selecteren die overeenkomen met uw netwerkbelasting (zie onderstaande instructies).
Als er geen verbinding is tussen Kaspersky Endpoint Security en de server, plaatst het programma nieuwe gebeurtenissen in de wachtrij. Wanneer de verbinding hersteld is, stuurt Kaspersky Endpoint Security gebeurtenissen in de wachtrij in de juiste volgorde naar de server. Om overbelasting van de server te voorkomen, kan Kaspersky Endpoint Security bepaalde gebeurtenissen overslaan. Hiervoor kunt u de instellingen voor gebeurtenisoverdracht optimaliseren zoals een maximale waarde voor gebeurtenissen per uur (zie onderstaande instructies).
Als u Kaspersky Anti Targeted Attack Platform gebruikt in combinatie met een andere oplossing die ook telemetrie gebruikt, kunt u telemetrie voor KATA (EDR) uitschakelen (zie instructies beneden). Hiermee kunt u de serverbelasting voor deze oplossingen optimaliseren. Als u bijvoorbeeld de Managed Detection and Response-oplossing en KATA (EDR) hebt geïmplementeerd, kunt u MDR-telemetrie gebruiken en Threat Response-taken maken in KATA (EDR).
Telemetrie configureren in de Beheerconsole (MMC)
- Open de Beheerconsole van Kaspersky Security Center.
- Selecteer in de beheerconsole Policies.
- Selecteer het noodzakelijke beleid en dubbelklik om de beleidseigenschappen te openen.
- Selecteer in het beleidsvenster Detection and Response en selecteer het onderdeel dat u wilt configureren: Endpoint Detection and Response Expert (on-premise) of Network Detection and Response (KATA).
- Configureer de instelling Stuur sync-verzoek naar KATA-server elke (min). Frequentie van synchronisatieverzoeken die naar de server worden verzonden. Tijdens de synchronisatie verzendt Kaspersky Endpoint Security informatie over gewijzigde programma-instellingen en -taken.
- Zorg ervoor dat het selectievakje Telemetrie versturen naar KATA ingeschakeld is.
- Configureer indien nodig de synchronisatie met de serverinstellingen in het blok Data-overdrachtsinstellingen:
- Maximale vertraging gebeurtenisoverdracht (sec). Het programma synchroniseert met de server om gebeurtenissen te verzenden nadat het synchronisatie-interval is verlopen. De standaardinstelling is 30 seconden.
- Maximum aantal evenementenpakketten. Het programma synchroniseert met de server wanneer de buffer gevuld is met gebeurtenissen. De standaardinstelling is 1024 gebeurtenissen.
- Schakel indien nodig het selectievakje in naast Afremmen van verzoeken inschakelen in het blok Afremmen verzoeken.
Dit helpt de belasting op de server te optimaliseren. Als het selectievakje is ingeschakeld, beperkt het programma de verzonden gebeurtenissen. Als het aantal gebeurtenissen de ingestelde limieten overschrijdt, stopt Kaspersky Endpoint Security met het verzenden van gebeurtenissen.
- Configureer optimalisatie-instellingen voor het verzenden van gebeurtenissen naar de server:
- Maximum aantal gebeurtenissen per uur. Het programma analyseert de telemetriegegevensstroom en beperkt het verzenden van gebeurtenissen als de gebeurtenisstroom de geconfigureerde limiet voor gebeurtenissen per uur overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen na een uur. De standaardinstelling is 3000 gebeurtenissen per uur. Als het programma op een server is geïnstalleerd, is de telemetrie gegevensstroom hoger. Voor servers wordt aanbevolen om de waarde te verhogen tot 60 000 gebeurtenissen per uur.
- Percentage van de limietoverschrijding. Het programma sorteert gebeurtenissen op type (bijvoorbeeld 'wijzigingen in het register'-gebeurtenissen) en beperkt de overdracht van gebeurtenissen als de verhouding tussen gebeurtenissen van hetzelfde type en het totale aantal gebeurtenissen de geconfigureerde limiet overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen wanneer de verhouding tussen andere gebeurtenissen en het totale aantal gebeurtenissen opnieuw groot genoeg is. De standaardinstelling is 15 %.
- Sla uw wijzigingen op. Om het beleid op computers toe te passen, sluit de hangsloten
.
Telemetrie configureren in de webconsole
- Selecteer in het hoofdvenster van de Webconsole het tabblad Assets (Devices) → Policies & profiles.
- Klik op de naam van het Kaspersky Endpoint Security-beleid.
U ziet nu het venster met de beleidseigenschappen.
- Selecteer het tabblad Application settings.
- Ga naar Built-in Agents Configuration → Endpoint Detection and Response Expert (on-premise).
- Als u EDR (KATA) wilt configureren, selecteert u Endpoint Detection and Response Expert (version 7.1 or earlier) in de lijst met oplossingen.
- Zorg ervoor dat de Send telemetry to KATA servers selectievakje is ingeschakeld in het Data transmission settings blok.
- Configureer de instelling Send sync request to server every (min). Frequentie van synchronisatieverzoeken die naar de server worden verzonden. Tijdens de synchronisatie verzendt Kaspersky Endpoint Security informatie over gewijzigde programma-instellingen en -taken.
- Zorg ervoor dat het selectievakje Send telemetry to KATA servers ingeschakeld is.
- Configureer indien nodig de synchronisatie met de serverinstellingen in het blok Data transmission settings:
- Maximum event transmission delay (sec). Het programma synchroniseert met de server om gebeurtenissen te verzenden nadat het synchronisatie-interval is verlopen. De standaardinstelling is 30 seconden.
- Maximum number of event packages. Het programma synchroniseert met de server wanneer de buffer gevuld is met gebeurtenissen. De standaardinstelling is 1024 gebeurtenissen.
- Schakel indien nodig het selectievakje in naast Enable request throttling in het blok Request throttling.
Dit helpt de belasting op de server te optimaliseren. Als het selectievakje is ingeschakeld, beperkt het programma de verzonden gebeurtenissen. Als het aantal gebeurtenissen de ingestelde limieten overschrijdt, stopt Kaspersky Endpoint Security met het verzenden van gebeurtenissen.
- Configureer optimalisatie-instellingen voor het verzenden van gebeurtenissen naar de server:
- Maximum number of events per hour. Het programma analyseert de telemetriegegevensstroom en beperkt het verzenden van gebeurtenissen als de gebeurtenisstroom de geconfigureerde limiet voor gebeurtenissen per uur overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen na een uur. De standaardinstelling is 3000 gebeurtenissen per uur. Als het programma op een server is geïnstalleerd, is de telemetrie gegevensstroom hoger. Voor servers wordt aanbevolen om de waarde te verhogen tot 60 000 gebeurtenissen per uur.
- Percentage of event limit excess. Het programma sorteert gebeurtenissen op type (bijvoorbeeld 'wijzigingen in het register'-gebeurtenissen) en beperkt de overdracht van gebeurtenissen als de verhouding tussen gebeurtenissen van hetzelfde type en het totale aantal gebeurtenissen de geconfigureerde limiet overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen wanneer de verhouding tussen andere gebeurtenissen en het totale aantal gebeurtenissen opnieuw groot genoeg is. De standaardinstelling is 15 %.
- Sla uw wijzigingen op. Om het beleid op computers toe te passen, sluit de hangsloten
.
- Selecteer in het hoofdvenster van de webconsole achtereenvolgens Assets (Devices) → Policies & profiles.
- Klik op de naam van het Kaspersky Endpoint Security-beleid.
U ziet nu het venster met de beleidseigenschappen.
- Selecteer het tabblad Application settings.
- Ga naar het gedeelte KATA-integratie → Telemetrie uitsluitingen.
- Schakel onder Data overdracht instellingen het selectievakje in voor Uitsluitingen gebruiken.
- Klik op Toevoegen en configureer de uitzonderingen:
Criteria worden gecombineerd met de logische AND.
- Sla uw wijzigingen op.
- Selecteer Tasks in de structuur van de Beheerconsole van Kaspersky Security Center.
De lijst met taken wordt geopend.
- Klik op New task.
De wizard Taak wordt gestart. Volg de instructies van de wizard.
Stap 1. Een taaktype selecteren
- Selecteer Kaspersky Endpoint Security voor Windows 12.12. → Update terugdraaien.
Stap 2: De apparaten selecteren waaraan de taak zal worden toegewezen
Selecteer de computers waarop de taak wordt uitgevoerd. De volgende opties zijn beschikbaar:
- Wijs de taak aan een beheergroep toe. In dit geval wordt de taak toegewezen aan computers uit een eerder gemaakte beheergroep.
- Selecteer computers die door Administration Server zijn gevonden in het netwerk: niet-toegewezen apparaten. De specifieke apparaten kunnen apparaten in beheergroepen of niet-toegewezen apparaten zijn.
- Geef de adressen van apparaten handmatig op of importeer de adressen vanuit een lijst. U kunt NetBIOS-namen, IP-adressen en IP-subnetten van apparaten opgeven waaraan u de taak wilt toewijzen.
Stap 3. Een taakstartschema configureren
Configureer het taakschema bijvoorbeeld handmatig.
Stap 4. Taaknaam definiëren
Voer een naam voor de taak in.
Stap 7. Aanmaak van de taak voltooien
Verlaat de wizard verlaten. Schakel indien nodig het selectievakje Run the task after the wizard finishes in. U kunt de voortgang van de taak volgen in de taakeigenschappen.