Instellingen voor EDR Expert (on-premises) telemetrie configureren

Telemetrie is een lijst met gebeurtenissen die hebben plaatsgevonden op de beveiligde computer. Kaspersky Endpoint Security analyseert telemetriegegevens en verzendt deze tijdens synchronisatie naar telemetrieverzamelservers. Telemetriegebeurtenissen komen bijna continu op de server aan. Kaspersky Endpoint Security start de synchronisatie met de server wanneer aan een van de volgende voorwaarden is voldaan:

• Het synchronisatie-interval is vervallen.
• Het aantal gebeurtenissen in de buffer overschrijdt de bovengrens.

Daarom synchroniseert het programma standaard elke 30 seconden of wanneer de buffer 1024 gebeurtenissen bevat. U kunt het synchronisatiegedrag configureren in het Kaspersky Endpoint Security-beleid en optimale waarden selecteren die overeenkomen met uw netwerkbelasting (zie onderstaande instructies).

Als er geen verbinding is tussen Kaspersky Endpoint Security en de server, plaatst het programma nieuwe gebeurtenissen in de wachtrij. Wanneer de verbinding hersteld is, stuurt Kaspersky Endpoint Security gebeurtenissen in de wachtrij in de juiste volgorde naar de server. Om overbelasting van de server te voorkomen, kan Kaspersky Endpoint Security bepaalde gebeurtenissen overslaan. Hiervoor kunt u de instellingen voor gebeurtenisoverdracht optimaliseren zoals een maximale waarde voor gebeurtenissen per uur (zie onderstaande instructies).

Voer de volgende stappen uit om telemetrie-instellingen te configureren.

1. Selecteer in het hoofdvenster van de Webconsole het tabblad Assets (Devices) → Policies & profiles.
2. Klik op de naam van het Kaspersky Endpoint Security-beleid.

   U ziet nu het venster met de beleidseigenschappen.

3. Selecteer het tabblad Application settings.
4. Ga naar Built-in Agents Configuration → Endpoint Detection and Response Expert (on-premise).
5. Als u EDR Expert (on-premise) wilt configureren, selecteert u Endpoint Detection and Response Expert (version 8.0 or later) in de lijst met oplossingen.
6. Zorg ervoor dat de Send telemetry to telemetry collection servers selectievakje is ingeschakeld in het Data transmission settings blok.
7. Schakel indien nodig het selectievakje Send telemetry with IOA only in. Indicator van aanval (IOA) is een regel die een beschrijving bevat van verdacht gedrag in het systeem dat kan wijzen op een gerichte aanval. Het programma vergelijkt het gedrag in het systeem met deze regels en registreert gebeurtenissen die wijzen op een gerichte aanval. Het programma gebruikt de streaming scantechnologie die het mogelijk maakt om dergelijke gebeurtenissen in realtime bij te houden.
8. Configureer indien nodig de synchronisatie met de serverinstellingen in het blok Data transmission settings:
   • Maximum event transmission delay (sec). Het programma synchroniseert met de server om gebeurtenissen te verzenden nadat het synchronisatie-interval is verlopen. De standaardinstelling is 30 seconden.
   • Maximum number of event packages. Het programma synchroniseert met de server wanneer de buffer gevuld is met gebeurtenissen. De standaardinstelling is 1024 gebeurtenissen.
9. Schakel indien nodig het selectievakje in naast Enable request throttling in het blok Request throttling.

   Dit helpt de belasting op de server te optimaliseren. Als het selectievakje is ingeschakeld, beperkt het programma de verzonden gebeurtenissen. Als het aantal gebeurtenissen de ingestelde limieten overschrijdt, stopt Kaspersky Endpoint Security met het verzenden van gebeurtenissen.

10. Configureer optimalisatie-instellingen voor het verzenden van gebeurtenissen naar de server:
    • Maximum number of events per hour. Het programma analyseert de telemetriegegevensstroom en beperkt het verzenden van gebeurtenissen als de gebeurtenisstroom de geconfigureerde limiet voor gebeurtenissen per uur overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen na een uur. De standaardinstelling is 3000 gebeurtenissen per uur. Als het programma op een server is geïnstalleerd, is de telemetrie gegevensstroom hoger. Voor servers wordt aanbevolen om de waarde te verhogen tot 60 000 gebeurtenissen per uur.
    • Percentage of event limit excess. Het programma sorteert gebeurtenissen op type (bijvoorbeeld 'wijzigingen in het register'-gebeurtenissen) en beperkt de overdracht van gebeurtenissen als de verhouding tussen gebeurtenissen van hetzelfde type en het totale aantal gebeurtenissen de geconfigureerde limiet overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen wanneer de verhouding tussen andere gebeurtenissen en het totale aantal gebeurtenissen opnieuw groot genoeg is. De standaardinstelling is 15 %.
11. In de Connection to response servers blok, voer een waarde in voor de Send sync request to server every (min) parameter.
12. Frequentie van synchronisatieverzoeken die naar de server worden verzonden. Tijdens de synchronisatie verzendt Kaspersky Endpoint Security informatie over gewijzigde programma-instellingen en -taken.
13. Sla uw wijzigingen op. Om het beleid op computers toe te passen, sluit de hangsloten .

Naar boven