원격 측정 구성

지원

기업용 솔루션에 대한 지원

Kaspersky Endpoint Security 12 for Windows

Detection and Response 솔루션

Kaspersky Anti Targeted Attack Platform(EDR)

원격 측정 구성

2024년 2월 14일

ID 236497

PDF로 저장

원격 측정은 보호된 컴퓨터에서 발생한 이벤트 목록입니다. Kaspersky Endpoint Security는 원격 측정 데이터를 분석하여 동기화 시 Kaspersky Anti Targeted Attack Platform에 보냅니다. 원격 측정 이벤트는 거의 지속적으로 서버에 도착합니다. Kaspersky Endpoint Security는 다음 조건 중 하나라도 충족되면 서버와의 동기화를 시작합니다.

동기화 주기가 되었습니다.
버퍼의 이벤트 개수가 상한을 초과합니다.

따라서 기본적으로 애플리케이션은 30초마다, 또는 버퍼에 이벤트가 1024개 있을 때마다 동기화를 합니다. Kaspersky Endpoint Security 정책에서 동기화 동작을 구성하고 네트워크 부하에 맞는 최적의 값을 선택할 수 있습니다(아래 지침 참조).

Kaspersky Endpoint Security와 서버가 서로 연결되어 있지 않으면 애플리케이션이 새 이벤트를 대기시킵니다. 연결이 복원되면 Kaspersky Endpoint Security가 대기열에 있는 이벤트들을 적절한 순서로 서버에 보냅니다. 서버 과부하를 방지하기 위해 Kaspersky Endpoint Security는 일부 이벤트를 건너뛸 수 있습니다. 이를 활성화하기 위해 이벤트 전송 설정을 최적화할 수 있습니다. 예를 들어, 시간당 이벤트 값을 최대로 설정합니다(아래 지침 참조).

Kaspersky Anti Targeted Attack Platform을 원격 측정을 사용하는 다른 솔루션과 함께 사용할 경우 KATA(EDR)의 원격 측정을 끌 수 있습니다(위 지침 참고). 이렇게 하면 솔루션의 서버 로드를 최적화할 수 있습니다. 예를 들어 Managed Detection and Response 솔루션과 KATA(EDR)가 배포되어 있다면 MDR 원격 측정을 사용해 KATA(EDR)에서 보안 위협 대응 작업을 만들 수 있습니다.

관리 콘솔(MMC)에서 EDR 원격 측정을 구성하는 방법

Kaspersky Security Center 관리 콘솔 창을 엽니다.
콘솔 트리에서 정책을 선택합니다.
필요한 정책을 선택하고 더블 클릭하여 정책 속성을 엽니다.
정책 창에서 Detection and Response → Endpoint Detection and Response(KATA)를 선택합니다.
다음 시간마다 KATA 서버로 동기화 요청 보내기(분) 설정을 구성합니다. Central Node 서버로 전송되는 동기화 요청 빈도. 동기화하는 동안 Kaspersky Endpoint Security는 수정된 애플리케이션 설정 및 작업에 대한 정보를 보냅니다.
KATA로 원격 측정 전송 확인란이 선택되어 있어야 합니다.
필요한 경우 데이터 전송 설정에서 최대 이벤트 전송 지연(초) 설정을 구성합니다. 애플리케이션이 서버와 동기화하여 동기화 주기가 만료된 후 이벤트를 보냅니다. 기본 설정은 30초입니다.
필요한 경우 요청 제한 블록에서 요청 제한 활성화 확인란을 선택합니다.
이 기능은 서버의 부하를 최적화하는 데 도움이 됩니다. 이 확인란을 선택하면 애플리케이션이 전송되는 이벤트를 제한합니다. 이벤트 수가 구성된 제한을 초과하면 Kaspersky Endpoint Security가 이벤트 전송을 중지합니다.
이벤트를 서버로 전송하기 위한 최적화 설정을 구성합니다.
- 시간당 최대 이벤트 수. 애플리케이션은 이벤트 스트림이 구성된 시간당 이벤트 제한을 초과할 경우 원격 측정 데이터 스트림을 분석하여 이벤트 전송을 제한합니다. Kaspersky Endpoint Security는 1시간 후에 이벤트 전송을 재개합니다. 기본 설정은 시간당 이벤트 3000개입니다.
- 이벤트 제한 초과율. 애플리케이션은 이벤트를 유형별로 정렬하고(예: "레지스트리 변경 사항" 이벤트) 총 이벤트 수에 대한 동일한 유형의 이벤트 비율이 설정된 제한(백분율)을 초과할 경우 이벤트 전송을 제한합니다. Kaspersky Endpoint Security는 총 이벤트 수에 대한 다른 이벤트의 비율이 다시 충분히 커지면 이벤트 전송을 재개합니다. 기본 설정은 15%입니다.
변경 사항을 저장합니다.

웹 콘솔에서 EDR 원격 측정을 구성하는 방법

웹 콘솔의 메인 창에서 기기 → 정책 및 프로필을 선택합니다.
Kaspersky Endpoint Security 정책 이름을 클릭합니다.
정책 속성 창이 열립니다.
애플리케이션 설정 탭을 선택합니다.
Detection and Response → Endpoint Detection and Response(KATA)로 갑니다.
다음 시간마다 KATA 서버로 동기화 요청 보내기(분) 설정을 구성합니다. Central Node 서버로 전송되는 동기화 요청 빈도. 동기화하는 동안 Kaspersky Endpoint Security는 수정된 애플리케이션 설정 및 작업에 대한 정보를 보냅니다.
KATA로 원격 측정 전송 확인란이 선택되어 있어야 합니다.
필요한 경우 데이터 전송 설정에서 최대 이벤트 전송 지연(초) 설정을 구성합니다. 애플리케이션이 서버와 동기화하여 동기화 주기가 만료된 후 이벤트를 보냅니다. 기본 설정은 30초입니다.
필요한 경우 요청 제한 블록에서 요청 제한 활성화 확인란을 선택합니다.
이 기능은 서버의 부하를 최적화하는 데 도움이 됩니다. 이 확인란을 선택하면 애플리케이션이 전송되는 이벤트를 제한합니다. 이벤트 수가 구성된 제한을 초과하면 Kaspersky Endpoint Security가 이벤트 전송을 중지합니다.
이벤트를 서버로 전송하기 위한 최적화 설정을 구성합니다.
- 시간당 최대 이벤트 수. 애플리케이션은 이벤트 스트림이 구성된 시간당 이벤트 제한을 초과할 경우 원격 측정 데이터 스트림을 분석하여 이벤트 전송을 제한합니다. Kaspersky Endpoint Security는 1시간 후에 이벤트 전송을 재개합니다. 기본 설정은 시간당 이벤트 3000개입니다.
- 이벤트 제한 초과율. 애플리케이션은 이벤트를 유형별로 정렬하고(예: "레지스트리 변경 사항" 이벤트) 총 이벤트 수에 대한 동일한 유형의 이벤트 비율이 설정된 제한(백분율)을 초과할 경우 이벤트 전송을 제한합니다. Kaspersky Endpoint Security는 총 이벤트 수에 대한 다른 이벤트의 비율이 다시 충분히 커지면 이벤트 전송을 재개합니다. 기본 설정은 15%입니다.
변경 사항을 저장합니다.

이 글이 도움이 되었습니까?

무엇을 더 개선할 수 있겠습니까?

피드백을 주셔서 감사합니다! 개선에 도움이 됩니다.