Configurar a telemetria

Apoio

Suporte técnico para soluções empresariais

Kaspersky Endpoint Security 12 for Windows

Soluções Detection and Response

Kaspersky Anti Targeted Attack Platform (EDR)

Configurar a telemetria

14 de fevereiro de 2024

ID 236497

Guardar como PDF

Telemetria é uma lista de eventos que ocorreram no computador protegido. O Kaspersky Endpoint Security analisa os dados de telemetria e envia-os para a Kaspersky Anti Targeted Attack Platform durante a sincronização. Os eventos de telemetria chegam ao servidor quase continuamente. O Kaspersky Endpoint Security inicia a sincronização com o servidor quando qualquer uma das seguintes condições é satisfeita:

O intervalo de sincronização acaba.
O número de eventos na memória intermédia excede o limite superior.

Portanto, por defeito, a aplicação sincroniza a cada 30 segundos ou sempre que a memória intermédia contém 1024 eventos. Pode configurar o comportamento de sincronização na política do Kaspersky Endpoint Security e selecionar os valores ideais para corresponder à sua carga de rede (consulte as instruções abaixo).

Se não houver ligação entre o Kaspersky Endpoint Security e o servidor, a aplicação coloca novos eventos na fila. Quando a ligação é restaurada, o Kaspersky Endpoint Security envia eventos da fila para o servidor na ordem correta. Para evitar sobrecarregar o servidor, o Kaspersky Endpoint Security pode ignorar alguns eventos. Para ativar esta opção, pode otimizar as definições de transmissão de eventos, por exemplo, para definir um valor máximo de eventos por hora (consulte as instruções abaixo).

Se estiver a utilizar a Kaspersky Anti Targeted Attack Platform juntamente com outra solução que também usa telemetria, pode desativar a telemetria para o KATA (EDR) (consulte as instruções acima). Isto permite otimizar a carga do servidor para estas soluções. Por exemplo, se tiver a solução Managed Detection and Response e o KATA (EDR) implementado, pode utilizar a telemetria MDR e criar tarefas de Resposta à Ameaça no KATA (EDR).

Como configurar a telemetria EDR na Consola de Administração (MMC)

Abra a Consola de Administração do Kaspersky Security Center.
Na árvore da consola, selecione Policies.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela de política, selecione Detection and Response → Endpoint Detection and Response (KATA).
Configure a definição Enviar pedido de sincronização ao servidor KATA a cada (min). Frequência de pedidos de sincronização enviados ao servidor do Nó Central. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as definições e tarefas modificadas da aplicação.
Certifique-se de que a caixa de seleção Enviar telemetria para o KATA está selecionada.
Se for necessário, configure a definição Atraso máximo de transmissão de eventos (seg) no bloco Definições de transmissão de dados. A aplicação sincroniza com o servidor para enviar eventos após o término do intervalo de sincronização. A predefinição é 30 segundos.
Se for necessário, selecione a caixa de verificação Ativar limitação de solicitações no bloco Solicitar estrangulamento.
Esta ação ajuda a otimizar a carga no servidor. Se a caixa de verificação estiver selecionada, a aplicação restringe os eventos transmitidos. Se o número de eventos exceder os limites configurados, o Kaspersky Endpoint Security irá interromper o envio de eventos.
Configure as definições de otimização para enviar eventos ao servidor:
- Número máximo de eventos por hora. A aplicação analisa o fluxo de dados de telemetria e restringe o envio de eventos se o fluxo de eventos exceder o limite de eventos por hora configurado. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A predefinição é 3000 eventos por hora.
- Percentagem de excesso do limite de evento. A aplicação ordena os eventos por tipo (por exemplo, eventos "alterações no registo") e restringe a transmissão de eventos se a proporção de eventos do mesmo tipo para o número total de eventos exceder o limite configurado em percentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos se torna grande o suficiente novamente. A predefinição é 15%.
Guarde as suas alterações.

Como configurar a telemetria EDR na consola Web

Na janela principal da Consola Web, selecione Devices → Policies & Profiles.
Clique no nome da política do Kaspersky Endpoint Security.
É apresentada a janela de propriedades da política.
Selecione o separador Application settings.
Aceda a Detection and Response → Endpoint Detection and Response (KATA).
Configure a definição Send sync request to KATA server every (min). Frequência de pedidos de sincronização enviados ao servidor do Nó Central. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as definições e tarefas modificadas da aplicação.
Certifique-se de que a caixa de seleção Enviar telemetria para o KATA está selecionada.
Se necessário, configure a definição Maximum events transmission delay (sec) no bloco Data transmission settings. A aplicação sincroniza com o servidor para enviar eventos após o término do intervalo de sincronização. A predefinição é 30 segundos.
Se for necessário, selecione a caixa de verificação Enable request throttling no bloco Request throttling.
Esta ação ajuda a otimizar a carga no servidor. Se a caixa de verificação estiver selecionada, a aplicação restringe os eventos transmitidos. Se o número de eventos exceder os limites configurados, o Kaspersky Endpoint Security irá interromper o envio de eventos.
Configure as definições de otimização para enviar eventos ao servidor:
- Maximum number of events per hour. A aplicação analisa o fluxo de dados de telemetria e restringe o envio de eventos se o fluxo de eventos exceder o limite de eventos por hora configurado. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A predefinição é 3000 eventos por hora.
- Percentage of event limit excess. A aplicação ordena os eventos por tipo (por exemplo, eventos "alterações no registo") e restringe a transmissão de eventos se a proporção de eventos do mesmo tipo para o número total de eventos exceder o limite configurado em percentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos se torna grande o suficiente novamente. A predefinição é 15%.
Guarde as suas alterações.

Exclusões de telemetria

Para otimizar os dados transmitidos, pode adicionar um ficheiro executável à lista de aplicações fiáveis. Nesse caso, o Kaspersky Endpoint Security não envia eventos de telemetria para essa aplicação. Esta ação permite reduzir o tráfego de rede e minimizar a quantidade de eventos de objetos fiáveis.

Achou este artigo útil?

O que podemos melhorar?

Agradecemos o seu comentário! Está a ajudar-nos a melhorar.