Configurarea telemetriei

Suport

Suport pentru soluții pentru companii

Kaspersky Endpoint Security 12 for Windows

Soluțiile Detection and Response

Kaspersky Anti Targeted Attack Platform (EDR)

Configurarea telemetriei

14 februarie 24

ID 236497

Salvează ca PDF

Telemetrie este o listă de evenimente care au avut loc pe computerul protejat. Kaspersky Endpoint Security analizează datele de telemetrie și le trimite către Kaspersky Anti Targeted Attack Platform în timpul sincronizării. Evenimentele de telemetrie ajung pe server aproape continuu. Kaspersky Endpoint Security inițiază sincronizarea cu serverul atunci când este îndeplinită oricare dintre următoarele condiții:

intervalul de sincronizare a expirat;
numărul de evenimente din memoria tampon depășește limita superioară.

Prin urmare, în mod implicit, aplicația se sincronizează la fiecare 30 de secunde sau ori de câte ori memoria tampon conține 1024 de evenimente. Puteți configura comportamentul de sincronizare în politica Kaspersky Endpoint Security și puteți selecta valorile optime care să corespundă încărcării rețelei dvs. (consultați instrucțiunile de mai jos).

Dacă nu există nicio conexiune între Kaspersky Endpoint Security și server, aplicația pune în coadă evenimentele noi. Când conexiunea este restabilită, Kaspersky Endpoint Security trimite evenimentele din coadă către server în ordinea corespunzătoare. Pentru a evita supraîncărcarea serverului, Kaspersky Endpoint Security poate sări peste unele evenimente. Pentru a activa acest lucru, puteți optimiza setările de transmitere a evenimentelor, de exemplu, puteți seta o valoare maximă pentru numărul evenimentelor pe oră (consultați instrucțiunile de mai jos).

Dacă utilizați Kaspersky Anti Targeted Attack Platform împreună cu o altă soluție care utilizează, de asemenea, telemetria, puteți dezactiva telemetria pentru KATA (EDR) (consultați instrucțiunile de mai sus). Acest lucru vă permite să optimizați încărcarea serverului pentru aceste soluții. De exemplu, dacă aveți soluțiile Managed Detection and Response și KATA (EDR) implementate, puteți utiliza telemetria MDR și puteți crea activități Răspuns la amenințare în KATA (EDR).

Cum se configurează telemetria EDR în Consola de administrare (MMC)

Deschide Consolă de administrare a Kaspersky Security Center.
În arborele consolei, selectați Policies.
Selectați politica necesară și faceți dublu clic pentru a deschide proprietățile politicii.
În fereastra politicii, selectați Detection and Response → Endpoint Detection and Response (KATA).
Configurați setarea Trimite solicitarea de sincronizare la serverul KATA la fiecare (min). Frecvența solicitărilor de sincronizare trimise către serverul Central Node. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației.
Asigurați-vă că este selectată caseta de validare Trimite telemetrie către KATA.
Dacă este necesar, configurați setarea Întârziere maximă între transmiterea evenimentelor (sec) în blocul Setări transmitere date. Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde.
Dacă este necesar, bifați caseta de selectare Activează limitarea solicitărilor din blocul Limitarea solicitărilor.
Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor.
Configurați setările de optimizare pentru trimiterea evenimentelor către server:
- Numărul maxim de evenimente pe oră. Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră.
- Procentajul depășirii limitei de evenimente. Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%.
Salvați-vă modificările.

Cum se configurează telemetria EDR în Web Console

În fereastra principală a Web Console, selectați Devices → Policies & profiles.
Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
Selectați fila Application settings.
Accesați Detection and Response → Endpoint Detection and Response (KATA).
Configurați setarea Send sync request to KATA server every (min). Frecvența solicitărilor de sincronizare trimise către serverul Central Node. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației.
Asigurați-vă că este selectată caseta de validare Send telemetry to KATA.
Dacă este necesar, configurați setarea Maximum events transmission delay (sec) în blocul Data transmission settings. Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde.
Dacă este necesar, bifați caseta de selectare Enable request throttling din blocul Request throttling.
Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor.
Configurați setările de optimizare pentru trimiterea evenimentelor către server:
- Maximum number of events per hour. Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră.
- Percentage of event limit excess. Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%.
Salvați-vă modificările.

Acest articol v-a fost util?

Ce putem îmbunătăți?

Mulțumim pentru feedback! Ne ajuți să devenim mai buni.