Cấu hình đo từ xa

Hỗ trợ

Hỗ trợ các Giải pháp doanh nghiệp

Kaspersky Endpoint Security 12 cho Windows

Các giải pháp Detection and Response

Kaspersky Anti Targeted Attack Platform (EDR)

Cấu hình đo từ xa

14 Tháng Hai, 2024

ID 236497

Lưu thành PDF

Dữ liệu đo từ xa là danh sách các sự kiện đã xảy ra trên máy tính được bảo vệ. Kaspersky Endpoint Security sẽ phân tích dữ liệu đo lường từ xa và gửi nó tới Kaspersky Anti Targeted Attack Platform trong quá trình đồng bộ. Các sự kiện đo từ xa sẽ đến máy chủ gần như liên tục. Kaspersky Endpoint Security khởi tạo đồng bộ với máy chủ khi bất kỳ điều kiện nào sau đây được thỏa mãn:

Khoảng thời gian đồng bộ đã hết.
Số sự kiện trong bộ đệm vượt quá giới hạn trên.

Do đó, theo mặc định, ứng dụng sẽ đồng bộ sau mỗi 30 giây hoặc bất cứ khi nào bộ đệm chứa 1024 sự kiện. Bạn có thể cấu hình hành vi đồng bộ trong chính sách Kaspersky Endpoint Security và chọn các giá trị tối ưu để phù hợp với lượng tải mạng của bạn (xem hướng dẫn bên dưới).

Nếu không có kết nối giữa Kaspersky Endpoint Security và máy chủ, ứng dụng sẽ đặt các sự kiện mới vào hàng chờ. Khi kết nối được khôi phục, Kaspersky Endpoint Security sẽ gửi các sự kiện trong hàng chờ tới máy chủ theo đúng thứ tự. Để máy chủ không bị quá tải, Kaspersky Endpoint Security có thể bỏ qua một số sự kiện. Để bật tính năng này, bạn có thể tối ưu hóa thiết lập truyền sự kiện, chẳng hạn như đặt giá trị số sự kiện mỗi giờ tối đa (xem hướng dẫn bên dưới).

Nếu bạn đang sử dụng Kaspersky Anti Targeted Attack Platform cùng với một giải pháp khác cũng sử dụng phép đo lường từ xa, bạn có thể tắt đo lường từ xa cho KATA (EDR) (xem hướng dẫn ở trên). Điều này cho phép bạn tối ưu hóa mức tải máy chủ cho các giải pháp này. Ví dụ: nếu bạn đã triển khai giải pháp Managed Detection and Response solution and KATA (EDR) thì bạn có thể sử dụng đo lường từ xa MDR và tạo các tác vụ Phản hồi về mối đe dọa trong KATA (EDR).

Cách cấu hình đo từ xa EDR trong Bảng điều khiển quản trị (MMC)

Mở Bảng điều khiển quản trị Kaspersky Security Center.
Trong cây bảng điều khiển, hãy chọn Policies.
Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
Trong cửa sổ chính sách, hãy chọn Detection and Response → Endpoint Detection and Response (KATA).
Cấu hình thiết lập Gửi yêu cầu đồng bộ đến máy chủ KATA sau mỗi (phút). Tần suất yêu cầu đồng bộ được gửi đến máy chủ Nút trung tâm. Trong quá trình đồng bộ, Kaspersky Endpoint Security sẽ gửi thông tin về các thiết lập và tác vụ ứng dụng được sửa đổi.
Đảm bảo rằng hộp kiểm Gửi phép đo từ xa đến KATA được chọn.
Nếu cần, hãy cấu hình các thiết lập Độ trễ truyền gửi sự kiện tối đa (giây) trong mục Thiết lập truyền dữ liệu. Ứng dụng sẽ đồng bộ với máy chủ để gửi các sự kiện sau khi hết khoảng thời gian đồng bộ. Thiết lập mặc định là 30 giây.
Nếu cần, hãy chọn hộp kiểm Cho phép làm nghẽn yêu cầu trong mục Làm nghẽn yêu cầu.
Tính năng này giúp tối ưu hóa mức tải trên máy chủ. Nếu hộp kiểm được chọn, ứng dụng sẽ hạn chế các sự kiện được truyền gửi. Nếu số lượng sự kiện vượt quá giới hạn được cấu hình thì Kaspersky Endpoint Security sẽ ngừng gửi sự kiện.
Cấu hình thiết lập tối ưu hóa để gửi sự kiện đến máy chủ:
- Số lượng sự kiện tối đa mỗi giờ. Ứng dụng sẽ phân tích luồng dữ liệu đo từ xa và hạn chế gửi sự kiện nếu luồng sự kiện vượt quá giới hạn số sự kiện mỗi giờ đã được cấu hình. Kaspersky Endpoint Security sẽ tiếp tục gửi sự kiện sau một giờ. Thiết lập mặc định là 3000 sự kiện mỗi giờ.
- Tỷ lệ vượt quá hạn mức sự kiện. Ứng dụng sẽ sắp xếp sự kiện theo loại (ví dụ: sự kiện "thay đổi trong registry") và hạn chế truyền gửi sự kiện nếu tỷ lệ sự kiện cùng loại trên tổng số sự kiện vượt quá hạn mức được cấu hình theo tỷ lệ. Kaspersky Endpoint Security sẽ tiếp tục gửi sự kiện khi tỷ lệ của các sự kiện khác trên tổng số sự kiện trở lại đủ lớn. Thiết lập mặc định là 15%.
Lưu các thay đổi của bạn.

Cách cấu hình đo lường từ xa EDR trên Bảng điều khiển web

Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & profiles.
Nhấn vào tên của chính sách Kaspersky Endpoint Security.
Cửa sổ thuộc tính chính sách sẽ được mở ra.
Chọn thẻ Application settings.
Vào Detection and Response → Endpoint Detection and Response (KATA).
Cấu hình thiết lập Send sync request to KATA server every (min). Tần suất yêu cầu đồng bộ được gửi đến máy chủ Nút trung tâm. Trong quá trình đồng bộ, Kaspersky Endpoint Security sẽ gửi thông tin về các thiết lập và tác vụ ứng dụng được sửa đổi.
Đảm bảo rằng hộp kiểm Send telemetry to KATA được chọn.
Nếu cần, hãy cấu hình thiết lập Maximum events transmission delay (sec) trong mục Data transmission settings. Ứng dụng sẽ đồng bộ với máy chủ để gửi các sự kiện sau khi hết khoảng thời gian đồng bộ. Thiết lập mặc định là 30 giây.
Nếu cần, hãy chọn hộp kiểm Enable request throttling trong mục Request throttling.
Tính năng này giúp tối ưu hóa mức tải trên máy chủ. Nếu hộp kiểm được chọn, ứng dụng sẽ hạn chế các sự kiện được truyền gửi. Nếu số lượng sự kiện vượt quá giới hạn được cấu hình thì Kaspersky Endpoint Security sẽ ngừng gửi sự kiện.
Cấu hình thiết lập tối ưu hóa để gửi sự kiện đến máy chủ:
- Maximum number of events per hour. Ứng dụng sẽ phân tích luồng dữ liệu đo từ xa và hạn chế gửi sự kiện nếu luồng sự kiện vượt quá giới hạn số sự kiện mỗi giờ đã được cấu hình. Kaspersky Endpoint Security sẽ tiếp tục gửi sự kiện sau một giờ. Thiết lập mặc định là 3000 sự kiện mỗi giờ.
- Percentage of event limit excess. Ứng dụng sẽ sắp xếp sự kiện theo loại (ví dụ: sự kiện "thay đổi trong registry") và hạn chế truyền gửi sự kiện nếu tỷ lệ sự kiện cùng loại trên tổng số sự kiện vượt quá hạn mức được cấu hình theo tỷ lệ. Kaspersky Endpoint Security sẽ tiếp tục gửi sự kiện khi tỷ lệ của các sự kiện khác trên tổng số sự kiện trở lại đủ lớn. Thiết lập mặc định là 15%.
Lưu các thay đổi của bạn.

Bạn có thấy bài viết này hữu ích không?

Chúng tôi có thể cải thiện điều gì không?

Cảm ơn bạn đã gửi phản hồi! Bạn đang giúp chúng tôi cải tiến.