Výjimky z telemetrie EDR

Vyloučené procesy

Optimalizovat velikost odesílané telemetrie. Kaspersky Endpoint Security umožňuje optimalizovat množství přenášených dat a vyloučit z telemetrie události s určitými kódy: kód 102 (základní komunikace) a 8 (síťová aktivita procesu) pro protokol Microsoft SMB, službu WinRM a proces klnagent.exe součásti Network Agent, stejně jako rozšířené informace o typech síťových paketů pro všechny typy síťových protokolů.

Kaspersky Endpoint Security kombinuje kritéria aktivující pravidlo logickým ANO.

Kritéria aktivující pravidlo

• Úplná cesta. Úplná cesta k souboru včetně jeho názvu a přípony. Při zadávání masky podporuje aplikace Kaspersky Endpoint Security proměnné prostředí a znaky * a ?.
• Text příkazového řádku. Příkaz používaný ke spuštění souboru.
• Cesta k nadřazenému prvku. Cesta ke složce, ve které je soubor umístěn.
• Popis. Hodnota parametru FileDescription z prostředku RT_VERSION (VersionInfo).
• Původní název souboru. Hodnota parametru OriginalFilename z prostředku RT_VERSION (VersionInfo).
• Verze. Hodnota parametru FileVersion z prostředku RT_VERSION (VersionInfo).
• Kontrolní součty souborů. MD5 a SHA256.
• Vyplnit na základě vlastnosti souboru. Aplikace automaticky vyplní pole informacemi z vybraného souboru.

V 64bitových operačních systémech musíte ručně zadat parametry 64bitové verze spustitelného souboru procesu ze složky C:\windows\system32, protože aplikace vyplní pole parametrů spustitelného souboru daty z vlastností 32bitové verzi stejného spustitelného souboru ve složce C:\windows\syswow64. Pokud například vyberete C:\windows\system32\cmd.exe, modul plug-in zobrazí parametry C:\windows\syswow64\cmd.exe. Toto chování je dáno zvláštnostmi operačního systému.

Použít u následujících typů událostí

• Změna souboru.
• Události sítě.
• Proces: interaktivní vstup v konzole.
• Modul byl načten.
• Byl změněn registr.

Vyloučená síťová komunikace

Název pravidla.

Směr.

Protokol.

Číslo protokolu.

Místní port nebo rozsah.

Vzdálený port nebo rozsah.

Místní adresa. Síťová adresa počítače, u kterého aplikace Kaspersky Endpoint Security vylučuje telemetrii ze síťového provozu.

Vzdálená adresa. Síťová adresa počítače, u kterého aplikace Kaspersky Endpoint Security vylučuje telemetrii ze síťového provozu.

Pro adresy IP je podporován pouze formát IPv4.

Aplikace. Seznam spustitelných souborů aplikací, u kterých Kaspersky Endpoint Security vylučuje telemetrii EDR ze síťového provozu.

Vyloučené operace se souborem

Název pravidla.

Název souboru nebo maska. Název nebo maska ​​souboru nebo složky; Kaspersky Endpoint Security použije při přístupu k tomuto souboru nebo složce pravidlo výjimky. Při zadávání masky podporuje aplikace Kaspersky Endpoint Security znaky * a ?.

Kaspersky Endpoint Security kombinuje kritéria aktivující pravidlo logickým ANO.

Kritéria aktivující pravidlo

• Úplná cesta. Úplná cesta k souboru včetně jeho názvu a přípony. Při zadávání masky podporuje aplikace Kaspersky Endpoint Security proměnné prostředí a znaky * a ?.
• Text příkazového řádku. Příkaz používaný ke spuštění souboru.
• Cesta k nadřazenému prvku. Cesta ke složce, ve které je soubor umístěn.
• Popis. Hodnota parametru FileDescription z prostředku RT_VERSION (VersionInfo).
• Původní název souboru. Hodnota parametru OriginalFilename z prostředku RT_VERSION (VersionInfo).
• Verze. Hodnota parametru FileVersion z prostředku RT_VERSION (VersionInfo).
• Kontrolní součty souborů. MD5 a SHA256.
• Vyplnit na základě vlastnosti souboru. Aplikace automaticky vyplní pole informacemi z vybraného souboru.

V 64bitových operačních systémech musíte ručně zadat parametry 64bitové verze spustitelného souboru procesu ze složky C:\windows\system32, protože aplikace vyplní pole parametrů spustitelného souboru daty z vlastností 32bitové verzi stejného spustitelného souboru ve složce C:\windows\syswow64. Pokud například vyberete C:\windows\system32\cmd.exe, modul plug-in zobrazí parametry C:\windows\syswow64\cmd.exe. Toto chování je dáno zvláštnostmi operačního systému.