Kaspersky Endpoint Agent

Включение и настройка исключений для EDR-телеметрии

Развернуть всё | Свернуть всё

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете настроить исключения для EDR-телеметрии с помощью Консоли администрирования: как в свойствах отдельного устройства, так и в свойствах политики для группы устройств.

Чтобы включить и настроить исключения для EDR-телеметрии:

1. Выполните одно из следующих действий:
   • Откройте окно свойств программы для отдельного устройства.
     1. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входит нужное вам устройство.
     2. В рабочей области выберите закладку Устройства.
     3. Выберите устройство, для которого вы хотите настроить параметры Kaspersky Endpoint Agent.
     4. В контекстном меню устройства выберите пункт Свойства.

        Откроется окно свойств устройства.

     5. Выберите раздел Программы.

        В рабочей области окна отобразится список программ "Лаборатории Касперского", установленных на устройстве.

     6. Выберите программу Kaspersky Endpoint Agent и откройте окно ее свойств одним из следующих способов:
        • Двойным щелчком мыши по названию программы.
        • В контекстном меню программы выберите пункт Свойства.
        • Нажмите на кнопку Свойства под списком программ "Лаборатории Касперского".

   • Откройте окно свойств политики программы.
     1. Откройте Консоль администрирования Kaspersky Security Center.
     2. В дереве консоли откройте папку Политики.
     3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
        • Двойным щелчком мыши по названию политики.
        • В контекстном меню политики выберите пункт Свойства.
        • В правой части окна выберите пункт Настроить параметры политики.

2. Перейдите в раздел EDR-телеметрия → Исключения.
3. Чтобы включить применение исключений для EDR-телеметрии, в блоке параметров EDR-телеметрия включите параметр Использовать исключения.
4. Чтобы добавить новое исключение, выполните следующие действия:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне Свойства правила настройте следующие критерии исключения:

      Критерии применяются при помощи логического И.

      Для создания правила необходимо обязательно задать значение в поле Полный путь и выбрать хотя бы один из типов событий в списке Использовать это исключение для следующих типов событий.

      Если для критерия Использовать это исключение для следующих типов событий выбрана опция Сетевые события, в поле Полный путь необходимо указать полный путь к файлу.

      Объект, для которого вы создаете исключение, должен присутствовать на защищаемом устройстве в момент применения параметров исключения. Например, если вы сначала настроите исключение для определенного приложения, а потом установите это приложение на защищаемое устройство, такое исключение не будет применяться.

      • В блоке Информация о процессе задайте значения в следующих полях:
        • Полный путь. Полный путь к файлу, включая его имя и расширение. Можно использовать маски файлов (с помощью символов ? и *), а также системные переменные окружения.
        • Текст командной строки. Командная строка для запуска объекта.
        • Родительский путь. Путь до папки, в которой находится файл.
      • В блоке Свойства файла задайте значения в следующих полях:
        • Описание файла. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
        • Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
        • Версия файла. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
      • В блоке Контрольные суммы файла задайте значения в следующих полях:
        • MD5. MD5-хеш файла.
        • SHA256. SHA256-хеш файла.
      • В списке Использовать это исключение для следующих типов событий выберите как минимум одну из следующих опций:
        • Изменение файла.
        • Сетевые события.
        • Интерактивный ввод в консоли. По умолчанию эта опция выбрана.
        • Загрузка модуля процесса.
        • Изменения в реестре.
   3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Свойства правила.

   Новое правило создано и отображается в списке исключений.

5. Чтобы удалить правило из списка исключений, выберите правило и нажмите на кнопку Удалить.
6. Чтобы открыть окно свойств уже созданного правила для изменения заданных критериев, выберите правило из списка исключений и нажмите на кнопку Изменить.
7. Если вы настраиваете параметры политики, убедитесь, что положение переключателя в правом верхнем углу блока параметров находится в положении Политика применяется. Переключатель находится в это положении по умолчанию.
8. Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.

Исключения для EDR-телеметрии используются по настроенным правилам.