Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Вы можете настроить исключения для EDR-телеметрии с помощью Kaspersky Security Center Web Console как в свойствах отдельного устройства, так и в свойствах политики для группы устройств.
Чтобы включить и настроить исключения для EDR-телеметрии:
В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Политики и профили политик.
Выберите политику, которую вы хотите настроить.
В открывшемся окне <Имя политики> выберите закладку Параметры программы.
В разделе EDR-телеметрия выберите Исключения.
Откроется окно настройки параметров исключений для EDR-телеметрии.
Чтобы включить применение исключений для EDR-телеметрии, установите флажок Использовать исключения.
Чтобы добавить новое исключение, выполните следующие действия:
Нажмите на кнопку Добавить.
В открывшемся окне Свойства правила настройте следующие критерии исключения:
Критерии применяются при помощи логического И.
Для создания правила необходимо обязательно задать значение в поле Полный путь и выбрать хотя бы один из типов событий в списке Использовать это исключение для следующих типов событий.
Если для критерия Использовать это исключение для следующих типов событий выбрана опция Сетевые события, в поле Полный путь необходимо указать полный путь к файлу.
Объект, для которого вы создаете исключение, должен присутствовать на защищаемом устройстве в момент применения параметров исключения. Например, если вы сначала настроите исключение для определенного приложения, а потом установите это приложение на защищаемое устройство, такое исключение не будет применяться.
В блоке Информация о процессе задайте значения в следующих полях:
Полный путь. Полный путь к файлу, включая его имя и расширение. Можно использовать маски файлов (с помощью символов ? и *), а также системные переменные окружения.
Текст командной строки. Командная строка для запуска объекта.
Родительский путь. Путь до папки, в которой находится файл.
В блоке Свойства файла задайте значения в следующих полях:
Описание файла. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
Версия файла. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
В блоке Контрольные суммы файла задайте значения в следующих полях:
MD5. MD5-хеш файла.
SHA256. SHA256-хеш файла.
В списке Использовать это исключение для следующих типов событий выберите как минимум одну из следующих опций:
Изменение файла.
Сетевые события.
Интерактивный ввод в консоли. По умолчанию эта опция выбрана.
Загрузка модуля процесса.
Изменения в реестре.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Свойства правила.
Новое правило создано и отображается в списке исключений.
Чтобы удалить правило из списка исключений, установите флажок рядом с именем правила и нажмите на кнопку Удалить.
Чтобы открыть окно свойств уже созданного правила для изменения заданных критериев, установите флажок рядом с именем правила и нажмите на кнопку Изменить.
Если вы настраиваете параметры политики, убедитесь, что положение переключателя в правом верхнем углу блока параметров находится в положении Принудительно. Переключатель находится в этом положении по умолчанию.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Исключения.
Исключения для EDR-телеметрии используются по настроенным правилам.