В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Вы можете настроить исключения и оптимизацию объема отправляемой EDR-телеметрии о процессах программ с помощью Консоли администрирования Kaspersky Security Center в свойствах отдельного устройства или и в свойствах политики для группы устройств. Kaspersky Endpoint Agent не анализирует и не передает на сервер с установленным KATA Central Node или Kaspersky Industrial CyberSecurity for Networks данные об исключенных процессах программ.
Данные, которые Kaspersky Endpoint Agent анализирует на защищаемом устройстве и отправляет на Сервер сбора телеметрии. Телеметрия представляет собой список событий, которые произошли на защищаемом устройстве.
Набор параметров, объединенных по правилу логического И, в соответствии с которыми Kaspersky Endpoint Agent не выполняет анализ и отправку EDR-телеметрии.
Чтобы включить и настроить исключения и оптимизацию объема отправляемой EDR-телеметрии о процессах программ:
В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входит нужное вам устройство.
В рабочей области выберите закладку Устройства.
Выберите устройство, для которого вы хотите настроить параметры Kaspersky Endpoint Agent.
В контекстном меню устройства выберите пункт Свойства.
Откроется окно свойств устройства.
Выберите раздел Программы.
В рабочей области окна отобразится список программ "Лаборатории Касперского", установленных на устройстве.
Выберите программу Kaspersky Endpoint Agent и откройте окно ее свойств одним из следующих способов:
Двойным щелчком мыши по названию программы.
В контекстном меню программы выберите пункт Свойства.
Нажмите на кнопку Свойства под списком программ "Лаборатории Касперского".
Выключите параметр Оптимизировать объем отправляемой телеметрии, если хотите, чтобы Kaspersky Endpoint Agent отправляла события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB, службы WinRM и процесса Агента администрирования klnagent.exe.
Включите параметр Оптимизировать объем отправляемой телеметрии, если хотите, чтобы Kaspersky Endpoint Agent не отправляла события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и Агента администрирования klnagent.exe.
Если параметр Использовать исключения выключен, Kaspersky Endpoint Agent не отправляет события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и процесса Агента администрирования klnagent.exe вне зависимости от значения параметра Оптимизировать объем отправляемой телеметрии.
Параметры исключения применяются по правилу логического И.
Для создания исключения необходимо задать значение в поле Полный путь и выбрать хотя бы один из типов событий в списке Использовать это исключение для следующих типов событий.
Если для критерия Использовать это исключение для следующих типов событий выбрано значение Сетевые события, в поле Полный путь необходимо указать полный путь к файлу.
Объект, для которого вы создаете исключение, должен присутствовать на защищаемом устройстве в момент применения параметров исключения. Например, если вы сначала настроите исключение для определенного приложения, а потом установите это приложение на защищаемое устройство, такое исключение не будет применяться.
В блоке Информация о процессе задайте значения в следующих полях:
Полный путь. Полный путь к файлу, включая его имя и расширение. Можно использовать маски файлов (с помощью символов ? и *), а также системные переменные окружения.
Текст командной строки. Командная строка для запуска объекта.
Родительский путь. Путь до папки, в которой находится файл.
В блоке Свойства файла задайте значения в следующих полях:
Описание файла. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
Версия файла. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
В блоке Контрольные суммы файла задайте значения в следующих полях:
MD5. MD5-хеш файла.
SHA256. SHA256-хеш файла.
В списке Использовать это исключение для следующих типов событий выберите как минимум одно из значений:
Изменение файла.
Сетевые события.
Интерактивный ввод в консоли.
Этот тип события выбран по умолчанию.
Загрузка модуля процесса.
Изменения в реестре.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Свойства правила.
Новое исключение создано и отображается в списке.
Если необходимо экспортировать список исключений в файл формата XML, нажмите на кнопку Экспорт.
Если необходимо испортировть список исключений из файла формата XML, нажмите на кнопку Импорт.
Если необходимо изменить исключение, выберите исключение и нажмите на кнопку Изменить.
Если необходимо удалить исключение из списка, выберите исключение и нажмите на кнопку Удалить.
Если вы настраиваете параметры политики, убедитесь, что переключатель в правом верхнем углу блока параметров находится в активном положении. Переключатель находится в этом положении по умолчанию.
Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.