Включение и настройка исключений и оптимизации объема отправляемой EDR-телеметрии о процессах программ

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете настроить исключения и оптимизацию объема отправляемой EDR-телеметрии о процессах программ с помощью Консоли администрирования Kaspersky Security Center в свойствах отдельного устройства или и в свойствах политики для группы устройств.

Исключения отправляемой EDR-телеметрии о процессах программ доступны при интеграции Kaspersky Endpoint Agent с серверами с установленным KATA Central Node или Kaspersky Industrial CyberSecurity for Networks.

Kaspersky Endpoint Agent не анализирует и не передает на сервер с установленным KATA Central Node или Kaspersky Industrial CyberSecurity for Networks данные об исключенных процессах программ.

Управление (включение / выключение) оптимизацией объема отправляемой EDR-телеметрии о процессах программ доступно при интеграции Kaspersky Endpoint Agent с серверами с установленным Kaspersky Industrial CyberSecurity for Networks.

Если включена оптимизация объема отправляемой EDR-телеметрии, Kaspersky Endpoint Agent не отправляет события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и Агента администрирования klnagent.exe о процессах программ на сервер с установленным Kaspersky Industrial CyberSecurity for Networks.

Чтобы включить и настроить исключения и оптимизацию объема отправляемой EDR-телеметрии о процессах программ:

1. Выполните одно из следующих действий:
   • Откройте окно свойств программы для отдельного устройства.
     1. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входит нужное вам устройство.
     2. В рабочей области выберите вкладку Устройства.
     3. Выберите устройство, для которого вы хотите настроить параметры Kaspersky Endpoint Agent.
     4. В контекстном меню устройства выберите пункт Свойства.

        Откроется окно свойств устройства.

     5. Выберите раздел Программы.

        В рабочей области окна отобразится список программ "Лаборатории Касперского", установленных на устройстве.

     6. Выберите программу Kaspersky Endpoint Agent и откройте окно ее свойств одним из следующих способов:
        • Двойным щелчком мыши по названию программы.
        • В контекстном меню программы выберите пункт Свойства.
        • Нажмите на кнопку Свойства под списком программ "Лаборатории Касперского".

   • Откройте окно свойств политики программы.
     1. Откройте Консоль администрирования Kaspersky Security Center.
     2. В дереве консоли откройте папку Политики.
     3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
        • Двойным щелчком мыши по названию политики.
        • В контекстном меню политики выберите пункт Свойства.
        • В правой части окна выберите пункт Настроить параметры политики.

2. Перейдите в раздел EDR-телеметрия → Исключенные процессы.
3. В блоке параметров Исключения включите параметр Использовать исключения, чтобы включить применение исключений для EDR-телеметрии.
4. Настройте оптимизацию объема отправляемой EDR-телеметрии:

   При интеграции Kaspersky Endpoint Agent с серверами с установленным KATA Central Node оптимизация объема отправляемой EDR-телеметрии должна быть всегда включена.

   • Выключите параметр Оптимизировать объем отправляемой телеметрии, если хотите, чтобы Kaspersky Endpoint Agent отправляла события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB, службы WinRM и процесса Агента администрирования klnagent.exe, а также расширенную информацию о типе сетевых пакетов для всех типов сетевых протоколов.
   • Включите параметр Оптимизировать объем отправляемой телеметрии, если хотите, чтобы Kaspersky Endpoint Agent не отправляла события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и Агента администрирования klnagent.exe, а также расширенную информацию о типе сетевых пакетов для всех типов сетевых протоколов.

   Если параметр Использовать исключения выключен, Kaspersky Endpoint Agent не отправляет события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и процесса Агента администрирования klnagent.exe, а также расширенную информацию о типе сетевых пакетов для всех типов сетевых протоколов вне зависимости от значения параметра Оптимизировать объем отправляемой телеметрии.

5. Создайте список исключений:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне Свойства правила настройте параметры исключения.

      Параметры исключения применяются по правилу логического И.

      Исполняемый файл процесса, для которого вы создаете исключение, должен присутствовать на защищаемом устройстве в момент применения параметров исключения. Если вы сначала настроите исключение для процесса, а потом установите на защищаемый компьютер приложение, ассоциированное с процессом, то такое исключение не будет применяться.

      1. Укажите параметры исполняемого файла процесса, для которого Kaspersky Endpoint Agent применяет правило исключения:
         • Нажмите на кнопку Заполнить на основе свойств файла, если желаете, чтобы значения параметров исполняемого файла процесса заполнились автоматически.

           Недоступно в Kaspersky Security Center Web Console и Kaspersky Security Center Cloud Console.

           В 64-битных операционных системах параметры 64-битной версии исполняемого файла процесса из папки \windows\system32 необходимо вводить вручную, так как по кнопке Заполнить на основе свойств файла плагин заполняет параметры исполняемого файла процесса из свойств 32-битной версии этого же исполняемого файла, расположенного в папке \windows\syswow64. Например, если вы выберите файл \windows\system32\cmd.exe, то плагин отобразит параметры файла \windows\syswow64\cmd.exe. Такая ситуация связана с поведением операционной системы.

         • Укажите параметры процесса вручную:
           1. В блоке Информация о процессе задайте значения в следующих полях:
              • Полный путь. Полный путь к файлу, включая его имя и расширение. Можно использовать маски файлов (с помощью символов ? и *), а также системные переменные окружения.
              • Текст командной строки. Командная строка для запуска объекта.
              • Родительский путь. Путь до папки, в которой находится файл.
           2. В блоке Свойства файла задайте значения в следующих полях:
              • Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
              • Исходное имя. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
              • Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
           3. В блоке Контрольные суммы файла задайте значения в следующих полях:
              • MD5. MD5-хеш файла.
              • SHA256. SHA256-хеш файла.
           4. В списке Использовать это исключение для следующих типов событий выберите как минимум одно из значений:
              • Изменение файла.
              • Сетевые события.

              Если выбрано это значение, в поле Полный путь необходимо указать полный путь к файлу.

              • Интерактивный ввод в консоли.

                Этот тип события выбран по умолчанию.

              • Загрузка модуля процесса.
              • Изменения в реестре.
   3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Свойства правила.

      Новое исключение создано и отображается в списке.

   4. Если необходимо экспортировать список исключений в файл формата XML, нажмите на кнопку Экспорт.
   5. Если необходимо импортировать список исключений из файла формата XML, нажмите на кнопку Импорт.
   6. Если необходимо изменить исключение, выберите исключение и нажмите на кнопку Изменить.
   7. Если необходимо удалить исключение из списка, выберите исключение и нажмите на кнопку Удалить.
6. Если вы настраиваете параметры политики, убедитесь, что переключатель в правом верхнем углу блока параметров находится в активном положении.
7. Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.

В начало