Включение и настройка исключений отправляемой EDR-телеметрии об операциях с файлами

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете настроить исключения отправляемой EDR-телеметрии об операциях с файлами с помощью Консоли администрирования Kaspersky Security Center в свойствах отдельного устройства или и в свойствах политики для группы устройств.

Исключения отправляемой EDR-телеметрии об операциях с файлами применимы при интеграции Kaspersky Endpoint Agent с серверами с установленным KATA Central Node или Kaspersky Managed Detection and Response.

Kaspersky Endpoint Agent не анализирует и не передает на сервер с установленным KATA Central Node или Kaspersky Managed Detection and Response данные, подпадающие под параметры исключений.

Чтобы включить и настроить исключения отправляемой EDR-телеметрии об операциях с файлами:

Выполните одно из следующих действий:
- Откройте окно свойств программы для отдельного устройства.
  1. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входит нужное вам устройство.
  2. В рабочей области выберите вкладку Устройства.
  3. Выберите устройство, для которого вы хотите настроить параметры Kaspersky Endpoint Agent.
  4. В контекстном меню устройства выберите пункт Свойства.
    Откроется окно свойств устройства.
  5. Выберите раздел Программы.
    В рабочей области окна отобразится список программ "Лаборатории Касперского", установленных на устройстве.
  6. Выберите программу Kaspersky Endpoint Agent и откройте окно ее свойств одним из следующих способов:
    - Двойным щелчком мыши по названию программы.
    - В контекстном меню программы выберите пункт Свойства.
    - Нажмите на кнопку Свойства под списком программ "Лаборатории Касперского".
- Откройте окно свойств политики программы.
  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве консоли откройте папку Политики.
  3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
    - Двойным щелчком мыши по названию политики.
    - В контекстном меню политики выберите пункт Свойства.
    - В правой части окна выберите пункт Настроить параметры политики.
В разделе EDR-телеметрия выберите Исключенные операции с файлами.
Откроется окно Исключенные операции с файлами.
В блоке параметров Исключения включите параметр Использовать исключения, чтобы включить применение исключений для EDR-телеметрии.
Создайте список исключений:
1. Нажмите на кнопку Добавить.
2. В открывшемся окне Свойства правила настройте параметры исключения.
  Параметры исключения применяются по правилу логического И.
  1. В поле Имя правила введите название правила.
    Название правила должно быть уникальным.
  2. В поле Имя или маска файлового ресурса введите имя или маску имени файла или папки, при доступе к которым Kaspersky Endpoint Agent применяет правило исключения. Маска задается с помощью символов ? и *.
  3. Укажите параметры приложения, при доступе которого к указанному файловому ресурсу Kaspersky Endpoint Agent применяет правило исключения. Если параметры приложения не указаны, Kaspersky Endpoint Agent применяет правило исключения для любых приложений, осуществляющих доступ к указанному файловому ресурсу:
    - Нажмите на кнопку Заполнить на основе свойств файла, если желаете, чтобы значения параметров исполняемого файла приложения заполнились автоматически.
      Недоступно в Kaspersky Security Center Web Console и Kaspersky Security Center Cloud Console.
      
      В 64-битных операционных системах параметры 64-битной версии исполняемого файла приложения из папки \windows\system32 необходимо вводить вручную, так как по кнопке Заполнить на основе свойств файла плагин заполняет параметры исполняемого файла приложения из свойств 32-битной версии этого же исполняемого файла, расположенного в папке \windows\syswow64. Например, если вы выберите файл \windows\system32\cmd.exe, то плагин отобразит параметры файла \windows\syswow64\cmd.exe. Такая ситуация связана с поведением операционной системы.
    - Укажите параметры приложения вручную:
      В блоке Информация о процессе задайте параметры приложения:
      Полный путь. Полный путь к исполняемому файлу приложения, включая его имя и расширение. Можно вводить маску пути с помощью символов ? и *.
      Текст командной строки. Команда для запуска приложения из командной строки. Можно вводить маску команды с помощью символов ? и *.
      Родительский путь. Путь до папки, в которой находится исполняемый файл приложения. Можно вводить маску пути с помощью символов ? и *.
      В блоке Свойства файла задайте значения в следующих полях:
      Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
      Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
      Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
      В блоке Контрольные суммы файла задайте значения в следующих полях:
      MD5. MD5-хеш исполняемого файла приложения.
      SHA256. SHA256-хеш исполняемого файла приложения.
3. Если необходимо изменить исключение, выберите исключение и нажмите на кнопку Изменить.
4. Если необходимо удалить исключение, выберите исключение и нажмите на кнопку Удалить.
Если вы настраиваете параметры политики, убедитесь, что положение переключателя в правом верхнем углу блока параметров находится в активном положении.
Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.

В начало