Включение и настройка исключений отправляемой EDR-телеметрии об операциях с файлами
В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Вы можете настроить исключения отправляемой EDR-телеметрии об операциях с файлами с помощью Kaspersky Security Center Web Console в свойствах отдельного устройства или и в свойствах политики для группы устройств.
Данные, которые Kaspersky Endpoint Agent анализирует на защищаемом устройстве и отправляет на Сервер сбора телеметрии. Телеметрия представляет собой список событий, которые произошли на защищаемом устройстве.
Набор параметров, объединенных по правилу логического И, в соответствии с которыми Kaspersky Endpoint Agent не выполняет анализ и отправку EDR-телеметрии.
Исключения отправляемой EDR-телеметрии об операциях с файлами применимы при интеграции Kaspersky Endpoint Agent с серверами с установленным KATA Central Node или Kaspersky Managed Detection and Response.
Kaspersky Endpoint Agent не анализирует и не передает на сервер с установленным KATA Central Node или Kaspersky Managed Detection and Response данные, подпадающие под параметры исключений.
Чтобы включить и настроить исключения отправляемой EDR-телеметрии об операциях с файлами:
Параметры исключения применяются по правилу логического И.
В поле Имя правила введите название правила.
Название правила должно быть уникальным.
В поле Имя или маска файлового ресурса введите имя или маску имени файла или папки, при доступе к которым Kaspersky Endpoint Agent применяет правило исключения. Маска задается с помощью символов ? и *.
Укажите параметры приложения, при доступе которого к указанному файловому ресурсу Kaspersky Endpoint Agent применяет правило исключения. Если параметры приложения не указаны, Kaspersky Endpoint Agent применяет правило исключения для любых приложений, осуществляющих доступ к указанному файловому ресурсу:
Нажмите на кнопку Заполнить на основе свойств файла, если желаете, чтобы значения параметров исполняемого файла приложения заполнились автоматически.
Недоступно в Kaspersky Security Center Web Console и Kaspersky Security Center Cloud Console.
В 64-битных операционных системах параметры 64-битной версии исполняемого файла приложения из папки \windows\system32 необходимо вводить вручную, так как по кнопке Заполнить на основе свойств файла плагин заполняет параметры исполняемого файла приложения из свойств 32-битной версии этого же исполняемого файла, расположенного в папке \windows\syswow64. Например, если вы выберите файл \windows\system32\cmd.exe, то плагин отобразит параметры файла \windows\syswow64\cmd.exe. Такая ситуация связана с поведением операционной системы.
Укажите параметры приложения вручную:
В блоке Информация о процессе задайте параметры приложения:
Полный путь. Полный путь к исполняемому файлу приложения, включая его имя и расширение. Можно вводить маску пути с помощью символов ? и *.
Текст командной строки. Команда для запуска приложения из командной строки. Можно вводить маску команды с помощью символов ? и *.
Родительский путь. Путь до папки, в которой находится исполняемый файл приложения. Можно вводить маску пути с помощью символов ? и *.
В блоке Свойства файла задайте значения в следующих полях:
Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
В блоке Контрольные суммы файла задайте значения в следующих полях:
MD5. MD5-хеш исполняемого файла приложения.
SHA256. SHA256-хеш исполняемого файла приложения.
Если необходимо изменить исключение, выберите исключение и нажмите на кнопку Изменить.
Если необходимо удалить исключение, выберите исключение и нажмите на кнопку Удалить.
Если вы настраиваете параметры политики, убедитесь, что положение переключателя в правом верхнем углу блока параметров находится в активном положении.
Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.