Exclusões de telemetria

Para melhorar o desempenho e otimizar a transmissão de dados para o servidor de Telemetria, pode configurar exclusões de telemetria. Por exemplo, pode optar por não enviar dados de comunicações de rede para aplicações individuais.

Como criar uma exclusão de telemetria na Consola de Administração (MMC)

Como criar uma exclusão de telemetria na Consola Web e na Cloud Console

Parâmetros de exclusões de telemetria

Parâmetro

Descrição

Processos excluídos

Otimizar o tamanho da telemetria a enviar. O Kaspersky Endpoint Security permite otimizar a quantidade de dados transmitidos e excluir eventos com determinados códigos da telemetria: código 102 (comunicações básicas) e 8 (atividade de rede do processo) para o protocolo Microsoft SMB, o serviço WinRM e o processo klnagent.exe do Agente de Rede, bem como informação alargada sobre os tipos de pacotes de rede para todos os tipos de protocolos de rede.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Process details e Parent process details.

  • Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comandos. Comando utilizado para executar o ficheiro.
  • Especifique os critérios de ativação da regra e os tipos de eventos para os quais esta regra deve ser utilizada. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
  • Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
  • Somas de verificação de ficheiros. MD5 e SHA256.

Também pode selecionar um ficheiro manualmente e a aplicação irá preencher automaticamente os campos do ficheiro selecionado.

Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta C:\windows\system32, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta C:\windows\syswow64. Por exemplo, se selecionar C:\windows\system32\cmd.exe, o plug-in apresenta os parâmetros de C:\windows\syswow64\cmd.exe. Este comportamento é ditado por peculiaridades do sistema operativo.

Utilizar para os seguintes tipos de eventos

  • Modificação do ficheiro.
  • Eventos de rede.
  • Processo: entrada interativa na consola.
  • Módulo carregado.
  • Registo modificado.
  • Registos DNS.
  • Acesso ao processo.
  • Injeção de código.
  • Consulta WMI.
  • Pipe.
  • LDAP.
  • AMSI.

Comunicações em rede excluídas

Nome da regra.

Direção.

Protocolo.

Socket em bruto.

Número do protocolo.

Certificado TLS.

Porta local ou intervalo.

Porta remota ou intervalo.

Endereço local. O endereço de rede do computador para o qual o Kaspersky Endpoint Security está a excluir a telemetria do tráfego de rede.

Endereço remoto. O endereço de rede do computador para o qual o Kaspersky Endpoint Security está a excluir a telemetria do tráfego de rede.

Apenas o formato IPv4 é suportado para endereços IP.

Aplicações. Lista de ficheiros executáveis de aplicações para as quais o Kaspersky Endpoint Security está a excluir a telemetria EDR do tráfego de rede.

Operações de ficheiros excluídos

Nome da regra.

Máscara ou nome de ficheiro. Nome ou máscara de um ficheiro ou pasta; o Kaspersky Endpoint Security aplica a regra de exclusão quando este ficheiro ou pasta é acedido. O Kaspersky Endpoint Security suporta os caracteres * e ? ao introduzir uma máscara.

Tipo de operação.

Caminho anterior.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Process details e Parent process details.

  • Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comandos. Comando utilizado para executar o ficheiro.
  • Especifique os critérios de ativação da regra e os tipos de eventos para os quais esta regra deve ser utilizada. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
  • Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
  • Somas de verificação de ficheiros. MD5 e SHA256.

Também pode selecionar um ficheiro manualmente e a aplicação irá preencher automaticamente os campos do ficheiro selecionado.

Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta C:\windows\system32, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta C:\windows\syswow64. Por exemplo, se selecionar C:\windows\system32\cmd.exe, o plug-in apresenta os parâmetros de C:\windows\syswow64\cmd.exe. Este comportamento é ditado por peculiaridades do sistema operativo.

Operações DNS excluídas

Nome da regra.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Process details e Parent process details.

  • Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comandos. Comando utilizado para executar o ficheiro.
  • Especifique os critérios de ativação da regra e os tipos de eventos para os quais esta regra deve ser utilizada. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
  • Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
  • Somas de verificação de ficheiros. MD5 e SHA256.

Também pode selecionar um ficheiro manualmente e a aplicação irá preencher automaticamente os campos do ficheiro selecionado.

Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta C:\windows\system32, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta C:\windows\syswow64. Por exemplo, se selecionar C:\windows\system32\cmd.exe, o plug-in apresenta os parâmetros de C:\windows\syswow64\cmd.exe. Este comportamento é ditado por peculiaridades do sistema operativo.

DNS.

  • Endereço IP do servidor DNS.
  • Opções de consulta.
  • Estado.
  • Nome do domínio.
  • ID do tipo de definições.
  • Dados da resposta.

Operações LDAP excluídas

Nome da regra.

Âmbito de pesquisa LDAP.

Filtro.

Procure um nome distinto para a pesquisa de operações LDAP.

Atributos do objeto.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Process details e Parent process details.

  • Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comandos. Comando utilizado para executar o ficheiro.
  • Especifique os critérios de ativação da regra e os tipos de eventos para os quais esta regra deve ser utilizada. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
  • Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
  • Somas de verificação de ficheiros. MD5 e SHA256.

Também pode selecionar um ficheiro manualmente e a aplicação irá preencher automaticamente os campos do ficheiro selecionado.

Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta C:\windows\system32, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta C:\windows\syswow64. Por exemplo, se selecionar C:\windows\system32\cmd.exe, o plug-in apresenta os parâmetros de C:\windows\syswow64\cmd.exe. Este comportamento é ditado por peculiaridades do sistema operativo.

Consultas de acesso a processos excluídos

Nome da regra.

Tipo de operação.

Acesso solicitado ao processo.

Rastreio da pilha de chamadas.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Process details, Parent process details, Processo de destino, Ficheiro de um processo de origem e Ficheiro de um processo de destino.

  • Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comandos. Comando utilizado para executar o ficheiro.
  • Especifique os critérios de ativação da regra e os tipos de eventos para os quais esta regra deve ser utilizada. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
  • Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
  • Somas de verificação de ficheiros. MD5 e SHA256.

Também pode selecionar um ficheiro manualmente e a aplicação irá preencher automaticamente os campos do ficheiro selecionado.

Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta C:\windows\system32, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta C:\windows\syswow64. Por exemplo, se selecionar C:\windows\system32\cmd.exe, o plug-in apresenta os parâmetros de C:\windows\syswow64\cmd.exe. Este comportamento é ditado por peculiaridades do sistema operativo.

Injeções de códigos excluídos

Nome da regra.

Método de acesso.

Pilha de chamadas.

Linha de comandos modificada.

Endereço de injeção.

Nome de DLL injetado.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Process details e Parent process details.

  • Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comandos. Comando utilizado para executar o ficheiro.
  • Especifique os critérios de ativação da regra e os tipos de eventos para os quais esta regra deve ser utilizada. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
  • Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
  • Somas de verificação de ficheiros. MD5 e SHA256.

Também pode selecionar um ficheiro manualmente e a aplicação irá preencher automaticamente os campos do ficheiro selecionado.

Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta C:\windows\system32, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta C:\windows\syswow64. Por exemplo, se selecionar C:\windows\system32\cmd.exe, o plug-in apresenta os parâmetros de C:\windows\syswow64\cmd.exe. Este comportamento é ditado por peculiaridades do sistema operativo.

Consultas WMI eliminadas

Nome da regra.

Tipo de operação WMI.

Consulta remota.

Nome de um computador que executou um comando WMI.

Conta de utilizador WMI.

Comando WMI executado.

Espaço de nomes WMI.

Filtro do consumidor de eventos WMI.

Nome do consumidor de eventos WMI criado.

Código-fonte de um consumidor de eventos WMI.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Process details e Parent process details.

  • Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comandos. Comando utilizado para executar o ficheiro.
  • Especifique os critérios de ativação da regra e os tipos de eventos para os quais esta regra deve ser utilizada. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
  • Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
  • Somas de verificação de ficheiros. MD5 e SHA256.

Também pode selecionar um ficheiro manualmente e a aplicação irá preencher automaticamente os campos do ficheiro selecionado.

Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta C:\windows\system32, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta C:\windows\syswow64. Por exemplo, se selecionar C:\windows\system32\cmd.exe, o plug-in apresenta os parâmetros de C:\windows\syswow64\cmd.exe. Este comportamento é ditado por peculiaridades do sistema operativo.

Operações de pipe excluídas

Nome da regra.

Nome do pipe.

Tipo de operação.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Process details e Parent process details.

  • Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comandos. Comando utilizado para executar o ficheiro.
  • Especifique os critérios de ativação da regra e os tipos de eventos para os quais esta regra deve ser utilizada. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
  • Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
  • Somas de verificação de ficheiros. MD5 e SHA256.

Também pode selecionar um ficheiro manualmente e a aplicação irá preencher automaticamente os campos do ficheiro selecionado.

Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta C:\windows\system32, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta C:\windows\syswow64. Por exemplo, se selecionar C:\windows\system32\cmd.exe, o plug-in apresenta os parâmetros de C:\windows\syswow64\cmd.exe. Este comportamento é ditado por peculiaridades do sistema operativo.

Alterações de registo excluídas

Nome da regra.

Tipo de operação.

Caminho.

Nome do valor.

Valor.

Nome completo de um ficheiro de registo.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Process details e Parent process details.

  • Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comandos. Comando utilizado para executar o ficheiro.
  • Especifique os critérios de ativação da regra e os tipos de eventos para os quais esta regra deve ser utilizada. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
  • Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
  • Somas de verificação de ficheiros. MD5 e SHA256.

Também pode selecionar um ficheiro manualmente e a aplicação irá preencher automaticamente os campos do ficheiro selecionado.

Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta C:\windows\system32, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta C:\windows\syswow64. Por exemplo, se selecionar C:\windows\system32\cmd.exe, o plug-in apresenta os parâmetros de C:\windows\syswow64\cmd.exe. Este comportamento é ditado por peculiaridades do sistema operativo.

Nesta secção

Exemplo 1. Processos excluídos

Exemplo 2. Comunicações de rede excluídas

Exemplo 3. Operações de ficheiro excluídas

Exemplo 4. Modificações de registo excluídas
Topo da página