EDR-Telemetrie-Ausnahmen

Um die Leistung zu verbessern und die Datenübertragung an den Telemetrieserver zu optimieren, können Sie EDR-Telemetrie-Ausnahmen konfigurieren. Sie können beispielsweise festlegen, dass für einzelne Anwendungen keine Netzwerkkommunikationsdaten gesendet werden.

So erstellen Sie in der Verwaltungskonsole (MMC) eine EDR-Telemetrie-Ausnahme

So erstellen Sie in der Web Console und Cloud Console eine EDR-Telemetrie-Ausnahme

Parameter für EDR-Telemetrie-Ausnahmen

Einstellung

Beschreibung

Ausgeschlossene Prozesse

Telemetriegröße zum Senden optimieren. Kaspersky Endpoint Security ermöglicht es, die Menge der übertragenen Daten zu optimieren und Ereignisse mit bestimmten Codes aus der Telemetrie auszuschließen: Code 102 (einfache Kommunikation) und 8 (Netzwerkaktivität des Prozesses) für das Microsoft SMB-Protokoll, den WinRM-Dienst und den Prozess klnagent.exe des Administrationsagenten sowie erweiterte Informationen über die Typen von Netzwerkpaketen für alle Typen von Netzwerkprotokollen.

Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.

Kriterien für die Regelauslösung

  • Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.
  • Befehlszeilentext. Befehl zum Ausführen der Datei.
  • Übergeordneter Pfad. Pfad des Ordners, in dem sich die Datei befindet.
  • Beschreibung. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
  • Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
  • Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
  • Dateiprüfsummen. MD5 und SHA256.
  • Ausfüllen auf Basis von Dateieigenschaften. Die App füllt die Felder automatisch mit Informationen aus der ausgewählten Datei aus.

In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.

Für die folgenden Ereignistypen verwenden

  • Dateiänderung.
  • Netzwerk-Ereignisse.
  • Prozess: interaktive Konsoleneingabe.
  • Modul geladen.
  • Registrierung geändert.

Ausgeschlossene Netzwerkkommunikationen

Regelname.

Richtung.

Protokoll.

Protokollnummer.

Lokaler Port oder Bereich.

Remote-Port oder -Bereich.

Lokale Adresse. Die Netzwerkadresse des Computers, für den Kaspersky Endpoint Security Telemetriedaten aus dem Netzwerkverkehr ausschließt.

Remote-Adresse. Die Netzwerkadresse des Computers, für den Kaspersky Endpoint Security Telemetriedaten aus dem Netzwerkverkehr ausschließt.

Für IP-Adressen wird nur das IPv4-Format unterstützt.

Programme. Liste der ausführbaren Dateien von Anwendungen, für die Kaspersky Endpoint Security die EDR-Telemetrie aus dem Netzwerkverkehr ausschließt.

Ausgeschlossene Vorgänge mit Dateien

Regelname.

Dateiname oder Maske. Name oder Maske einer Datei bzw. eines Ordners; Kaspersky Endpoint Security wendet die Ausnahmeregel an, wenn auf diese Datei oder diesen Ordner zugegriffen wird. Bei der Eingabe einer Maske unterstützt Kaspersky Endpoint Security die Zeichen * und ?.

Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.

Kriterien für die Regelauslösung

  • Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.
  • Befehlszeilentext. Befehl zum Ausführen der Datei.
  • Übergeordneter Pfad. Pfad des Ordners, in dem sich die Datei befindet.
  • Beschreibung. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
  • Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
  • Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
  • Dateiprüfsummen. MD5 und SHA256.
  • Ausfüllen auf Basis von Dateieigenschaften. Die App füllt die Felder automatisch mit Informationen aus der ausgewählten Datei aus.

In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.

Nach oben