EDR 遥测排除项

要提高性能并优化到遥测服务器的数据传输,您可以配置 EDR 遥测排除项。例如,您可以选择不发送单个应用程序的网络通信数据。

如何在管理控制台 (MMC) 中创建 EDR 遥测排除项

如何在 Web Console 和云控制台中创建 EDR 遥测排除项

EDR 遥测排除项参数

参数

描述

排除的进程

优化要发送的遥测大小”。Kaspersky Endpoint Security 允许优化传输的数据量并从遥测中排除具有某些代码的事件:Microsoft SMB 协议、WinRM 服务和网络代理 klnagent.exe 进程的代码 102(基本通信)和 8(进程的网络活动),以及有关所有类型网络协议的网络数据包类型的扩展信息。

Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。

规则触发标准

  • 完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。
  • 命令行文本”。用于运行文件的命令。
  • 父路径”。文件所在文件夹的路径。
  • 描述”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
  • 原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
  • 版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
  • 文件校验和”。MD5 和 SHA256。
  • 根据以下 文件属性填写。应用程序会自动使用所选文件中的信息填充字段。

在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。

用于以下事件类型

  • 文件修改”。
  • 网络事件”。
  • 进程: 控制台交互式输入”。
  • 模块已加载”。
  • 注册表已修改”。

排除的网络通信

规则名称”。

方向”。

协议”。

协议号”。

本地端口或范围”。

远程端口或范围”。

本地地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。

远程地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。

IP 地址仅支持 IPv4 格式。

应用程序”。Kaspersky Endpoint Security 从网络流量中排除 EDR 遥测的应用程序的可执行文件列表。

排除的文件操作

规则名称”。

文件名或掩码”。文件或文件夹的名称或掩码;当访问此文件或文件夹时,Kaspersky Endpoint Security 将应用排除规则。输入掩码时,Kaspersky Endpoint Security 支持 * 字符和 ? 字符。

Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。

规则触发标准

  • 完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。
  • 命令行文本”。用于运行文件的命令。
  • 父路径”。文件所在文件夹的路径。
  • 描述”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
  • 原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
  • 版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
  • 文件校验和”。MD5 和 SHA256。
  • 根据以下 文件属性填写。应用程序会自动使用所选文件中的信息填充字段。

在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。

页面顶部