استثناءات القياس عن بعد لحل EDR

لتحسين الأداء وتحسين إرسال البيانات إلى خادم القياس عن بُعد، يمكنك تكوين استثناءات القياس عن بعد لحل EDR.‏ على سبيل المثال، يمكنك اختيار عدم إرسال بيانات اتصالات الشبكة لتطبيقات فردية.

كيفية إنشاء استثناء للقياس عن بعد لحل EDR في وحدة تحكم الإدارة ‏(MMC)‏

كيفية إنشاء استثناء قياس عن بعد لحل EDR في Web Console وCloud Console‏

معلمات استثناء القياس عن بُعد لحل EDR

المعلمة

الوصف

العمليات المستثناة

تحسين حجم القياس عن بعد للإرسال.‏ يسمح Kaspersky Endpoint Security بتحسين كمية البيانات المرسلة واستثناء الأحداث التي تتضمن رموزًا معينة من التتبع عن بُعد: الرمز 102 (الاتصالات الأساسية) و8 (نشاط الشبكة للعملية) لبروتوكول Microsoft SMB وخدمة WinRM وعملية klnagent.exe لعميل الشبكة، بالإضافة إلى معلومات موسعة عن أنواع حزم شبكة الاتصال لجميع أنواع بروتوكولات الشبكة.

يجمع Kaspersky Endpoint Security بين معايير تشغيل القاعدة وAND المنطقية.

معايير تشغيل القاعدة

  • Process details.
    • المسار الكامل. المسار الكامل للملف بما في ذلك اسمه وامتداده. يدعم Kaspersky Endpoint Security متغيرات البيئة وحروف * و? عند إدخال قناع.
    • نص سطر الأوامر. الأمر المستخدم لتشغيل الملف.
    • حدد معايير تشغيل القاعدة وأنواع الأحداث التي تريد استخدام هذه القاعدة لها. قيمة المعلمة FileDescription من مورد RT_VERSION (VersionInfo).
    • اسم الملف الأصلي. قيمة المعلمة OriginalFilename من مورد RT_VERSION (VersionInfo).
    • الإصدار. قيمة معلمة FileVersion من مورد RT_VERSION (VersionInfo).
    • المجاميع الاختبارية للملف. MD5 وSHA256.‏

    يمكنك أيضًا تحديد ملف يدويًا، وسيقوم التطبيق تلقائيًا بملء الحقول من الملف المحدد.

  • Parent process details.
    • المسار الكامل. المسار إلى المجلد الموجود به الملف. يدعم Kaspersky Endpoint Security متغيرات البيئة وحروف * و? عند إدخال قناع.
    • نص سطر الأوامر. الأمر المستخدم لتشغيل الملف.
    • حدد معايير تشغيل القاعدة وأنواع الأحداث التي تريد استخدام هذه القاعدة لها. قيمة المعلمة FileDescription من مورد RT_VERSION (VersionInfo).
    • اسم الملف الأصلي. قيمة المعلمة OriginalFilename من مورد RT_VERSION (VersionInfo).
    • الإصدار. قيمة معلمة FileVersion من مورد RT_VERSION (VersionInfo).
    • المجاميع الاختبارية للملف. MD5 وSHA256.‏

    يمكنك أيضًا تحديد ملف يدويًا، وسيقوم التطبيق تلقائيًا بملء الحقول من الملف المحدد.

وفي أنظمة تشغيل 64 بت، يجب عليك إدخال معلمات إصدار 64 بت للملف القابل للتنفيذ يدويًا لعملية من المجلد ‎C:\windows\system32 لأن التطبيق يعبئ حقول معلمات الملف القابل للتنفيذ ببيانات من خصائص 32 بت من الملف القابل للتنفيذ نفسه في المجلد ‎C:\windows\syswow64. على سبيل المثال، إذا حددت ‎C:\windows\system32\cmd.exe، فسيعرض المكون الإضافي معلمات ‎C:\windows\syswow64\cmd.exe.‏ وينجم هذا السلوك من خلال خصوصيات نظام التشغيل.

الاستخدام لأنواع الأحداث التالية

  • تعديل الملف.
  • أحداث الشبكة.
  • العملية: الإدخال التفاعلي لوحدة التحكم.
  • تم تحميل الوحدة.
  • تم تعديل التسجيل.‏

اتصالات الشبكة المستثناة

اسم القاعدة.‏

الاتجاه.‏

البروتوكول.‏

رقم البروتوكول.‏

النطاق أو المنفذ المحلي.‏

النطاق أو المنفذ البعيد.‏

العنوان المحلي.‏ عنوان شبكة الكمبيوتر الذي يستثني Kaspersky Endpoint Security تتبعه من حركة بيانات الشبكة.

العنوان البعيد.‏ عنوان شبكة الكمبيوتر الذي يستثني Kaspersky Endpoint Security تتبعه من حركة بيانات الشبكة.

يتم دعم تنسيق IPv4 فقط لعناوين IP.‏

التطبيقات.‏ قائمة بالملفات القابلة للتنفيذ الخاصة بالتطبيقات التي يستثني Kaspersky Endpoint Security قياس EDR عن بُعد لها من حركة بيانات الشبكة.

عمليات الملفات المستثناة

اسم القاعدة.‏

اسم الملف أو القناع.‏ اسم أو قناع ملف أو مجلد؛ ويُطبق Kaspersky Endpoint Security قاعدة الاستثناء عند الوصول إلى هذا الملف أو المجلد. يدعم Kaspersky Endpoint Security حرفي * و? عند إدخال قناع.

يجمع Kaspersky Endpoint Security بين معايير تشغيل القاعدة وAND المنطقية.

معايير تشغيل القاعدة

  • Process details.
    • المسار الكامل. المسار الكامل للملف بما في ذلك اسمه وامتداده. يدعم Kaspersky Endpoint Security متغيرات البيئة وحروف * و? عند إدخال قناع.
    • نص سطر الأوامر. الأمر المستخدم لتشغيل الملف.
    • حدد معايير تشغيل القاعدة وأنواع الأحداث التي تريد استخدام هذه القاعدة لها. قيمة المعلمة FileDescription من مورد RT_VERSION (VersionInfo).
    • اسم الملف الأصلي. قيمة المعلمة OriginalFilename من مورد RT_VERSION (VersionInfo).
    • الإصدار. قيمة معلمة FileVersion من مورد RT_VERSION (VersionInfo).
    • المجاميع الاختبارية للملف. MD5 وSHA256.‏

    يمكنك أيضًا تحديد ملف يدويًا، وسيقوم التطبيق تلقائيًا بملء الحقول من الملف المحدد.

  • Parent process details.
    • المسار الكامل. المسار إلى المجلد الموجود به الملف. يدعم Kaspersky Endpoint Security متغيرات البيئة وحروف * و? عند إدخال قناع.
    • نص سطر الأوامر. الأمر المستخدم لتشغيل الملف.
    • حدد معايير تشغيل القاعدة وأنواع الأحداث التي تريد استخدام هذه القاعدة لها. قيمة المعلمة FileDescription من مورد RT_VERSION (VersionInfo).
    • اسم الملف الأصلي. قيمة المعلمة OriginalFilename من مورد RT_VERSION (VersionInfo).
    • الإصدار. قيمة معلمة FileVersion من مورد RT_VERSION (VersionInfo).
    • المجاميع الاختبارية للملف. MD5 وSHA256.‏

    يمكنك أيضًا تحديد ملف يدويًا، وسيقوم التطبيق تلقائيًا بملء الحقول من الملف المحدد.

وفي أنظمة تشغيل 64 بت، يجب عليك إدخال معلمات إصدار 64 بت للملف القابل للتنفيذ يدويًا لعملية من المجلد ‎C:\windows\system32 لأن التطبيق يعبئ حقول معلمات الملف القابل للتنفيذ ببيانات من خصائص 32 بت من الملف القابل للتنفيذ نفسه في المجلد ‎C:\windows\syswow64. على سبيل المثال، إذا حددت ‎C:\windows\system32\cmd.exe، فسيعرض المكون الإضافي معلمات ‎C:\windows\syswow64\cmd.exe.‏ وينجم هذا السلوك من خلال خصوصيات نظام التشغيل.

أعلى الصفحة