Exclusiones de telemetría de EDR

Para mejorar el rendimiento y optimizar la transmisión de datos al servidor de telemetría, puede configurar las exclusiones de telemetría de EDR. Por ejemplo, puede elegir no enviar datos de comunicaciones de red de aplicaciones individuales.

Cómo crear una exclusión de telemetría de EDR en la Consola de administración (MMC)

Cómo crear una exclusión de telemetría de EDR en Web Console y Cloud Console

Parámetros de exclusión de telemetría de EDR

Parámetro

Descripción

Procesos excluidos

Optimizar el tamaño de la telemetría para envío. Kaspersky Endpoint Security permite optimizar la cantidad de datos transmitidos y excluir eventos con determinados códigos de la telemetría: código 102 (comunicaciones básicas) y 8 (actividad de red del proceso) para el protocolo Microsoft SMB, el servicio WinRM y el proceso klnagent.exe del Agente de red, así como información ampliada sobre los tipos de paquetes de red para todo tipo de protocolos de red.

Kaspersky Endpoint Security combina criterios de activación de reglas con un operador lógico AND.

Criterios de activación de reglas

  • Detalles del proceso.
    • Ruta completa. Ruta completa al archivo, incluidos el nombre y la extensión. Kaspersky Endpoint Security admite variables de entorno y los caracteres * y ? al introducir una máscara.
    • Texto de la línea de comandos. Comando utilizado para ejecutar el archivo.
    • Especifique criterios de activación de reglas y los tipos de evento para los que usar esta regla. Valor del parámetro FileDescription de un recurso RT_VERSION (VersionInfo).
    • Nombre de archivo original. Valor del parámetro OriginalFilename de un recurso RT_VERSION (VersionInfo).
    • Versión. Valor del parámetro FileVersion de un recurso RT_VERSION (VersionInfo).
    • Sumas de comprobación. MD5 y SHA256.

    También puede seleccionar un archivo manualmente y la aplicación completará automáticamente los campos del archivo seleccionado.

  • Detalles del proceso principal.
    • Ruta completa. Ruta a la carpeta en la que se encuentra el archivo. Kaspersky Endpoint Security admite variables de entorno y los caracteres * y ? al introducir una máscara.
    • Texto de la línea de comandos. Comando utilizado para ejecutar el archivo.
    • Especifique criterios de activación de reglas y los tipos de evento para los que usar esta regla. Valor del parámetro FileDescription de un recurso RT_VERSION (VersionInfo).
    • Nombre de archivo original. Valor del parámetro OriginalFilename de un recurso RT_VERSION (VersionInfo).
    • Versión. Valor del parámetro FileVersion de un recurso RT_VERSION (VersionInfo).
    • Sumas de comprobación. MD5 y SHA256.

    También puede seleccionar un archivo manualmente y la aplicación completará automáticamente los campos del archivo seleccionado.

En los sistemas operativos de 64 bits, debe ingresar manualmente los parámetros de la versión de 64 bits del archivo ejecutable de un proceso desde la carpeta C:\windows\system32 porque la aplicación completa los campos de parámetros del archivo ejecutable con datos de las propiedades de la versión de 32 bits del mismo archivo ejecutable en la carpeta C:\windows\syswow64. Por ejemplo, si selecciona C:\windows\system32\cmd.exe, el complemento muestra los parámetros de C:\windows\syswow64\cmd.exe. Tal comportamiento está dictado por peculiaridades del sistema operativo.

Usar para los siguientes tipos de evento

  • Modificación del archivo.
  • Eventos de red.
  • Proceso: entrada interactiva en la consola.
  • Módulo cargado.
  • Registro modificado.

Comunicaciones de redes excluidas

Nombre de la regla.

Dirección.

Protocolo.

Número de protocolo.

Puerto o rango local.

Puerto remoto o rango.

Dirección local. La dirección de red del equipo para el que Kaspersky Endpoint Security excluye la telemetría del tráfico de red.

Dirección remota. La dirección de red del equipo para el que Kaspersky Endpoint Security excluye la telemetría del tráfico de red.

Solo el formato IPv4 es compatible con las direcciones IP.

Aplicaciones. Lista de archivos ejecutables de aplicaciones para las que Kaspersky Endpoint Security excluye la telemetría EDR del tráfico de red.

Operaciones con archivos excluidas

Nombre de la regla.

Nombre o máscara de archivo. Nombre o máscara de un archivo o carpeta; Kaspersky Endpoint Security aplica la regla de exclusión cuando se accede a este archivo o carpeta. Kaspersky Endpoint Security admite los caracteres * y ? al introducir una máscara.

Kaspersky Endpoint Security combina criterios de activación de reglas con un operador lógico AND.

Criterios de activación de reglas

  • Detalles del proceso.
    • Ruta completa. Ruta completa al archivo, incluidos el nombre y la extensión. Kaspersky Endpoint Security admite variables de entorno y los caracteres * y ? al introducir una máscara.
    • Texto de la línea de comandos. Comando utilizado para ejecutar el archivo.
    • Especifique criterios de activación de reglas y los tipos de evento para los que usar esta regla. Valor del parámetro FileDescription de un recurso RT_VERSION (VersionInfo).
    • Nombre de archivo original. Valor del parámetro OriginalFilename de un recurso RT_VERSION (VersionInfo).
    • Versión. Valor del parámetro FileVersion de un recurso RT_VERSION (VersionInfo).
    • Sumas de comprobación. MD5 y SHA256.

    También puede seleccionar un archivo manualmente y la aplicación completará automáticamente los campos del archivo seleccionado.

  • Detalles del proceso principal.
    • Ruta completa. Ruta a la carpeta en la que se encuentra el archivo. Kaspersky Endpoint Security admite variables de entorno y los caracteres * y ? al introducir una máscara.
    • Texto de la línea de comandos. Comando utilizado para ejecutar el archivo.
    • Especifique criterios de activación de reglas y los tipos de evento para los que usar esta regla. Valor del parámetro FileDescription de un recurso RT_VERSION (VersionInfo).
    • Nombre de archivo original. Valor del parámetro OriginalFilename de un recurso RT_VERSION (VersionInfo).
    • Versión. Valor del parámetro FileVersion de un recurso RT_VERSION (VersionInfo).
    • Sumas de comprobación. MD5 y SHA256.

    También puede seleccionar un archivo manualmente y la aplicación completará automáticamente los campos del archivo seleccionado.

En los sistemas operativos de 64 bits, debe ingresar manualmente los parámetros de la versión de 64 bits del archivo ejecutable de un proceso desde la carpeta C:\windows\system32 porque la aplicación completa los campos de parámetros del archivo ejecutable con datos de las propiedades de la versión de 32 bits del mismo archivo ejecutable en la carpeta C:\windows\syswow64. Por ejemplo, si selecciona C:\windows\system32\cmd.exe, el complemento muestra los parámetros de C:\windows\syswow64\cmd.exe. Tal comportamiento está dictado por peculiaridades del sistema operativo.

Inicio de página