Exclusions de télémétrie EDR

Pour améliorer les performances et optimiser la transmission des données vers le serveur de télémétrie, vous pouvez configurer des exclusions de télémétrie EDR. Par exemple, vous pouvez choisir de ne pas envoyer les données de communication réseau pour certaines applications.

Comment créer une exclusion de télémétrie EDR dans la Console d'administration (MMC)

Comment créer une exclusion de télémétrie EDR dans Web Console et Cloud Console

Paramètres d'exclusion de télémétrie EDR

Paramètre

Description

Processus exclus

Optimiser la taille de la télémétrie à envoyer. Kaspersky Endpoint Security permet d'optimiser le volume de données transmises et d'exclure de la télémétrie les événements présentant certains codes : code 102 (communications de base) et 8 (activité réseau du processus) pour le protocole Microsoft SMB, le service WinRM et le processus klnagent.exe de l'Agent d'administration et des informations détaillées sur les types de paquets réseau pour tous les types de protocoles réseau.

Kaspersky Endpoint Security associe les critères de déclenchement de la règle à un ET logique.

Critères de déclenchement de la règle

  • Détails du processus.
    • Chemin complet. Chemin d'accès complet au fichier, y compris son nom et son extension. Kaspersky Endpoint Security prend en charge les variables d'environnement ainsi que les caractères * et ? lors de la saisie d'un masque.
    • Texte de la ligne de commande. Commande utilisée pour exécuter le fichier.
    • Précisez les critères de déclenchement de la règle et les types d'événements pour lesquels cette règle doit être utilisée. Valeur du paramètre FileDescription d'une ressource RT_VERSION (VersionInfo).
    • Nom d'origine du fichier. Valeur du paramètre OriginalFilename d'une ressource RT_VERSION (VersionInfo).
    • Version. Valeur du paramètre FileVersion d'une ressource RT_VERSION (VersionInfo).
    • Sommes de contrôle des fichiers. MD5 et SHA256.

    Vous pouvez aussi sélectionner un fichier manuellement, et l'application remplira automatiquement les champs à partir du fichier sélectionné.

  • Détails du processus parent.
    • Chemin complet. Chemin d'accès au dossier dans lequel se trouve le fichier. Kaspersky Endpoint Security prend en charge les variables d'environnement ainsi que les caractères * et ? lors de la saisie d'un masque.
    • Texte de la ligne de commande. Commande utilisée pour exécuter le fichier.
    • Précisez les critères de déclenchement de la règle et les types d'événements pour lesquels cette règle doit être utilisée. Valeur du paramètre FileDescription d'une ressource RT_VERSION (VersionInfo).
    • Nom d'origine du fichier. Valeur du paramètre OriginalFilename d'une ressource RT_VERSION (VersionInfo).
    • Version. Valeur du paramètre FileVersion d'une ressource RT_VERSION (VersionInfo).
    • Sommes de contrôle des fichiers. MD5 et SHA256.

    Vous pouvez aussi sélectionner un fichier manuellement, et l'application remplira automatiquement les champs à partir du fichier sélectionné.

Sous les systèmes d'exploitation 64 bits, vous devez saisir manuellement les paramètres de la version 64 bits du fichier exécutable du processus à partir du dossier C:\windows\system32, car l'application remplit les champs des paramètres du fichier exécutable avec les données des propriétés du fichier exécutable de la version 32 bits du même fichier exécutable dans le dossier C:\windows\syswow64. Par exemple, si vous sélectionnez C:\windows\system32\cmd.exe, le plug-in affiche les paramètres de C:\windows\syswow64\cmd.exe. Un tel comportement est dicté par les particularités du système d'exploitation.

Utiliser pour les types d'événements suivants

  • Modification du fichier.
  • Événements du réseau.
  • Processus : entrée interactive de la console.
  • Module chargé.
  • Registre modifié.

Communications des réseaux exclus

Nom de la règle.

Direction.

Protocole.

Numéro de protocole.

Port local ou plage.

Port distant ou plage.

Adresse locale. L'adresse réseau de l'ordinateur pour lequel Kaspersky Endpoint Security exclut la télémétrie du trafic réseau.

Adresse distante. L'adresse réseau de l'ordinateur pour lequel Kaspersky Endpoint Security exclut la télémétrie du trafic réseau.

Seul le format IPv4 est pris en charge pour les adresses IP.

Applications. Liste des fichiers exécutables des applications pour lesquelles Kaspersky Endpoint Security exclut la télémétrie EDR du trafic réseau.

Opérations sur les fichiers exclus

Nom de la règle.

Nom du fichier ou masque. Nom ou masque du fichier ou du dossier. Kaspersky Endpoint Security applique la règle d'exclusion lors de l'accès à ce fichier ou à ce dossier. Kaspersky Endpoint Security prend en charge les caractères * et ? lors de la saisie d'un masque.

Kaspersky Endpoint Security associe les critères de déclenchement de la règle à un ET logique.

Critères de déclenchement de la règle

  • Détails du processus.
    • Chemin complet. Chemin d'accès complet au fichier, y compris son nom et son extension. Kaspersky Endpoint Security prend en charge les variables d'environnement ainsi que les caractères * et ? lors de la saisie d'un masque.
    • Texte de la ligne de commande. Commande utilisée pour exécuter le fichier.
    • Précisez les critères de déclenchement de la règle et les types d'événements pour lesquels cette règle doit être utilisée. Valeur du paramètre FileDescription d'une ressource RT_VERSION (VersionInfo).
    • Nom d'origine du fichier. Valeur du paramètre OriginalFilename d'une ressource RT_VERSION (VersionInfo).
    • Version. Valeur du paramètre FileVersion d'une ressource RT_VERSION (VersionInfo).
    • Sommes de contrôle des fichiers. MD5 et SHA256.

    Vous pouvez aussi sélectionner un fichier manuellement, et l'application remplira automatiquement les champs à partir du fichier sélectionné.

  • Détails du processus parent.
    • Chemin complet. Chemin d'accès au dossier dans lequel se trouve le fichier. Kaspersky Endpoint Security prend en charge les variables d'environnement ainsi que les caractères * et ? lors de la saisie d'un masque.
    • Texte de la ligne de commande. Commande utilisée pour exécuter le fichier.
    • Précisez les critères de déclenchement de la règle et les types d'événements pour lesquels cette règle doit être utilisée. Valeur du paramètre FileDescription d'une ressource RT_VERSION (VersionInfo).
    • Nom d'origine du fichier. Valeur du paramètre OriginalFilename d'une ressource RT_VERSION (VersionInfo).
    • Version. Valeur du paramètre FileVersion d'une ressource RT_VERSION (VersionInfo).
    • Sommes de contrôle des fichiers. MD5 et SHA256.

    Vous pouvez aussi sélectionner un fichier manuellement, et l'application remplira automatiquement les champs à partir du fichier sélectionné.

Sous les systèmes d'exploitation 64 bits, vous devez saisir manuellement les paramètres de la version 64 bits du fichier exécutable du processus à partir du dossier C:\windows\system32, car l'application remplit les champs des paramètres du fichier exécutable avec les données des propriétés du fichier exécutable de la version 32 bits du même fichier exécutable dans le dossier C:\windows\syswow64. Par exemple, si vous sélectionnez C:\windows\system32\cmd.exe, le plug-in affiche les paramètres de C:\windows\syswow64\cmd.exe. Un tel comportement est dicté par les particularités du système d'exploitation.

Haut de page