검사 예외 및 신뢰하는 애플리케이션 블록에서 EDR 원격 측정 예외 규칙 링크를 누릅니다.
창이 열리면 해당 창에서 EDR 원격 측정 예외 규칙을 구성합니다(아래 표 참조).
변경 사항을 저장합니다.
EDR 원격 측정 예외 규칙 파라미터
파라미터
설명
제외된 프로세스
전송할 원격 측정 크기 최적화. Kaspersky Endpoint Security를 사용하면 전송된 데이터의 양을 최적화하고 원격 측정에서 특정 코드(Microsoft SMB 프로토콜, WinRM 서비스, 네트워크 에이전트의 klnagent.exe 프로세스, 모든 유형의 네트워크 프로토콜의 네트워크 패킷 유형에 대한 확장 정보에 대한 코드 102(기본 통신) 및 8(프로세스의 네트워크 활동))가 있는 이벤트를 제외할 수 있습니다.
Kaspersky Endpoint Security는 규칙 트리거 기준을 논리곱(logical AND)과 결합합니다.
규칙 트리거 기준
프로세스 상세 정보.
전체 경로. 이름과 확장자를 포함한 파일의 전체 경로입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 * 및 ? 문자를 지원합니다.
명령줄 텍스트. 파일을 실행하는 데 사용되는 명령입니다.
규칙 트리거 기준과 이 규칙을 사용할 이벤트 유형을 지정합니다. RT_VERSION(VersionInfo) 리소스의 FileDescription 매개변수 값입니다.
원본 파일 이름. RT_VERSION(VersionInfo) 리소스의 OriginalFilename 매개변수 값입니다.
파일을 직접 선택할 수도 있으며, 그러면 애플리케이션이 선택한 파일의 필드를 자동으로 채웁니다.
64비트 운영 체제에서는 애플리케이션이 실행 파일 파라미터 필드를 C:\windows\syswow64 폴더에 있는 동일한 실행 파일의 32비트 버전 속성의 데이터로 채우기 때문에 C:\windows\system32 폴더에서 프로세스 실행 파일의 64비트 버전 파라미터를 수동으로 입력해야 합니다. 예를 들어 C:\windows\system32\cmd.exe를 선택하면 플러그인이 C:\windows\syswow64\cmd.exe의 파라미터를 표시합니다. 이러한 동작은 운영 체제의 특성에 따라 달라집니다.
다음 이벤트 유형에 사용:
파일 수정.
네트워크 이벤트.
프로세스: 콘솔 대화형 입력.
모듈 로드됨.
레지스트리 수정됨.
제외된 네트워크 통신
규칙 이름.
방향.
프로토콜.
프로토콜 번호.
로컬 포트 또는 범위.
원격 포트 또는 범위.
로컬 주소. Kaspersky Endpoint Security가 네트워크 트래픽에서 원격 측정을 제외하는 컴퓨터의 네트워크 주소입니다.
원격 주소. Kaspersky Endpoint Security가 네트워크 트래픽에서 원격 측정을 제외하는 컴퓨터의 네트워크 주소입니다.
IP 주소에 대해 IPv4 형식만 지원합니다.
애플리케이션. Kaspersky Endpoint Security가 네트워크 트래픽에서 EDR 원격 측정을 제외하는 애플리케이션의 실행 파일 목록입니다.
제외된 파일 작업
규칙 이름.
파일 이름 또는 마스크. 파일 또는 폴더의 이름이나 마스크; Kaspersky Endpoint Security는 이 파일 또는 폴더에 접근할 때 예외 규칙을 적용합니다. Kaspersky Endpoint Security는 마스크를 입력할 때 * 및 ? 문자를 지원합니다.
Kaspersky Endpoint Security는 규칙 트리거 기준을 논리곱(logical AND)과 결합합니다.
규칙 트리거 기준
프로세스 상세 정보.
전체 경로. 이름과 확장자를 포함한 파일의 전체 경로입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 * 및 ? 문자를 지원합니다.
명령줄 텍스트. 파일을 실행하는 데 사용되는 명령입니다.
규칙 트리거 기준과 이 규칙을 사용할 이벤트 유형을 지정합니다. RT_VERSION(VersionInfo) 리소스의 FileDescription 매개변수 값입니다.
원본 파일 이름. RT_VERSION(VersionInfo) 리소스의 OriginalFilename 매개변수 값입니다.
파일을 직접 선택할 수도 있으며, 그러면 애플리케이션이 선택한 파일의 필드를 자동으로 채웁니다.
64비트 운영 체제에서는 애플리케이션이 실행 파일 파라미터 필드를 C:\windows\syswow64 폴더에 있는 동일한 실행 파일의 32비트 버전 속성의 데이터로 채우기 때문에 C:\windows\system32 폴더에서 프로세스 실행 파일의 64비트 버전 파라미터를 수동으로 입력해야 합니다. 예를 들어 C:\windows\system32\cmd.exe를 선택하면 플러그인이 C:\windows\syswow64\cmd.exe의 파라미터를 표시합니다. 이러한 동작은 운영 체제의 특성에 따라 달라집니다.