Wykluczenia telemetryczne

Aby poprawić wydajność i zoptymalizować transmisję danych do serwera telemetrii, możesz skonfigurować wykluczenia telemetryczne. Można na przykład zrezygnować z wysyłania danych komunikacyjnych sieci dla poszczególnych aplikacji.

Jak utworzyć wykluczenie telemetryczne w Konsoli administracyjnej (MMC)?

Jak utworzyć wykluczenie telemetryczne w Web Console i Cloud Console?

Parametry wykluczenia telemetrycznego

Parametr

Opis

Wykluczone procesy

Optymalizuj rozmiar wysyłania telemetrii. Kaspersky Endpoint Security umożliwia optymalizację ilości przesyłanych danych i wykluczanie zdarzeń z określonymi kodami z telemetrii: kod 102 (podstawowa komunikacja) i 8 (aktywność sieciowa procesu) dla protokołu Microsoft SMB, usługi WinRM i procesu klnagent.exe Agenta sieciowego, a także rozszerzone informacje o rodzajach pakietów sieciowych dla wszystkich typów protokołów sieciowych.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Szczegóły procesu i Szczegóły procesu nadrzędnego.

  • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
  • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
  • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
  • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
  • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
  • Plik sumy kontrolnej. MD5 i SHA256.

Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

Użyj dla następujących typów zdarzeń

  • Modyfikacja pliku.
  • Zdarzenia sieciowe.
  • Proces: Interaktywne wejście konsoli.
  • Moduł wczytany.
  • Zmodyfikowano rejestr.
  • Dzienniki DNS.
  • Dostęp do procesu.
  • Wstrzyknięcie kodu.
  • Zapytanie WMI.
  • Obiekt przetwarzający.
  • LDAP.
  • AMSI.

Wykluczona komunikacja sieciowa

Nazwa reguły.

Kierunek.

Protokół.

Gniazdo typu raw.

Numer protokołu.

Certyfikat TLS.

Port lokalny lub zakres.

Port zdalny lub zakres.

Adres lokalny. Adres sieciowy komputera, dla którego Kaspersky Endpoint Security wyklucza dane telemetryczne z ruchu sieciowego.

Adres zdalny. Adres sieciowy komputera, dla którego Kaspersky Endpoint Security wyklucza dane telemetryczne z ruchu sieciowego.

W przypadku adresów IP obsługiwany jest wyłącznie format IPv4.

Aplikacje. Lista plików wykonywalnych aplikacji, dla których Kaspersky Endpoint Security wyklucza telemetrię EDR z ruchu sieciowego.

Wykluczone operacje na plikach

Nazwa reguły.

Nazwa pliku lub maska. Nazwa lub maska ​​pliku lub folderu; Kaspersky Endpoint Security stosuje regułę wykluczenia podczas uzyskiwania dostępu do tego pliku lub folderu. Kaspersky Endpoint Security obsługuje znaki * i ? podczas wprowadzania maski.

Typ operacji.

Poprzednia ścieżka.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Szczegóły procesu i Szczegóły procesu nadrzędnego.

  • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
  • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
  • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
  • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
  • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
  • Plik sumy kontrolnej. MD5 i SHA256.

Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

Wykluczone operacje DNS

Nazwa reguły.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Szczegóły procesu i Szczegóły procesu nadrzędnego.

  • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
  • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
  • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
  • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
  • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
  • Plik sumy kontrolnej. MD5 i SHA256.

Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

DNS.

  • Adres IP serwera DNS.
  • Opcje zapytania.
  • Stan.
  • Nazwa domeny.
  • ID typu ustawień.
  • Dane odpowiedzi.

Wykluczone operacje LDAP

Nazwa reguły.

Zakres wyszukiwania LDAP.

Filtr.

Wyszukaj nazwę odróżniającą dla wyszukiwania działań LDAP.

Atrybuty obiektu.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Szczegóły procesu i Szczegóły procesu nadrzędnego.

  • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
  • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
  • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
  • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
  • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
  • Plik sumy kontrolnej. MD5 i SHA256.

Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

Wykluczone zapytania o dostęp do procesów

Nazwa reguły.

Typ operacji.

Żądanie dostępu do procesu.

Śledzenie stosu wywołań.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Szczegóły procesu, Szczegóły procesu nadrzędnego, Proces docelowy, Plik procesu źródłowego i Plik procesu docelowego.

  • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
  • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
  • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
  • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
  • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
  • Plik sumy kontrolnej. MD5 i SHA256.

Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

Wykluczone wprowadzenia kodu

Nazwa reguły.

Metoda dostępu.

Stos wywołań.

Zmodyfikowany wiersz poleceń.

Adres wprowadzenia.

Wprowadzona nazwa DLL.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Szczegóły procesu i Szczegóły procesu nadrzędnego.

  • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
  • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
  • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
  • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
  • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
  • Plik sumy kontrolnej. MD5 i SHA256.

Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

Wykluczone zapytania WMI

Nazwa reguły.

Typ operacji WMI.

Zdalne zapytanie.

Nazwa komputera, który wykonał polecenie WMI.

Konto użytkownika WMI.

Wykonane polecenie WMI.

Nazwa przestrzeni WMI.

Filtr konsumentów zdarzeń WMI.

Nazwa utworzonego konsumenta zdarzeń WMI.

Kod źródłowy konsumenta zdarzenia WMI.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Szczegóły procesu i Szczegóły procesu nadrzędnego.

  • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
  • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
  • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
  • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
  • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
  • Plik sumy kontrolnej. MD5 i SHA256.

Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

Wykluczone operacje przetwarzania danych

Nazwa reguły.

Nazwa obiektu przetwarzającego.

Typ operacji.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Szczegóły procesu i Szczegóły procesu nadrzędnego.

  • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
  • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
  • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
  • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
  • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
  • Plik sumy kontrolnej. MD5 i SHA256.

Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

Wykluczono zmiany w rejestrze

Nazwa reguły.

Typ operacji.

Ścieżka.

Nazwa wartości.

Wartość.

Pełna nazwa pliku rejestru.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Szczegóły procesu i Szczegóły procesu nadrzędnego.

  • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
  • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
  • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
  • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
  • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
  • Plik sumy kontrolnej. MD5 i SHA256.

Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

Przejdź do góry