遙測排除項目
為了提高效能並最佳化到遙測伺服器的資料傳輸,您可以配置遙測排除項目。例如,您可以選擇不傳送單個應用程式的網路通訊資料。
如何在管理主控台 (MMC) 中建立遙測資料排除項目
- 開啟卡巴斯基安全管理中心管理主控台。
- 在主控台樹狀目錄中,選擇“政策”。
- 選擇必要的政策並點擊以開啟政策內容。
- 在政策視窗中,選擇“一般設定 → 排除項目和物件類型”。
- 在”掃描排除項目和受信任應用程式 → EDR 遙測”塊中,點擊”設定”按鈕。
- 在開啟的視窗中,設定遙測排除項目(請參閱下表)。
- 儲存變更。
如何在網頁主控台和 Cloud Console 中建立遙測排除項目
- 在網頁主控台的主視窗中,選擇裝置 → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”一般設定”→”排除項目和偵測到的物件類型”。
- 在”掃描排除項目和受信任應用程式”塊中,點擊”EDR 遙測排除項目”連接。
- 在開啟的視窗中,設定遙測排除項目(請參閱下表)。
- 儲存變更。
遙測排除項目參數
參數
|
描述
|
被排除的處理程序
|
最佳化要傳送的遙測資料大小Kaspersky Endpoint Security 允許最佳化被傳輸的資料量並從遙測中排除具有某些代碼的事件:Microsoft SMB 協定、WinRM 服務和網路代理的 klnagent.exe 處理程序的代碼 102(基本通訊)和 8(處理程序的網路活動),以及有關所有類型網路協定的網路套件類型的延伸資訊。
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
處理程序詳情 和 父級處理程序詳情。
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 命令行文字用於執行檔案的命令。
- 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
用於以下事件類型
- 檔案修改
- 網路事件
- 處理程序:主控台互動輸入
- 模組已載入
- 登錄檔已修改
- DNS 記錄
- 處理程序存取
- 程式碼注入
- WMI 查詢
- 管道
- LDAP
- AMSI
|
被排除的網路通信
|
規則名稱
方向
協定
原始套接字
協定編號
TLS 憑證
本機連接埠或範圍
遠端連接埠或範圍
本機位址Kaspersky Endpoint Security 為其從網路流量中排除遙測的電腦的網路位址。
遠端位址Kaspersky Endpoint Security 為其從網路流量中排除遙測的電腦的網路位址。
IP 位址僅支援 IPv4 格式。
應用程式Kaspersky Endpoint Security 為其從網路流量中排除 EDR 遙測的應用程式的可执行檔清單。
|
被排除的檔案作業
|
規則名稱
檔案名稱或遮罩檔案或資料夾的名稱或遮罩;當此檔案或資料夾被存取時,Kaspersky Endpoint Security 将套用排除規則。Kaspersky Endpoint Security 輸入遮罩時支援* 和 ?字元。
作業類型
先前的路徑
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
處理程序詳情 和 父級處理程序詳情。
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 命令行文字用於執行檔案的命令。
- 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
|
被排除的 DNS 作業
|
規則名稱
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
處理程序詳情 和 父級處理程序詳情。
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 命令行文字用於執行檔案的命令。
- 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
DNS
- DNS 伺服器 IP 位址
- 查詢選項
- 狀態
- 網域名稱
- 設定類型 ID
- 回應資料
|
被排除的 LDAP 作業
|
規則名稱
LDAP 搜尋範圍
篩選器
搜尋 LDAP 作業搜尋的可分辨名稱
物件屬性
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
處理程序詳情 和 父級處理程序詳情。
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 命令行文字用於執行檔案的命令。
- 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
|
被排除的處理程序存取查詢
|
規則名稱
作業類型
對處理程序的請求存取
呼叫堆疊偵錯
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
處理程序詳情, 父級處理程序詳情, 目標處理程序, 來源處理程序檔案 和 目標處理程序檔案。
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 命令行文字用於執行檔案的命令。
- 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
|
被排除的代碼注入
|
規則名稱
存取方法
呼叫堆疊
已修改的指令行
注入位址
注入的 DLL 名稱
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
處理程序詳情 和 父級處理程序詳情。
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 命令行文字用於執行檔案的命令。
- 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
|
被排除的 WMI 查詢
|
規則名稱
WMI 作業類型
遠端查詢
執行 WMI 指令的電腦的名稱
WMI 使用者帳戶
執行的 WMI 指令
WMI 命名空間
WMI 事件消費者篩選器
已建立的 WMI 事件消費者的名稱
WMI 事件消費者的源代碼
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
處理程序詳情 和 父級處理程序詳情。
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 命令行文字用於執行檔案的命令。
- 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
|
被排除的管道作業
|
規則名稱
管道名稱
作業類型
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
處理程序詳情 和 父級處理程序詳情。
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 命令行文字用於執行檔案的命令。
- 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
|
被排除的登錄檔變更
|
規則名稱
作業類型
路徑
值名稱
機碼值
登錄檔檔案全稱
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
處理程序詳情 和 父級處理程序詳情。
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 命令行文字用於執行檔案的命令。
- 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
|
頁面頂部