Các tiến trình được loại trừ

Tối ưu hóa dung lượng đo từ xa để gửi. Kaspersky Endpoint Security cho phép tối ưu hóa lượng dữ liệu được truyền và loại trừ các sự kiện bằng một số mã nhất định khỏi dữ liệu đo lường từ xa: mã 102 (giao tiếp cơ bản) và 8 (hoạt động mạng của tiến trình) cho giao thức Microsoft SMB, dịch vụ WinRM và tiến trình klnagent.exe của Network Agent, cũng như thông tin mở rộng về các loại gói tin mạng cho tất cả các loại giao thức mạng.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Process details và Parent process details:

• Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
• Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
• Chỉ định tiêu chí kích hoạt quy tắc và loại sự kiện để sử dụng quy tắc này. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
• Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
• Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
• Giá trị tổng kiểm của tập tin. MD5 và SHA256.

Bạn cũng có thể chọn tập tin theo cách thủ công và ứng dụng sẽ tự động điền vào các trường từ tập tin đã chọn.

Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục C:\windows\system32 vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục C:\windows\syswow64. Ví dụ: nếu bạn chọn C:\windows\system32\cmd.exe, tiện ích sẽ hiển thị các tham số của C:\windows\syswow64\cmd.exe. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.

Sử dụng cho các loại sự kiện sau:

• Sửa đổi tập tin.
• Sự kiện mạng.
• Tiến trình: đầu vào tương tác của bảng điều khiển.
• Đã tải mô-đun.
• Đã sửa đổi registry.
• Nhật ký DNS.
• Truy cập tiến trình.
• Chèn mã.
• Truy vấn WMI.
• Đường ống.
• LDAP.
• AMSI.

Các giao tiếp mạng được loại trừ

Tên quy tắc.

Hướng.

Giao thức.

Socket thô.

Số hiệu giao thức.

Chứng chỉ TLS.

Cổng hoặc dải cổng cục bộ.

Cổng hoặc dải cổng từ xa.

Địa chỉ nội bộ. Địa chỉ mạng của máy tính mà Kaspersky Endpoint Security đang loại trừ đo lường từ xa khỏi lưu lượng mạng.

Địa chỉ từ xa. Địa chỉ mạng của máy tính mà Kaspersky Endpoint Security đang loại trừ đo lường từ xa khỏi lưu lượng mạng.

Chỉ hỗ trợ định dạng IPv4 cho địa chỉ IP.

Ứng dụng. Danh sách các tập tin thực thi của ứng dụng mà Kaspersky Endpoint Security đang loại trừ đo lường từ xa EDR khỏi lưu lượng mạng.

Thao tác với tập tin được loại trừ

Tên quy tắc.

Tên tập tin hoặc tên đại diện. Tên hoặc tên đại diện của tập tin hoặc thư mục; Kaspersky Endpoint Security sẽ áp dụng quy tắc loại trừ khi tập tin hoặc thư mục này được truy cập. Kaspersky Endpoint Security hỗ trợ các ký tự * và ? khi nhập tên đại diện.

Loại hoạt động.

Đường dẫn trước đó.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Process details và Parent process details:

• Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
• Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
• Chỉ định tiêu chí kích hoạt quy tắc và loại sự kiện để sử dụng quy tắc này. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
• Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
• Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
• Giá trị tổng kiểm của tập tin. MD5 và SHA256.

Bạn cũng có thể chọn tập tin theo cách thủ công và ứng dụng sẽ tự động điền vào các trường từ tập tin đã chọn.

Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục C:\windows\system32 vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục C:\windows\syswow64. Ví dụ: nếu bạn chọn C:\windows\system32\cmd.exe, tiện ích sẽ hiển thị các tham số của C:\windows\syswow64\cmd.exe. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.

Hoạt động DNS bị loại trừ

Tên quy tắc.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Process details và Parent process details:

• Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
• Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
• Chỉ định tiêu chí kích hoạt quy tắc và loại sự kiện để sử dụng quy tắc này. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
• Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
• Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
• Giá trị tổng kiểm của tập tin. MD5 và SHA256.

Bạn cũng có thể chọn tập tin theo cách thủ công và ứng dụng sẽ tự động điền vào các trường từ tập tin đã chọn.

Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục C:\windows\system32 vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục C:\windows\syswow64. Ví dụ: nếu bạn chọn C:\windows\system32\cmd.exe, tiện ích sẽ hiển thị các tham số của C:\windows\syswow64\cmd.exe. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.

DNS:

• Địa chỉ IP máy chủ DNS.
• Tùy chọn truy vấn.
• Trạng thái.
• Tên miền.
• ID loại thiết lập.
• Dữ liệu phản hồi.

Hoạt động LDAP bị loại trừ

Tên quy tắc.

Phạm vi tìm kiếm LDAP.

Lọc.

Tên phân biệt để tìm kiếm đối tượng LDAP.

Thuộc tính đối tượng.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Process details và Parent process details:

• Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
• Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
• Chỉ định tiêu chí kích hoạt quy tắc và loại sự kiện để sử dụng quy tắc này. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
• Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
• Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
• Giá trị tổng kiểm của tập tin. MD5 và SHA256.

Bạn cũng có thể chọn tập tin theo cách thủ công và ứng dụng sẽ tự động điền vào các trường từ tập tin đã chọn.

Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục C:\windows\system32 vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục C:\windows\syswow64. Ví dụ: nếu bạn chọn C:\windows\system32\cmd.exe, tiện ích sẽ hiển thị các tham số của C:\windows\syswow64\cmd.exe. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.

Truy vấn truy cập tiến trình bị loại trừ

Tên quy tắc.

Loại hoạt động.

Đã yêu cầu quyền truy cập tiến trình.

Dấu vết ngăn xếp gọi hàm.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Process details, Parent process details, Tiến trình đích, Tập tin của tiến trình nguồn và Tập tin của tiến trình mục tiêu.

• Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
• Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
• Chỉ định tiêu chí kích hoạt quy tắc và loại sự kiện để sử dụng quy tắc này. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
• Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
• Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
• Giá trị tổng kiểm của tập tin. MD5 và SHA256.

Bạn cũng có thể chọn tập tin theo cách thủ công và ứng dụng sẽ tự động điền vào các trường từ tập tin đã chọn.

Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục C:\windows\system32 vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục C:\windows\syswow64. Ví dụ: nếu bạn chọn C:\windows\system32\cmd.exe, tiện ích sẽ hiển thị các tham số của C:\windows\syswow64\cmd.exe. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.

Chèn mã bị loại trừ

Tên quy tắc.

Phương thức truy cập.

Ngăn xếp gọi hàm.

Dòng lệnh được sửa đổi.

Địa chỉ chèn mã.

Tên DLL được chèn.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Process details và Parent process details:

• Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
• Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
• Chỉ định tiêu chí kích hoạt quy tắc và loại sự kiện để sử dụng quy tắc này. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
• Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
• Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
• Giá trị tổng kiểm của tập tin. MD5 và SHA256.

Bạn cũng có thể chọn tập tin theo cách thủ công và ứng dụng sẽ tự động điền vào các trường từ tập tin đã chọn.

Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục C:\windows\system32 vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục C:\windows\syswow64. Ví dụ: nếu bạn chọn C:\windows\system32\cmd.exe, tiện ích sẽ hiển thị các tham số của C:\windows\syswow64\cmd.exe. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.

Các truy vấn WMI bị loại trừ

Tên quy tắc.

Loại hoạt động WMI.

Truy vấn từ xa.

Tên của máy tính đã thực thi lệnh WMI.

Tài khoản người dùng WMI.

Lệnh WMI đã thực thi.

Tên của không gian WMI.

Bộ lọc người dùng sự kiện WMI.

Tên của người dùng sự kiện WMI đã tạo.

Mã nguồn của người dùng sự kiện WMI.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Process details và Parent process details:

• Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
• Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
• Chỉ định tiêu chí kích hoạt quy tắc và loại sự kiện để sử dụng quy tắc này. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
• Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
• Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
• Giá trị tổng kiểm của tập tin. MD5 và SHA256.

Bạn cũng có thể chọn tập tin theo cách thủ công và ứng dụng sẽ tự động điền vào các trường từ tập tin đã chọn.

Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục C:\windows\system32 vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục C:\windows\syswow64. Ví dụ: nếu bạn chọn C:\windows\system32\cmd.exe, tiện ích sẽ hiển thị các tham số của C:\windows\syswow64\cmd.exe. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.

Hoạt động đường ống bị loại trừ

Tên quy tắc.

Tên đường ống.

Loại hoạt động.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Process details và Parent process details:

• Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
• Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
• Chỉ định tiêu chí kích hoạt quy tắc và loại sự kiện để sử dụng quy tắc này. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
• Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
• Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
• Giá trị tổng kiểm của tập tin. MD5 và SHA256.

Bạn cũng có thể chọn tập tin theo cách thủ công và ứng dụng sẽ tự động điền vào các trường từ tập tin đã chọn.

Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục C:\windows\system32 vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục C:\windows\syswow64. Ví dụ: nếu bạn chọn C:\windows\system32\cmd.exe, tiện ích sẽ hiển thị các tham số của C:\windows\syswow64\cmd.exe. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.

Thay đổi registry bị loại trừ

Tên quy tắc.

Loại hoạt động.

Đường dẫn.

Tên giá trị.

Giá trị.

Tên đầy đủ của tập tin registry.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Process details và Parent process details:

• Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
• Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
• Chỉ định tiêu chí kích hoạt quy tắc và loại sự kiện để sử dụng quy tắc này. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
• Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
• Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
• Giá trị tổng kiểm của tập tin. MD5 và SHA256.

Bạn cũng có thể chọn tập tin theo cách thủ công và ứng dụng sẽ tự động điền vào các trường từ tập tin đã chọn.

Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục C:\windows\system32 vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục C:\windows\syswow64. Ví dụ: nếu bạn chọn C:\windows\system32\cmd.exe, tiện ích sẽ hiển thị các tham số của C:\windows\syswow64\cmd.exe. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.