Exclusões de telemetria

Para melhorar o desempenho e otimizar a transmissão de dados para o servidor de telemetria, é possível configurar as exclusões de telemetria. Por exemplo, é possível optar pelo não envio de dados de comunicações de rede para aplicativos individuais.

Como criar uma exclusão de telemetria no Console de Administração (MMC)

Como criar uma exclusão de telemetria no Web Console e no Cloud Console

Parâmetros de exclusão de telemetria

Parâmetro

Descrição

Processos excluídos

Otimizar o tamanho da telemetria a ser enviada. O Kaspersky Endpoint Security permite otimizar a quantidade de dados transmitidos e excluir eventos com determinados códigos da telemetria: código 102 (comunicações básicas) e 8 (atividade de rede do processo) para o protocolo SMB da Microsoft, o serviço WinRM e o processo klnagent.exe do Agente de Rede, assim como as informações estendidas sobre os tipos de pacotes de rede para todos os tipos de protocolos de rede.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Detalhes do processo e Detalhes do processo pai:

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Especifique os critérios de acionamento da regra e os tipos de eventos para os quais usá-la. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.

Também é possível selecionar manualmente um arquivo e o aplicativo preencherá automaticamente os campos do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

Usar para os seguintes tipos de eventos:

  • Modificação de arquivo.
  • Eventos de rede.
  • Processo: entrada interativa no console.
  • Módulo carregado.
  • Registro modificado.
  • Logs de DNS.
  • Acesso ao processo.
  • Invasão de código.
  • Consulta WMI.
  • Pipe.
  • LDAP.
  • AMSI.

Comunicações de rede excluídas

Nome da regra.

Direção.

Protocolo.

Soquete bruto.

Número do protocolo.

Certificado TLS.

Porta local ou intervalo.

Porta remota ou intervalo.

Endereço local. O endereço de rede do computador para o qual o Kaspersky Endpoint Security está excluindo a telemetria do tráfego de rede.

Endereço remoto. O endereço de rede do computador para o qual o Kaspersky Endpoint Security está excluindo a telemetria do tráfego de rede.

Somente o formato IPv4 é compatível com endereços IP.

Aplicativos. Lista de arquivos executáveis de aplicativos para os quais o Kaspersky Endpoint Security está excluindo a telemetria EDR do tráfego de rede.

Operações de arquivo excluídas

Nome da regra.

Nome ou máscara do arquivo. Nome ou máscara de um arquivo ou pasta; o Kaspersky Endpoint Security aplica a regra de exclusão quando esse arquivo ou pasta é acessado. O Kaspersky Endpoint Security tem suporte aos caracteres * e ? ao inserir uma máscara.

Tipo de operação.

Caminho anterior.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Detalhes do processo e Detalhes do processo pai:

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Especifique os critérios de acionamento da regra e os tipos de eventos para os quais usá-la. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.

Também é possível selecionar manualmente um arquivo e o aplicativo preencherá automaticamente os campos do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

Operações de DNS excluídas

Nome da regra.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Detalhes do processo e Detalhes do processo pai:

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Especifique os critérios de acionamento da regra e os tipos de eventos para os quais usá-la. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.

Também é possível selecionar manualmente um arquivo e o aplicativo preencherá automaticamente os campos do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

DNS:

  • Endereço IP do servidor DNS.
  • Opções de consulta.
  • Status.
  • Nome de domínio.
  • ID de tipo de configuração.
  • Dados de resposta.

Operações LDAP excluídas

Nome da regra.

Escopo da pesquisa LDAP.

Filtro.

Nome distinto para pesquisa de objetos LDAP.

Atributos do objeto.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Detalhes do processo e Detalhes do processo pai:

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Especifique os critérios de acionamento da regra e os tipos de eventos para os quais usá-la. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.

Também é possível selecionar manualmente um arquivo e o aplicativo preencherá automaticamente os campos do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

Consultas de acesso do processo excluídas

Nome da regra.

Tipo de operação.

Acesso requisitado ao processo.

Rastreamento de pilha de chamada.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Detalhes do processo, Detalhes do processo pai, Processo de destino, Arquivo de um processo de origem e Arquivo de um processo de destino.

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Especifique os critérios de acionamento da regra e os tipos de eventos para os quais usá-la. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.

Também é possível selecionar manualmente um arquivo e o aplicativo preencherá automaticamente os campos do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

Injeções de código excluídas

Nome da regra.

Método de acesso.

Pilha de chamada.

Linha de comando modificada.

Endereço da invasão.

Nome da DLL inserida.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Detalhes do processo e Detalhes do processo pai:

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Especifique os critérios de acionamento da regra e os tipos de eventos para os quais usá-la. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.

Também é possível selecionar manualmente um arquivo e o aplicativo preencherá automaticamente os campos do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

Consultas WMI excluídas

Nome da regra.

Tipo de operação WMI.

Consulta remota.

Nome de um computador que executou um comando WMI.

Conta de usuário WMI.

Comando WMI executado.

Namespace WMI.

Filtro de consumidor de evento WMI.

Nome do consumidor de evento WMI criado.

Código-fonte de um consumidor de evento WMI.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Detalhes do processo e Detalhes do processo pai:

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Especifique os critérios de acionamento da regra e os tipos de eventos para os quais usá-la. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.

Também é possível selecionar manualmente um arquivo e o aplicativo preencherá automaticamente os campos do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

Operações de pipe excluídas

Nome da regra.

Nome do pipe.

Tipo de operação.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Detalhes do processo e Detalhes do processo pai:

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Especifique os critérios de acionamento da regra e os tipos de eventos para os quais usá-la. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.

Também é possível selecionar manualmente um arquivo e o aplicativo preencherá automaticamente os campos do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

Alterações de registro excluídas

Nome da regra.

Tipo de operação.

Caminho.

Nome do valor.

Valor.

Nome completo de um arquivo de registro.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Detalhes do processo e Detalhes do processo pai:

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Especifique os critérios de acionamento da regra e os tipos de eventos para os quais usá-la. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.

Também é possível selecionar manualmente um arquivo e o aplicativo preencherá automaticamente os campos do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

Nesta seção

Exemplo 1. Processos excluídos

Exemplo 2. Comunicações de rede excluídas

Exemplo 3. Operações de arquivo excluídas

Exemplo 4. Modificações de registro excluídas
Início da página