استثناءات القياس عن بعد لحل EDR

العمليات المستثناة

تحسين حجم القياس عن بعد للإرسال.‏ يسمح Kaspersky Endpoint Security بتحسين كمية البيانات المرسلة واستثناء الأحداث التي تتضمن رموزًا معينة من التتبع عن بُعد: الرمز 102 (الاتصالات الأساسية) و8 (نشاط الشبكة للعملية) لبروتوكول Microsoft SMB وخدمة WinRM وعملية klnagent.exe لعميل الشبكة، بالإضافة إلى معلومات موسعة عن أنواع حزم شبكة الاتصال لجميع أنواع بروتوكولات الشبكة.

يجمع Kaspersky Endpoint Security بين معايير تشغيل القاعدة وAND المنطقية.

معايير تشغيل القاعدة

• المسار الكامل. المسار الكامل للملف بما في ذلك اسمه وامتداده. يدعم Kaspersky Endpoint Security متغيرات البيئة وحروف * و? عند إدخال قناع.
• نص سطر الأوامر. الأمر المستخدم لتشغيل الملف.
• المسار الرئيسي. المسار إلى المجلد الموجود به الملف.
• الوصف. قيمة المعلمة FileDescription من مورد RT_VERSION (VersionInfo).
• اسم الملف الأصلي. قيمة المعلمة OriginalFilename من مورد RT_VERSION (VersionInfo).
• الإصدار. قيمة معلمة FileVersion من مورد RT_VERSION (VersionInfo).
• المجاميع الاختبارية للملف. MD5 وSHA256.
• التعبئة بناءً على خصائص الملف. يعبئ التطبيق الحقول تلقائيًا بالمعلومات من الملف المحدد.

وفي أنظمة تشغيل 64 بت، يجب عليك إدخال معلمات إصدار 64 بت للملف القابل للتنفيذ يدويًا لعملية من المجلد ‎C:\windows\system32 لأن التطبيق يعبئ حقول معلمات الملف القابل للتنفيذ ببيانات من خصائص 32 بت من الملف القابل للتنفيذ نفسه في المجلد ‎C:\windows\syswow64. على سبيل المثال، إذا حددت ‎C:\windows\system32\cmd.exe، فسيعرض المكون الإضافي معلمات ‎C:\windows\syswow64\cmd.exe.‏ وينجم هذا السلوك من خلال خصوصيات نظام التشغيل.

الاستخدام لأنواع الأحداث التالية

• تعديل الملف.
• أحداث الشبكة.
• العملية: الإدخال التفاعلي لوحدة التحكم.
• تم تحميل الوحدة.
• تم تعديل التسجيل.‏

اتصالات الشبكة المستثناة

اسم القاعدة.‏

الاتجاه.‏

البروتوكول.‏

رقم البروتوكول.‏

النطاق أو المنفذ المحلي.‏

النطاق أو المنفذ البعيد.‏

العنوان المحلي.‏ عنوان شبكة الكمبيوتر الذي يستثني Kaspersky Endpoint Security تتبعه من حركة بيانات الشبكة.

العنوان البعيد.‏ عنوان شبكة الكمبيوتر الذي يستثني Kaspersky Endpoint Security تتبعه من حركة بيانات الشبكة.

يتم دعم تنسيق IPv4 فقط لعناوين IP.‏

التطبيقات.‏ قائمة بالملفات القابلة للتنفيذ الخاصة بالتطبيقات التي يستثني Kaspersky Endpoint Security قياس EDR عن بُعد لها من حركة بيانات الشبكة.

عمليات الملفات المستثناة

اسم القاعدة.‏

اسم الملف أو القناع.‏ اسم أو قناع ملف أو مجلد؛ ويُطبق Kaspersky Endpoint Security قاعدة الاستثناء عند الوصول إلى هذا الملف أو المجلد. يدعم Kaspersky Endpoint Security حرفي * و? عند إدخال قناع.

يجمع Kaspersky Endpoint Security بين معايير تشغيل القاعدة وAND المنطقية.

معايير تشغيل القاعدة

• المسار الكامل. المسار الكامل للملف بما في ذلك اسمه وامتداده. يدعم Kaspersky Endpoint Security متغيرات البيئة وحروف * و? عند إدخال قناع.
• نص سطر الأوامر. الأمر المستخدم لتشغيل الملف.
• المسار الرئيسي. المسار إلى المجلد الموجود به الملف.
• الوصف. قيمة المعلمة FileDescription من مورد RT_VERSION (VersionInfo).
• اسم الملف الأصلي. قيمة المعلمة OriginalFilename من مورد RT_VERSION (VersionInfo).
• الإصدار. قيمة معلمة FileVersion من مورد RT_VERSION (VersionInfo).
• المجاميع الاختبارية للملف. MD5 وSHA256.
• التعبئة بناءً على خصائص الملف. يعبئ التطبيق الحقول تلقائيًا بالمعلومات من الملف المحدد.

وفي أنظمة تشغيل 64 بت، يجب عليك إدخال معلمات إصدار 64 بت للملف القابل للتنفيذ يدويًا لعملية من المجلد ‎C:\windows\system32 لأن التطبيق يعبئ حقول معلمات الملف القابل للتنفيذ ببيانات من خصائص 32 بت من الملف القابل للتنفيذ نفسه في المجلد ‎C:\windows\syswow64. على سبيل المثال، إذا حددت ‎C:\windows\system32\cmd.exe، فسيعرض المكون الإضافي معلمات ‎C:\windows\syswow64\cmd.exe.‏ وينجم هذا السلوك من خلال خصوصيات نظام التشغيل.