EDR-Telemetrie-Ausnahmen

Support

Support für Unternehmensanwendungen

Kaspersky Endpoint Security 12 für Windows

„Detection and Response“-Lösungen

Kaspersky Anti Targeted Attack Platform (EDR)

EDR-Telemetrie-Ausnahmen

17. April 2024

ID 270557

Als PDF speichern

Um die Leistung zu verbessern und die Datenübertragung an den Telemetrieserver zu optimieren, können Sie EDR-Telemetrie-Ausnahmen konfigurieren. Sie können beispielsweise festlegen, dass für einzelne Anwendungen keine Netzwerkkommunikationsdaten gesendet werden.

So erstellen Sie in der Verwaltungskonsole (MMC) eine EDR-Telemetrie-Ausnahme

So erstellen Sie in der Web Console und Cloud Console eine EDR-Telemetrie-Ausnahme

Parameter für EDR-Telemetrie-Ausnahmen

Einstellung	Beschreibung
Ausgeschlossene Prozesse	Telemetriegröße zum Senden optimieren. Kaspersky Endpoint Security ermöglicht es, die Menge der übertragenen Daten zu optimieren und Ereignisse mit bestimmten Codes aus der Telemetrie auszuschließen: Code 102 (einfache Kommunikation) und 8 (Netzwerkaktivität des Prozesses) für das Microsoft SMB-Protokoll, den WinRM-Dienst und den Prozess klnagent.exe des Administrationsagenten sowie erweiterte Informationen über die Typen von Netzwerkpaketen für alle Typen von Netzwerkprotokollen. Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND. Kriterien für die Regelauslösung Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen `*` und `?` bei der Eingabe einer Maske. Befehlszeilentext. Befehl zum Ausführen der Datei. Übergeordneter Pfad. Pfad des Ordners, in dem sich die Datei befindet. Beschreibung. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo). Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo). Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo). Dateiprüfsummen. MD5 und SHA256. Ausfüllen auf Basis von Dateieigenschaften. Die App füllt die Felder automatisch mit Informationen aus der ausgewählten Datei aus. In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner `C:\windows\system32` manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner `C:\windows\syswow64` ausfüllt. Wenn Sie beispielsweise `C:\windows\system32\cmd.exe` auswählen, zeigt das Plug-in die Parameter von `C:\windows\syswow64\cmd.exe` an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück. Für die folgenden Ereignistypen verwenden Dateiänderung. Netzwerk-Ereignisse. Prozess: interaktive Konsoleneingabe. Modul geladen. Registrierung geändert.
Ausgeschlossene Netzwerkkommunikationen	Regelname. Richtung. Protokoll. Protokollnummer. Lokaler Port oder Bereich. Remote-Port oder -Bereich. Lokale Adresse. Die Netzwerkadresse des Computers, für den Kaspersky Endpoint Security Telemetriedaten aus dem Netzwerkverkehr ausschließt. Remote-Adresse. Die Netzwerkadresse des Computers, für den Kaspersky Endpoint Security Telemetriedaten aus dem Netzwerkverkehr ausschließt. Für IP-Adressen wird nur das IPv4-Format unterstützt. Programme. Liste der ausführbaren Dateien von Anwendungen, für die Kaspersky Endpoint Security die EDR-Telemetrie aus dem Netzwerkverkehr ausschließt.
Ausgeschlossene Vorgänge mit Dateien	Regelname. Dateiname oder Maske. Name oder Maske einer Datei bzw. eines Ordners; Kaspersky Endpoint Security wendet die Ausnahmeregel an, wenn auf diese Datei oder diesen Ordner zugegriffen wird. Bei der Eingabe einer Maske unterstützt Kaspersky Endpoint Security die Zeichen * und ?. Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND. Kriterien für die Regelauslösung Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen `*` und `?` bei der Eingabe einer Maske. Befehlszeilentext. Befehl zum Ausführen der Datei. Übergeordneter Pfad. Pfad des Ordners, in dem sich die Datei befindet. Beschreibung. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo). Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo). Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo). Dateiprüfsummen. MD5 und SHA256. Ausfüllen auf Basis von Dateieigenschaften. Die App füllt die Felder automatisch mit Informationen aus der ausgewählten Datei aus. In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner `C:\windows\system32` manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner `C:\windows\syswow64` ausfüllt. Wenn Sie beispielsweise `C:\windows\system32\cmd.exe` auswählen, zeigt das Plug-in die Parameter von `C:\windows\syswow64\cmd.exe` an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.

Einstellung

Beschreibung

Ausgeschlossene Prozesse

Telemetriegröße zum Senden optimieren. Kaspersky Endpoint Security ermöglicht es, die Menge der übertragenen Daten zu optimieren und Ereignisse mit bestimmten Codes aus der Telemetrie auszuschließen: Code 102 (einfache Kommunikation) und 8 (Netzwerkaktivität des Prozesses) für das Microsoft SMB-Protokoll, den WinRM-Dienst und den Prozess klnagent.exe des Administrationsagenten sowie erweiterte Informationen über die Typen von Netzwerkpaketen für alle Typen von Netzwerkprotokollen.

Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.

Kriterien für die Regelauslösung

Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.
Befehlszeilentext. Befehl zum Ausführen der Datei.
Übergeordneter Pfad. Pfad des Ordners, in dem sich die Datei befindet.
Beschreibung. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
Dateiprüfsummen. MD5 und SHA256.
Ausfüllen auf Basis von Dateieigenschaften. Die App füllt die Felder automatisch mit Informationen aus der ausgewählten Datei aus.

In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.

Für die folgenden Ereignistypen verwenden

Dateiänderung.
Netzwerk-Ereignisse.
Prozess: interaktive Konsoleneingabe.
Modul geladen.
Registrierung geändert.

Ausgeschlossene Netzwerkkommunikationen

Regelname.

Richtung.

Protokoll.

Protokollnummer.

Lokaler Port oder Bereich.

Remote-Port oder -Bereich.

Lokale Adresse. Die Netzwerkadresse des Computers, für den Kaspersky Endpoint Security Telemetriedaten aus dem Netzwerkverkehr ausschließt.

Remote-Adresse. Die Netzwerkadresse des Computers, für den Kaspersky Endpoint Security Telemetriedaten aus dem Netzwerkverkehr ausschließt.

Für IP-Adressen wird nur das IPv4-Format unterstützt.

Programme. Liste der ausführbaren Dateien von Anwendungen, für die Kaspersky Endpoint Security die EDR-Telemetrie aus dem Netzwerkverkehr ausschließt.

Ausgeschlossene Vorgänge mit Dateien

Regelname.

Dateiname oder Maske. Name oder Maske einer Datei bzw. eines Ordners; Kaspersky Endpoint Security wendet die Ausnahmeregel an, wenn auf diese Datei oder diesen Ordner zugegriffen wird. Bei der Eingabe einer Maske unterstützt Kaspersky Endpoint Security die Zeichen * und ?.

Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.

Kriterien für die Regelauslösung

Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.
Befehlszeilentext. Befehl zum Ausführen der Datei.
Übergeordneter Pfad. Pfad des Ordners, in dem sich die Datei befindet.
Beschreibung. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
Dateiprüfsummen. MD5 und SHA256.
Ausfüllen auf Basis von Dateieigenschaften. Die App füllt die Felder automatisch mit Informationen aus der ausgewählten Datei aus.

Kaspersky Endpoint Security für Windows:
Erkennung von hoch entwickelten Cyberbedrohungen

Schützt jeden Endpoint ohne hohe Kosten. Optimiert das zentralisierte Sicherheitsmanagement mit einer Cloud oder Web-Konsole. Kaufen Sie diese Lösung als Teil von Kaspersky Endpoint Security for Business Advanced.

Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen

Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.

War dieser Artikel hilfreich?

Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:

Danke für Ihr Feedback! Sie helfen uns, besser zu werden.

EDR-Telemetrie-Ausnahmen

Kaspersky Endpoint Security für Windows: Erkennung von hoch entwickelten Cyberbedrohungen

Premium Support (MSA): Priorisierte Eskalation von Support-Anfragen

Kaspersky Endpoint Security für Windows:
Erkennung von hoch entwickelten Cyberbedrohungen

Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen