Настройки телеметрии

для Windows, macOS и Linux

Этот раздел позволяет вам настроить отправку телеметрии с управляемых устройств на серверы сбора телеметрии. Телеметрия – список событий, которые произошли на защищаемом компьютере. Kaspersky Endpoint Security анализирует телеметрию и отправляет ее на серверы Kaspersky Anti Targeted Attack Platform или на серверы сбора телеметрии во время синхронизации. События телеметрии поступают на сервер почти непрерывно. Kaspersky Endpoint Security выполняет синхронизацию с сервером при выполнении любого из следующих условий:

Истек период синхронизации.
Количество событий в буфере превысило максимальное значение.

Если соединение между Kaspersky Endpoint Security и сервером отсутствует, то приложение ставит новые события в очередь. При восстановлении соединения Kaspersky Endpoint Security отправляет события из очереди на сервер по порядку. При этом, чтобы не перегрузить сервер, Kaspersky Endpoint Security может отправлять не все события.

Вы можете настроить параметры синхронизации для каждого встроенного агента в разделе "Встроенные агенты" и выбрать оптимальные значения исходя из нагрузки на сеть.

В этом разделе вы можете настроить:

Правила включения и исключения из телеметрии.
Сбор телеметрии, отправляемой на серверы KATA, серверы сбора телеметрии или серверы реагирования.

Телеметрия EDR Expert (on-premise)

для Windows, macOS и Linux

Настройки телеметрии EDR Expert (on-premise)

Настройка	ОС	Описание
Телеметрия EDR Expert (on-premise)	`Windows` `macOS` `Linux`	Импорт и Экспорт. Вы можете экспортировать настройки телеметрии EDR Expert (on-premise) в файл в формате JSON. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество идентификаторов событий. Также вы можете использовать функцию экспорта / импорта для резервного копирования настроек отправляемых событий или для миграции списка в другую политику.
Общие исключения	`Windows` `macOS` `Linux`	Для оптимизации передаваемых данных вы можете настроить правила исключения для определенных типов событий. В этом случае Kaspersky Endpoint Security не собирает телеметрию, подходящую под условия правила. Это позволит уменьшить расход трафика и сократить количество событий от доверенных объектов и процессов. Имя правила. Действие: Не собирать. Если выбран этот вариант, Kaspersky Endpoint Security не будет собирать телеметрию, удовлетворяющую условиям правила. Исключить IOA. Если выбран этот вариант, Kaspersky Endpoint Security не будет собирать телеметрию на основании срабатывания IOA-правила. Индикатор атак (Indicator of Attack, IOA) – правило, содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Условие. Условие срабатывания правила. Укажите параметр телеметрии, условный оператор и значение параметра. По умолчанию Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Вы можете добавить несколько условий или группы условий, используя логические операторы И или ИЛИ.
Все типы событий	`Windows` `macOS` `Linux`	Список типов событий, для которых сбор телеметрии определяется по умолчанию "Лабораторией Касперского". Вы можете вручную настроить отправку на сервер каждого типа событии, а также правила исключения и включения телеметрии.

Настройка

ОС

Описание

Телеметрия EDR Expert (on-premise)

Windows

macOS

Linux

Импорт и Экспорт. Вы можете экспортировать настройки телеметрии EDR Expert (on-premise) в файл в формате JSON. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество идентификаторов событий. Также вы можете использовать функцию экспорта / импорта для резервного копирования настроек отправляемых событий или для миграции списка в другую политику.

Общие исключения

Windows

macOS

Linux

Для оптимизации передаваемых данных вы можете настроить правила исключения для определенных типов событий. В этом случае Kaspersky Endpoint Security не собирает телеметрию, подходящую под условия правила. Это позволит уменьшить расход трафика и сократить количество событий от доверенных объектов и процессов.

Имя правила.

Действие:

Не собирать. Если выбран этот вариант, Kaspersky Endpoint Security не будет собирать телеметрию, удовлетворяющую условиям правила.
Исключить IOA. Если выбран этот вариант, Kaspersky Endpoint Security не будет собирать телеметрию на основании срабатывания IOA-правила. Индикатор атак (Indicator of Attack, IOA) – правило, содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки.

Условие. Условие срабатывания правила. Укажите параметр телеметрии, условный оператор и значение параметра. По умолчанию Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Вы можете добавить несколько условий или группы условий, используя логические операторы И или ИЛИ.

Все типы событий

Windows

macOS

Linux

Список типов событий, для которых сбор телеметрии определяется по умолчанию "Лабораторией Касперского".

Вы можете вручную настроить отправку на сервер каждого типа событии, а также правила исключения и включения телеметрии.

Телеметрия EDR (KATA) / NDR (KATA)

для Windows и Linux

Для повышения производительности и оптимизации отправки данных на сервер сбора телеметрии вы можете настроить исключения из телеметрии. Например, вы можете отменить обработку данных о сетевых коммуникациях для отдельных приложений.

Настройки исключений из телеметрии EDR (KATA) / NDR (KATA)

Настройка	ОС	Описание
Исключенные процессы	`Windows` `Linux`	Kaspersky Endpoint Security не обрабатывает данные, связанные с процессами из списка. Оптимизировать объем отправляемой телеметрии. Kaspersky Endpoint Security позволяет оптимизировать объем отправляемых данных и исключить из телеметрии события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB, службы WinRM и процесса Агента администрирования klnagent.exe, а также расширенную информацию о типе сетевых пакетов для всех типов сетевых протоколов. Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Процесс и Родительский процесс: Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы `*` и `?` для ввода маски. Текст командной строки. Команда для запуска файла. Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo). Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo). Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo). Контрольные суммы файла. MD5 и SHA256. Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла. В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки `C:\windows\system32` необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке `C:\windows\syswow64`. Например, если вы выберете файл `C:\windows\system32\cmd.exe`, то плагин отобразит параметры файла `C:\windows\syswow64\cmd.exe`. Такое поведение связано с особенностями операционной системы. Использовать для следующих типов событий: Изменение файла. Сетевые события. Интерактивный ввод команд в консоли. Модуль загружен. Изменение в реестре. Логи DNS. Доступ к процессу. Внедрение кода. `Windows` Запрос WMI. Канал. LDAP. `Windows` AMSI.
Исключенные сетевые коммуникации	`Windows` `Linux`	Kaspersky Endpoint Security не обрабатывает данные, связанные с сетевыми коммуникациями из списка. В правиле исключения вы можете указать: Название правила. Направление. Протокол. Необработанный сокет. Номер протокола. Локальный адрес. Сетевой адрес компьютера, для которого Kaspersky Endpoint Security исключает телеметрию из сетевого трафика. Локальный порт или диапазон. Удаленный адрес. Сетевой адрес компьютера, для которого Kaspersky Endpoint Security исключает телеметрию из сетевого трафика. Удаленный порт или диапазон. Для IP-адресов поддерживается только формат IPv4. Использовать правило для выбранных приложений. Если флажок установлен, Kaspersky Endpoint Security исключает EDR-телеметрию из сетевого трафика для исполняемых файлов приложений из списка.
Исключенные операции с файлами	`Windows` `Linux`	Kaspersky Endpoint Security не обрабатывает файловые операции из списка. В правиле исключения вы можете указать: Название правила. Имя или маска файла. Имя или маска имени файла, при доступе к которым Kaspersky Endpoint Security применяет правило исключения. Kaspersky Endpoint Security поддерживает символы `` и `?` для ввода маски. Выберите файловую операцию. Тип файловой операции, к которой будет применяться правило. Предыдущий путь. Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Процесс и Родительский процесс: Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы `` и `?` для ввода маски. Текст командной строки. Команда для запуска файла. Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo). Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo). Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo). Контрольные суммы файла. MD5 и SHA256. Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла. В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки `C:\windows\system32` необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке `C:\windows\syswow64`. Например, если вы выберете файл `C:\windows\system32\cmd.exe`, то плагин отобразит параметры файла `C:\windows\syswow64\cmd.exe`. Такое поведение связано с особенностями операционной системы.
Исключенные операции с DNS	`Windows` `Linux`	Kaspersky Endpoint Security не обрабатывает операции с DNS из списка. В правиле исключения вы можете указать: Название правила. Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Процесс и Родительский процесс: Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы `*` и `?` для ввода маски. Текст командной строки. Команда для запуска файла. Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo). Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo). Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo). Контрольные суммы файла. MD5 и SHA256. Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла. В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки `C:\windows\system32` необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке `C:\windows\syswow64`. Например, если вы выберете файл `C:\windows\system32\cmd.exe`, то плагин отобразит параметры файла `C:\windows\syswow64\cmd.exe`. Такое поведение связано с особенностями операционной системы. Операции с DNS: IP-адрес DNS-сервера. Параметры запроса. Статус. Имя домена. ID типа настроек. Ответная информация. Содержание ответа DNS-сервера на запрос.
Исключенные операции с LDAP	`Windows`	Kaspersky Endpoint Security не обрабатывает операции с LDAP из списка. В правиле исключения вы можете указать: Название правила. Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Процесс и Родительский процесс: Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы `*` и `?` для ввода маски. Текст командной строки. Команда для запуска файла. Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo). Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo). Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo). Контрольные суммы файла. MD5 и SHA256. Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла. В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки `C:\windows\system32` необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке `C:\windows\syswow64`. Например, если вы выберете файл `C:\windows\system32\cmd.exe`, то плагин отобразит параметры файла `C:\windows\syswow64\cmd.exe`. Такое поведение связано с особенностями операционной системы. Операции с LDAP: Область поиска LDAP. область поиска LDAP. Может иметь одно из следующих значений: ADS_SCOPE_BASE, ADS_SCOPE_ONELEVEL, ADS_SCOPE_SUBTREE. Фильтр. Отличительное имя для поиска объектов в LDAP. Имя записи в каталоге LDAP. Атрибуты объекта, используемые для поиска операций с LDAP. Атрибуты, заданные в поисковом запросе в качестве возвращаемых.
Исключенные запросы доступа к процессу	`Windows`	Kaspersky Endpoint Security не обрабатывает запросы доступа к процессам из списка. В правиле исключения вы можете указать: Название правила. Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Процесс, Родительский процесс, Целевой процесс, Файл исходного процесса и Файл целевого процесса. Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы `*` и `?` для ввода маски. Текст командной строки. Команда для запуска файла. Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo). Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo). Контрольные суммы файла. MD5 и SHA256. Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла. В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки `C:\windows\system32` необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке `C:\windows\syswow64`. Например, если вы выберете файл `C:\windows\system32\cmd.exe`, то плагин отобразит параметры файла `C:\windows\syswow64\cmd.exe`. Такое поведение связано с особенностями операционной системы. Запросы доступа к процессу: Тип операции. Запрошенный доступ к процессу. Трассировка стека вызовов.
Исключенные внедрения в код	`Windows`	Kaspersky Endpoint Security не обрабатывает внедрения кода из списка. В правиле исключения вы можете указать: Название правила. Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Процесс и Родительский процесс: Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы `*` и `?` для ввода маски. Текст командной строки. Команда для запуска файла. Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo). Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo). Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo). Контрольные суммы файла. MD5 и SHA256. Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла. В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки `C:\windows\system32` необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке `C:\windows\syswow64`. Например, если вы выберете файл `C:\windows\system32\cmd.exe`, то плагин отобразит параметры файла `C:\windows\syswow64\cmd.exe`. Такое поведение связано с особенностями операционной системы. Внедрения в код: Метод доступа. Стек вызовов. Стек вызовов API на момент перехвата функции, связанной с внедрением кода Измененная командная строка. Адрес внедрения. Адрес в адресном пространстве целевого процесса, куда был размещен удаленно запускаемый код. Поле не заполняется, если внедрение кода произошло с помощью методов SET_WINDOWS_HOOK и ARG_SPOOFING. Измененная командная строка. Имя внедряемой библиотеки DLL. Имя DLL, содержащей процедуру перехватчика и имя функции, которой передается управление после внедрения. Поле заполняется, если внедрение кода произошло с помощью метода SET_WINDOWS_HOOK. Путь внедряемой библиотеки DLL. Путь к DLL, содержащей процедуру перехватчика. Поле заполняется, если внедрение кода произошло с помощью метода SET_WINDOWS_HOOK.
Исключенные запросы WMI	`Windows`	Kaspersky Endpoint Security не обрабатывает запросы WMI из списка. В правиле исключения вы можете указать: Название правила. Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Процесс и Родительский процесс: Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы `*` и `?` для ввода маски. Текст командной строки. Команда для запуска файла. Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo). Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo). Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo). Контрольные суммы файла. MD5 и SHA256. Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла. В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки `C:\windows\system32` необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке `C:\windows\syswow64`. Например, если вы выберете файл `C:\windows\system32\cmd.exe`, то плагин отобразит параметры файла `C:\windows\syswow64\cmd.exe`. Такое поведение связано с особенностями операционной системы. Запросы WMI: Тип операции WMI. Удаленный запрос. Имя компьютера, с которого выполнена команда WMI. Учетная запись пользователя WMI. Выполненная команда WMI. Пространство имен WMI. Фильтр потребителя событий WMI. Имя созданного потребителя событий WMI. Исходный код потребителя событий WMI.
Исключенные операции с каналами	`Windows`	Kaspersky Endpoint Security не обрабатывает операции с каналами из списка. В правиле исключения вы можете указать: Название правила. Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Процесс и Родительский процесс: Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы `*` и `?` для ввода маски. Текст командной строки. Команда для запуска файла. Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo). Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo). Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo). Контрольные суммы файла. MD5 и SHA256. Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла. В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки `C:\windows\system32` необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке `C:\windows\syswow64`. Например, если вы выберете файл `C:\windows\system32\cmd.exe`, то плагин отобразит параметры файла `C:\windows\syswow64\cmd.exe`. Такое поведение связано с особенностями операционной системы. Операции с каналами: Имя канала. Тип операции.
Исключенные изменения реестра	`Windows`	Kaspersky Endpoint Security не обрабатывает изменения реестра из списка. В правиле исключения вы можете указать: Название правила. Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И. Процесс и Родительский процесс: Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы `*` и `?` для ввода маски. Текст командной строки. Команда для запуска файла. Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo). Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo). Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo). Контрольные суммы файла. MD5 и SHA256. Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла. В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки `C:\windows\system32` необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке `C:\windows\syswow64`. Например, если вы выберете файл `C:\windows\system32\cmd.exe`, то плагин отобразит параметры файла `C:\windows\syswow64\cmd.exe`. Такое поведение связано с особенностями операционной системы. Изменения реестра: Тип операции. Путь. Путь к разделу реестра, в котором произошло изменение. Имя значения. Имя измененного параметра, например, RegistrySizeLimit. Значение. Полное имя файла реестра.
Исключенные операции с устройствами	`Windows`	Kaspersky Endpoint Security не обрабатывает операции, связанные с USB-устройствами из списка. В правиле исключения вы можете указать: Название правила. Тип устройства. Идентификатор устройства. Имя устройства.

Телеметрия KUMA

Параметр	ОС	Описание
Журналы событий Windows	`Windows`	Список журналов событий Windows, которые вы добавили вручную. Вы можете добавить журналы по одному или импортировать JSON-файл с настройками. Для каждого журнала событий можете выбрать режим отправки: Отправлять все события. В этом режиме приложение отправляет все события журнала Windows кроме событий, добавленных в правила исключения. Отправлять только выбранные события. В этом режиме приложение отправляет только события, добавленные в правила включения. Также вы можете настроить правила исключения или включения для соответствующего режима отправки событий. Для добавления правил необходимо указать идентификатор события в журнале событий Windows. Вы можете перечислить несколько идентификаторов событий в одном правиле. Для указания нескольких идентификаторов событий используйте запятую в качестве разделителя.

В начало