EDR テレメトリの除外リスト

パフォーマンスを向上させ、テレメトリサーバーへのデータ送信を最適化するために、EDR テレメトリの除外リストを設定できます。たとえば、個々のアプリケーションのネットワーク通信データを送信しないように選択できます。

管理コンソール(MMC)で EDR テレメトリの除外リストを作成する方法

Web コンソールと Cloud コンソールで EDR テレメトリの除外リストを作成する方法

EDR テレメトリの除外リストのパラメータ

パラメータ

説明

除外されるプロセス

送信するテレメトリのサイズを最適化:Kaspersky Endpoint Security では、Microsoft SMB プロトコル、WinRM サービス、およびネットワークエージェントの klnagent.exe プロセスについて、データの送信量を最適化したり、コードが 102(基本的な通信)および 8(プロセスのネットワークアクティビティ)のイベントをテレメトリから除外できます。また、すべての種類のネットワークプロトコルについて、ネットワークパケットの種類に関する拡張情報を最適化できます

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

ルールの適用条件

  • 完全パス:名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
  • コマンドラインテキスト:ファイルを実行するために使用されるコマンド。
  • 親パス:ファイルの保存されたフォルダーへのパス。
  • 説明:RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
  • 元のファイル名:RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
  • バージョン:RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
  • ファイルのチェックサム:MD5 と SHA256。
  • ファイルのプロパティに従って入力:本製品は、選択されたファイルからの情報をフィールドに自動的に入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

次のイベント種別に使用する

  • ファイルの変更
  • ネットワークイベント
  • プロセス:コンソールでの対話的入力
  • モジュールの読み込み
  • レジストリの変更

除外されるネットワークコミュニケーション

ルール名

通信方向

プロトコル

プロトコル番号

ローカルポートまたは範囲

リモートポートまたは範囲

ローカルアドレス:Kaspersky Endpoint Security がネットワークトラフィックからテレメトリを除外するコンピューターのネットワークアドレス。

リモートアドレス:Kaspersky Endpoint Security がネットワークトラフィックからテレメトリを除外するコンピューターのネットワークアドレス。

IP アドレスでは IPv4 形式のみがサポートされます。

アプリケーション:Kaspersky Endpoint Security がネットワークトラフィックから EDR テレメトリを除外しているアプリケーションの実行ファイルのリスト。

除外されるファイル操作

ルール名

ファイル名またはマスク:ファイルまたはフォルダーの名前またはマスク。Kaspersky Endpoint Security は、このファイルまたはフォルダーにアクセスがあると除外ルールを適用します。Kaspersky Endpoint Security はマスクの入力において「*」文字と「?」文字をサポートします。

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

ルールの適用条件

  • 完全パス:名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
  • コマンドラインテキスト:ファイルを実行するために使用されるコマンド。
  • 親パス:ファイルの保存されたフォルダーへのパス。
  • 説明:RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
  • 元のファイル名:RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
  • バージョン:RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
  • ファイルのチェックサム:MD5 と SHA256。
  • ファイルのプロパティに従って入力:本製品は、選択されたファイルからの情報をフィールドに自動的に入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

ページのトップに戻る