EDR テレメトリの除外リスト
パフォーマンスを向上させ、テレメトリサーバーへのデータ送信を最適化するために、EDR テレメトリの除外リストを設定できます。たとえば、個々のアプリケーションのネットワーク通信データを送信しないように選択できます。
管理コンソール(MMC)で EDR テレメトリの除外リストを作成する方法
- Kaspersky Security Center の管理コンソールを開きます。
- コンソールツリーで、[ポリシー]を選択します。
- 目的のポリシーを選択し、ダブルクリックしてポリシーのプロパティを表示します。
- ポリシーウィンドウで、[全般設定]→[除外リスト]の順に選択します。
- [信頼するオブジェクトとアプリケーション]→[EDR テレメトリ]ブロックの[設定]をクリックします。
- これによりウィンドウが開きます。このウィンドウで、EDR テレメトリの除外リストを設定します(以下の表を参照)。
- 変更内容を保存します。
Web コンソールと Cloud コンソールで EDR テレメトリの除外リストを作成する方法
- Web コンソールのメインウィンドウで、 [デバイス] → [ポリシーとプロファイル]をクリックします。
- Kaspersky Endpoint Security のポリシーの名前をクリックします。
ポリシーのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [全般設定]→[除外リストと検知したオブジェクトの種別]に移動します。
- [信頼するオブジェクトとアプリケーション]セクションで、[EDR テレメトリの除外リスト]をクリックします。
- これによりウィンドウが開きます。このウィンドウで、EDR テレメトリの除外リストを設定します(以下の表を参照)。
- 変更内容を保存します。
EDR テレメトリの除外リストのパラメータ
パラメータ
|
説明
|
除外されるプロセス
|
送信するテレメトリのサイズを最適化:Kaspersky Endpoint Security では、Microsoft SMB プロトコル、WinRM サービス、およびネットワークエージェントの klnagent.exe プロセスについて、データの送信量を最適化したり、コードが 102(基本的な通信)および 8(プロセスのネットワークアクティビティ)のイベントをテレメトリから除外できます。また、すべての種類のネットワークプロトコルについて、ネットワークパケットの種類に関する拡張情報を最適化できます
Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。
ルールの適用条件
- 完全パス:名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「
*」および「?」をサポートします。 - コマンドラインテキスト:ファイルを実行するために使用されるコマンド。
- 親パス:ファイルの保存されたフォルダーへのパス。
- 説明:RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
- 元のファイル名:RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
- バージョン:RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
- ファイルのチェックサム:MD5 と SHA256。
- ファイルのプロパティに従って入力:本製品は、選択されたファイルからの情報をフィールドに自動的に入力します。
64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。
次のイベント種別に使用する
- ファイルの変更
- ネットワークイベント
- プロセス:コンソールでの対話的入力
- モジュールの読み込み
- レジストリの変更
|
除外されるネットワークコミュニケーション
|
ルール名
通信方向
プロトコル
プロトコル番号
ローカルポートまたは範囲
リモートポートまたは範囲
ローカルアドレス:Kaspersky Endpoint Security がネットワークトラフィックからテレメトリを除外するコンピューターのネットワークアドレス。
リモートアドレス:Kaspersky Endpoint Security がネットワークトラフィックからテレメトリを除外するコンピューターのネットワークアドレス。
IP アドレスでは IPv4 形式のみがサポートされます。
アプリケーション:Kaspersky Endpoint Security がネットワークトラフィックから EDR テレメトリを除外しているアプリケーションの実行ファイルのリスト。
|
除外されるファイル操作
|
ルール名
ファイル名またはマスク:ファイルまたはフォルダーの名前またはマスク。Kaspersky Endpoint Security は、このファイルまたはフォルダーにアクセスがあると除外ルールを適用します。Kaspersky Endpoint Security はマスクの入力において「*」文字と「?」文字をサポートします。
Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。
ルールの適用条件
- 完全パス:名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「
*」および「?」をサポートします。 - コマンドラインテキスト:ファイルを実行するために使用されるコマンド。
- 親パス:ファイルの保存されたフォルダーへのパス。
- 説明:RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
- 元のファイル名:RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
- バージョン:RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
- ファイルのチェックサム:MD5 と SHA256。
- ファイルのプロパティに従って入力:本製品は、選択されたファイルからの情報をフィールドに自動的に入力します。
64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。
|
ページのトップに戻る