EDR 遙測排除項目
為了提高效能並最佳化到遙測伺服器的資料傳輸,您可以配置 EDR 遙測排除項目。例如,您可以選擇不傳送單個應用程式的網路通訊資料。
如何在管理主控台 (MMC) 中建立 EDR 排除項目
- 開啟卡巴斯基安全管理中心管理主控台。
- 在主控台樹狀目錄中,選擇“政策”。
- 選擇必要的政策並點擊以開啟政策內容。
- 在政策視窗中,選擇“一般設定 → 排除項目”。
- 在”掃描排除項目和受信任應用程式 → EDR 遙測”塊中,點擊”設定”按鈕。
- 這將開啟一個視窗;在該視窗中,配置 EDR 遙測排除項目(請參見下表)。
- 儲存變更。
如何在網頁主控台和雲端主控台中建立 EDR 遙測排除項目
- 在網頁主控台的主視窗中,選擇裝置 → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”一般設定”→”排除項目和偵測到的物件類型”。
- 在”掃描排除項目和受信任應用程式”塊中,點擊”EDR 遙測排除項目”連接。
- 這將開啟一個視窗;在該視窗中,配置 EDR 遙測排除項目(請參見下表)。
- 儲存變更。
EDR 遙測排除項目參數
參數
|
描述
|
被排除的處理程序
|
最佳化要傳送的遙測資料大小Kaspersky Endpoint Security 允許最佳化被傳輸的資料量並從遙測中排除具有某些代碼的事件:Microsoft SMB 協定、WinRM 服務和網路代理的 klnagent.exe 處理程序的代碼 102(基本通訊)和 8(處理程序的網路活動),以及有關所有類型網路協定的網路套件類型的延伸資訊。
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
規則觸發標準
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
* 和? 字元。 - 命令行文字用於執行檔案的命令。
- 父路徑檔案所在資料夾的路徑。
- 敘述來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
- 填充基於 檔案內容。應用程式會自動使用所选檔案中的資訊來填充欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe ,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
用於以下事件類型
- 檔案修改
- 網路事件
- 處理程序:主控台互動輸入
- 模組已載入
- 登錄檔已修改
|
被排除的網路通信
|
規則名稱
方向
協定
協定編號
本機連接埠或範圍
遠端連接埠或範圍
本機位址Kaspersky Endpoint Security 為其從網路流量中排除遙測的電腦的網路位址。
遠端位址Kaspersky Endpoint Security 為其從網路流量中排除遙測的電腦的網路位址。
IP 位址僅支援 IPv4 格式。
應用程式Kaspersky Endpoint Security 為其從網路流量中排除 EDR 遙測的應用程式的可执行檔清單。
|
被排除的檔案作業
|
規則名稱
檔案名稱或遮罩檔案或資料夾的名稱或遮罩;當此檔案或資料夾被存取時,Kaspersky Endpoint Security 将套用排除規則。Kaspersky Endpoint Security 在輸入遮罩時支援 * 和 ? 字元。
Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。
規則觸發標準
- 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
* 和? 字元。 - 命令行文字用於執行檔案的命令。
- 父路徑檔案所在資料夾的路徑。
- 敘述來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
- 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
- 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
- 檔案總和檢查碼MD5 和 SHA256。
- 填充基於 檔案內容。應用程式會自動使用所选檔案中的資訊來填充欄位。
在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe ,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。
|
頁面頂部