Um die Leistung zu verbessern und die Datenübertragung an den Telemetrieserver zu optimieren, können Sie EDR-Telemetrie-Ausnahmen konfigurieren. Sie können beispielsweise festlegen, dass für einzelne Anwendungen keine Netzwerkkommunikationsdaten gesendet werden.
Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Wählen Sie die Registerkarte Programmeinstellungen aus.
Gehen Sie zu Allgemeine Einstellungen → Ausnahmen und Typen der zu erkennenden Objekte.
Klicken Sie im Block Untersuchungsausnahmen und vertrauenswürdige Programme auf den Link EDR-Telemetrie-Ausnahmen.
Dadurch wird ein Fenster geöffnet. Konfigurieren Sie in diesem Fenster die Ausnahmen für die EDR-Telemetrie (siehe folgende Tabelle).
Speichern Sie die vorgenommenen Änderungen.
Parameter für EDR-Telemetrie-Ausnahmen
Einstellung
Beschreibung
Ausgeschlossene Prozesse
Telemetriegröße zum Senden optimieren. Kaspersky Endpoint Security ermöglicht es, die Menge der übertragenen Daten zu optimieren und Ereignisse mit bestimmten Codes aus der Telemetrie auszuschließen: Code 102 (einfache Kommunikation) und 8 (Netzwerkaktivität des Prozesses) für das Microsoft SMB-Protokoll, den WinRM-Dienst und den Prozess klnagent.exe des Administrationsagenten sowie erweiterte Informationen über die Typen von Netzwerkpaketen für alle Typen von Netzwerkprotokollen.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Kriterien für die Regelauslösung
Prozessdetails.
Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.
Befehlszeilentext. Befehl zum Ausführen der Datei.
Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
Details des übergeordneten Prozesses.
Vollständiger Pfad. Pfad des Ordners, in dem sich die Datei befindet. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.
Befehlszeilentext. Befehl zum Ausführen der Datei.
Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.
Für die folgenden Ereignistypen verwenden
Dateiänderung.
Netzwerk-Ereignisse.
Prozess: interaktive Konsoleneingabe.
Modul geladen.
Registrierung geändert.
Ausgeschlossene Netzwerkkommunikationen
Regelname.
Richtung.
Protokoll.
Protokollnummer.
Lokaler Port oder Bereich.
Remote-Port oder -Bereich.
Lokale Adresse. Die Netzwerkadresse des Computers, für den Kaspersky Endpoint Security Telemetriedaten aus dem Netzwerkverkehr ausschließt.
Remote-Adresse. Die Netzwerkadresse des Computers, für den Kaspersky Endpoint Security Telemetriedaten aus dem Netzwerkverkehr ausschließt.
Für IP-Adressen wird nur das IPv4-Format unterstützt.
Programme. Liste der ausführbaren Dateien von Anwendungen, für die Kaspersky Endpoint Security die EDR-Telemetrie aus dem Netzwerkverkehr ausschließt.
Ausgeschlossene Vorgänge mit Dateien
Regelname.
Dateiname oder Maske. Name oder Maske einer Datei bzw. eines Ordners; Kaspersky Endpoint Security wendet die Ausnahmeregel an, wenn auf diese Datei oder diesen Ordner zugegriffen wird. Bei der Eingabe einer Maske unterstützt Kaspersky Endpoint Security die Zeichen * und ?.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Kriterien für die Regelauslösung
Prozessdetails.
Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.
Befehlszeilentext. Befehl zum Ausführen der Datei.
Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
Details des übergeordneten Prozesses.
Vollständiger Pfad. Pfad des Ordners, in dem sich die Datei befindet. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.
Befehlszeilentext. Befehl zum Ausführen der Datei.
Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.