Esclusioni della telemetria EDR

Per migliorare le prestazioni e ottimizzare la trasmissione dei dati al server di telemetria, è possibile configurare le esclusioni della telemetria EDR. È ad esempio possibile scegliere di non inviare i dati sulle comunicazioni di rete per le singole applicazioni.

Come creare un'esclusione della telemetria EDR in Administration Console (MMC)

Come creare un'esclusione della telemetria EDR in Web Console e Cloud Console

Parametri di esclusione della telemetria EDR

Parametro

Descrizione

Processi esclusi

Ottimizza le dimensioni della telemetria da inviare. Kaspersky Endpoint Security consente di ottimizzare la quantità di dati trasmessi ed escludere gli eventi con determinati codici dalla telemetria: codice 102 (comunicazioni di base) e 8 (attività di rete del processo) per il protocollo Microsoft SMB, il servizio WinRM e il processo klnagent.exe di Network Agent, nonché informazioni estese sui tipi di pacchetti di rete per tutti i tipi di protocolli di rete.

Kaspersky Endpoint Security combina i criteri di attivazione delle regole con un AND logico.

Criteri di attivazione della regola

  • Dettagli processo.
    • Percorso completo. Percorso completo del file, inclusi il nome e l'estensione. Kaspersky Endpoint Security supporta le variabili di ambiente e i caratteri * e ? durante l'immissione di una maschera.
    • Testo riga di comando. Comando utilizzato per eseguire il file.
    • Specificare i criteri di attivazione della regola e i tipi di eventi per cui utilizzare questa regola. Valore del parametro FileDescription da una risorsa RT_VERSION (VersionInfo).
    • Nome originale del file. Valore del parametro OriginalFilename da una risorsa RT_VERSION (VersionInfo).
    • Versione. Valore del parametro FileVersion da una risorsa RT_VERSION (VersionInfo).
    • Checksum file. MD5 e SHA256.

    È anche possibile selezionare un file manualmente e l'applicazione compilerà automaticamente i campi del file selezionato.

  • Dettagli processo entità superiore.
    • Percorso completo. Percorso della cartella in cui si trova il file. Kaspersky Endpoint Security supporta le variabili di ambiente e i caratteri * e ? durante l'immissione di una maschera.
    • Testo riga di comando. Comando utilizzato per eseguire il file.
    • Specificare i criteri di attivazione della regola e i tipi di eventi per cui utilizzare questa regola. Valore del parametro FileDescription da una risorsa RT_VERSION (VersionInfo).
    • Nome originale del file. Valore del parametro OriginalFilename da una risorsa RT_VERSION (VersionInfo).
    • Versione. Valore del parametro FileVersion da una risorsa RT_VERSION (VersionInfo).
    • Checksum file. MD5 e SHA256.

    È anche possibile selezionare un file manualmente e l'applicazione compilerà automaticamente i campi del file selezionato.

Nei sistemi operativi a 64 bit, è necessario immettere manualmente i parametri della versione a 64 bit del file eseguibile di un processo dalla cartella C:\windows\system32 poiché l'applicazione compila i campi dei parametri del file eseguibile con i dati delle proprietà del file della versione a 32 bit dello stesso file eseguibile nella cartella C:\windows\syswow64. Ad esempio, se si seleziona \C:\windows\system32\cmd.exe, il plug-in mostra i parametri di C:\windows\syswow64\cmd.exe. Tale comportamento è dettato dalle peculiarità del sistema operativo.

Usa per i seguenti tipi di eventi

  • Modifica dei file.
  • Eventi rete.
  • Processo: input interattivo nella console.
  • Modulo caricato.
  • Registro di sistema modificato.

Comunicazioni di rete escluse

Nome regola.

Direzione.

Protocollo.

Numero di protocollo.

Porta locale o intervallo.

Porta remota o intervallo.

Indirizzo locale. L'indirizzo di rete del computer per cui Kaspersky Endpoint Security esclude la telemetria dal traffico di rete.

Indirizzo remoto. L'indirizzo di rete del computer per cui Kaspersky Endpoint Security esclude la telemetria dal traffico di rete.

Per gli indirizzi IP è supportato solo il formato IPv4.

Applicazioni. Elenco dei file eseguibili delle applicazioni per cui Kaspersky Endpoint Security esclude la telemetria EDR dal traffico di rete.

Operazioni sui file escluse

Nome regola.

Nome del file o maschera. Nome o maschera di un file o di una cartella; Kaspersky Endpoint Security applica la regola di esclusione quando si accede a questo file o cartella. Kaspersky Endpoint Security supporta i caratteri * e ? quando si inserisce una maschera.

Kaspersky Endpoint Security combina i criteri di attivazione delle regole con un AND logico.

Criteri di attivazione della regola

  • Dettagli processo.
    • Percorso completo. Percorso completo del file, inclusi il nome e l'estensione. Kaspersky Endpoint Security supporta le variabili di ambiente e i caratteri * e ? durante l'immissione di una maschera.
    • Testo riga di comando. Comando utilizzato per eseguire il file.
    • Specificare i criteri di attivazione della regola e i tipi di eventi per cui utilizzare questa regola. Valore del parametro FileDescription da una risorsa RT_VERSION (VersionInfo).
    • Nome originale del file. Valore del parametro OriginalFilename da una risorsa RT_VERSION (VersionInfo).
    • Versione. Valore del parametro FileVersion da una risorsa RT_VERSION (VersionInfo).
    • Checksum file. MD5 e SHA256.

    È anche possibile selezionare un file manualmente e l'applicazione compilerà automaticamente i campi del file selezionato.

  • Dettagli processo entità superiore.
    • Percorso completo. Percorso della cartella in cui si trova il file. Kaspersky Endpoint Security supporta le variabili di ambiente e i caratteri * e ? durante l'immissione di una maschera.
    • Testo riga di comando. Comando utilizzato per eseguire il file.
    • Specificare i criteri di attivazione della regola e i tipi di eventi per cui utilizzare questa regola. Valore del parametro FileDescription da una risorsa RT_VERSION (VersionInfo).
    • Nome originale del file. Valore del parametro OriginalFilename da una risorsa RT_VERSION (VersionInfo).
    • Versione. Valore del parametro FileVersion da una risorsa RT_VERSION (VersionInfo).
    • Checksum file. MD5 e SHA256.

    È anche possibile selezionare un file manualmente e l'applicazione compilerà automaticamente i campi del file selezionato.

Nei sistemi operativi a 64 bit, è necessario immettere manualmente i parametri della versione a 64 bit del file eseguibile di un processo dalla cartella C:\windows\system32 poiché l'applicazione compila i campi dei parametri del file eseguibile con i dati delle proprietà del file della versione a 32 bit dello stesso file eseguibile nella cartella C:\windows\syswow64. Ad esempio, se si seleziona \C:\windows\system32\cmd.exe, il plug-in mostra i parametri di C:\windows\syswow64\cmd.exe. Tale comportamento è dettato dalle peculiarità del sistema operativo.

Inizio pagina