Wykluczenia telemetryczne EDR

Aby poprawić wydajność i zoptymalizować transmisję danych do serwera telemetrii, możesz skonfigurować wykluczenia telemetryczne EDR. Można na przykład zrezygnować z wysyłania danych komunikacyjnych sieci dla poszczególnych aplikacji.

Jak utworzyć wykluczenie z telemetrii EDR w Konsoli administracyjnej (MMC)?

Jak utworzyć wykluczenie z telemetrii EDR w Web Console i Cloud Console?

Parametry wykluczenia telemetrycznego EDR

Parametr

Opis

Wykluczone procesy

Optymalizuj rozmiar wysyłania telemetrii. Kaspersky Endpoint Security umożliwia optymalizację ilości przesyłanych danych i wykluczanie zdarzeń z określonymi kodami z telemetrii: kod 102 (podstawowa komunikacja) i 8 (aktywność sieciowa procesu) dla protokołu Microsoft SMB, usługi WinRM i procesu klnagent.exe Agenta sieciowego, a także rozszerzone informacje o rodzajach pakietów sieciowych dla wszystkich typów protokołów sieciowych.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Kryterium wyzwolenia reguły

  • Szczegóły procesu.
    • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
    • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
    • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
    • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
    • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
    • Plik sumy kontrolnej. MD5 i SHA256.

    Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

  • Szczegóły procesu nadrzędnego.
    • Pełna ścieżka. Ścieżka do folderu, w którym znajduje się plik. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
    • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
    • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
    • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
    • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
    • Plik sumy kontrolnej. MD5 i SHA256.

    Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

Użyj dla następujących typów zdarzeń

  • Modyfikacja pliku.
  • Zdarzenia sieciowe.
  • Proces: Interaktywne wejście konsoli.
  • Moduł wczytany.
  • Zmodyfikowano rejestr.

Wykluczona komunikacja sieciowa

Nazwa reguły.

Kierunek.

Protokół.

Numer protokołu.

Port lokalny lub zakres.

Port zdalny lub zakres.

Adres lokalny. Adres sieciowy komputera, dla którego Kaspersky Endpoint Security wyklucza dane telemetryczne z ruchu sieciowego.

Adres zdalny. Adres sieciowy komputera, dla którego Kaspersky Endpoint Security wyklucza dane telemetryczne z ruchu sieciowego.

W przypadku adresów IP obsługiwany jest wyłącznie format IPv4.

Aplikacje. Lista plików wykonywalnych aplikacji, dla których Kaspersky Endpoint Security wyklucza telemetrię EDR z ruchu sieciowego.

Wykluczone operacje na plikach

Nazwa reguły.

Nazwa pliku lub maska. Nazwa lub maska ​​pliku lub folderu; Kaspersky Endpoint Security stosuje regułę wykluczenia podczas uzyskiwania dostępu do tego pliku lub folderu. Kaspersky Endpoint Security obsługuje znaki * i ? podczas wprowadzania maski.

Kaspersky Endpoint Security łączy kryteria wyzwalania reguły z logicznym AND.

Kryterium wyzwolenia reguły

  • Szczegóły procesu.
    • Pełna ścieżka. Pełna ścieżka do pliku, w tym jego nazwa i rozszerzenie. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
    • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
    • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
    • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
    • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
    • Plik sumy kontrolnej. MD5 i SHA256.

    Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

  • Szczegóły procesu nadrzędnego.
    • Pełna ścieżka. Ścieżka do folderu, w którym znajduje się plik. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.
    • Tekst wiersza polecenia. Komenda używana do uruchomienia pliku.
    • Określ kryteria wyzwalania reguły i typy zdarzeń, dla których ta reguła ma być stosowana. Wartość parametru FileDescription z zasobu RT_VERSION (VersionInfo).
    • Nazwa oryginalnego pliku. Wartość parametru OriginalFilename z zasobu RT_VERSION (VersionInfo).
    • Wersja. Wartość parametru FileVersion z zasobu RT_VERSION (VersionInfo).
    • Plik sumy kontrolnej. MD5 i SHA256.

    Możesz także wybrać plik ręcznie, a aplikacja automatycznie wypełni pola z wybranego pliku.

W 64-bitowych systemach operacyjnych należy ręcznie wprowadzić parametry 64-bitowej wersji pliku wykonywalnego procesu z folderu C:\windows\system32, ponieważ aplikacja wypełnia pola parametrów pliku wykonywalnego danymi z właściwości wersji 32-bitowej tego samego pliku wykonywalnego w folderze C:\windows\syswow64. Na przykład, jeśli wybierzesz C:\windows\system32\cmd.exe, wtyczka wyświetli parametry C:\windows\syswow64\cmd.exe. Takie zachowanie jest podyktowane specyfiką systemu operacyjnego.

Przejdź do góry