EDR 遥测排除项

要提高性能并优化到遥测服务器的数据传输，您可以配置 EDR 遥测排除项。例如，您可以选择不发送单个应用程序的网络通信数据。

EDR 遥测排除项参数

参数	描述
排除的进程	“优化要发送的遥测大小”。Kaspersky Endpoint Security 允许优化传输的数据量并从遥测中排除具有某些代码的事件：Microsoft SMB 协议、WinRM 服务和网络代理 klnagent.exe 进程的代码 102（基本通信）和 8（进程的网络活动），以及有关所有类型网络协议的网络数据包类型的扩展信息。 Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。规则触发标准 “进程详情”。 “完整路径”。文件的完整路径，包括其名称和扩展名。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 `` 以及 `?` 字符。 “命令行文本”。用于运行文件的命令。 “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。 “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。 “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。 “文件校验和”。MD5 和 SHA256。您也可以手动选择文件，应用程序将自动填写所选文件中的字段。 “父进程详细信息”。 “完整路径”。文件所在文件夹的路径。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 `` 以及 `?` 字符。 “命令行文本”。用于运行文件的命令。 “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。 “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。 “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。 “文件校验和”。MD5 和 SHA256。您也可以手动选择文件，应用程序将自动填写所选文件中的字段。在 64 位操作系统中，您必须手动输入进程的 64 位版本可执行文件（`C:\windows\system32` 文件夹中）的参数，因为应用程序使用 32 位版本的相同可执行文件（`C:\windows\syswow64`）的属性中的数据填充可执行文件参数字段。例如，如果选择 `C:\windows\system32\cmd.exe`，则插件将显示 `C:\windows\syswow64\cmd.exe` 的参数。这种行为是由操作系统的特性决定的。用于以下事件类型 “文件修改”。 “网络事件”。 “进程: 控制台交互式输入”。 “模块已加载”。 “注册表已修改”。
排除的网络通信	“规则名称”。 “方向”。 “协议”。 “协议号”。 “本地端口或范围”。 “远程端口或范围”。 “本地地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。 “远程地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。 IP 地址仅支持 IPv4 格式。 “应用程序”。Kaspersky Endpoint Security 从网络流量中排除 EDR 遥测的应用程序的可执行文件列表。
排除的文件操作	“规则名称”。 “文件名或掩码”。文件或文件夹的名称或掩码；当访问此文件或文件夹时，Kaspersky Endpoint Security 将应用排除规则。输入掩码时，Kaspersky Endpoint Security 支持 * 字符和 ? 字符。 Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。规则触发标准 “进程详情”。 “完整路径”。文件的完整路径，包括其名称和扩展名。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 `` 以及 `?` 字符。 “命令行文本”。用于运行文件的命令。 “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。 “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。 “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。 “文件校验和”。MD5 和 SHA256。您也可以手动选择文件，应用程序将自动填写所选文件中的字段。 “父进程详细信息”。 “完整路径”。文件所在文件夹的路径。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 `` 以及 `?` 字符。 “命令行文本”。用于运行文件的命令。 “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。 “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。 “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。 “文件校验和”。MD5 和 SHA256。您也可以手动选择文件，应用程序将自动填写所选文件中的字段。在 64 位操作系统中，您必须手动输入进程的 64 位版本可执行文件（`C:\windows\system32` 文件夹中）的参数，因为应用程序使用 32 位版本的相同可执行文件（`C:\windows\syswow64`）的属性中的数据填充可执行文件参数字段。例如，如果选择 `C:\windows\system32\cmd.exe`，则插件将显示 `C:\windows\syswow64\cmd.exe` 的参数。这种行为是由操作系统的特性决定的。

参数

描述

排除的进程

“优化要发送的遥测大小”。Kaspersky Endpoint Security 允许优化传输的数据量并从遥测中排除具有某些代码的事件：Microsoft SMB 协议、WinRM 服务和网络代理 klnagent.exe 进程的代码 102（基本通信）和 8（进程的网络活动），以及有关所有类型网络协议的网络数据包类型的扩展信息。

Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。

规则触发标准

“进程详情”。
- “完整路径”。文件的完整路径，包括其名称和扩展名。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。
- “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件，应用程序将自动填写所选文件中的字段。
“父进程详细信息”。
- “完整路径”。文件所在文件夹的路径。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。
- “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件，应用程序将自动填写所选文件中的字段。

在 64 位操作系统中，您必须手动输入进程的 64 位版本可执行文件（C:\windows\system32 文件夹中）的参数，因为应用程序使用 32 位版本的相同可执行文件（C:\windows\syswow64）的属性中的数据填充可执行文件参数字段。例如，如果选择 C:\windows\system32\cmd.exe，则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。

用于以下事件类型

“文件修改”。
“网络事件”。
“进程: 控制台交互式输入”。
“模块已加载”。
“注册表已修改”。

排除的网络通信

“规则名称”。

“方向”。

“协议”。

“协议号”。

“本地端口或范围”。

“远程端口或范围”。

“本地地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。

“远程地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。

IP 地址仅支持 IPv4 格式。

“应用程序”。Kaspersky Endpoint Security 从网络流量中排除 EDR 遥测的应用程序的可执行文件列表。

排除的文件操作

“规则名称”。

“文件名或掩码”。文件或文件夹的名称或掩码；当访问此文件或文件夹时，Kaspersky Endpoint Security 将应用排除规则。输入掩码时，Kaspersky Endpoint Security 支持 * 字符和 ? 字符。

Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。

规则触发标准

“进程详情”。
- “完整路径”。文件的完整路径，包括其名称和扩展名。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。
- “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件，应用程序将自动填写所选文件中的字段。
“父进程详细信息”。
- “完整路径”。文件所在文件夹的路径。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。
- “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件，应用程序将自动填写所选文件中的字段。

页面顶部