EDR 遙測排除項目

為了提高效能並最佳化到遙測伺服器的資料傳輸,您可以配置 EDR 遙測排除項目。例如,您可以選擇不傳送單個應用程式的網路通訊資料。

如何在管理主控台 (MMC) 中建立 EDR 排除項目

如何在網頁主控台和雲端主控台中建立 EDR 遙測排除項目

EDR 遙測排除項目參數

參數

描述

被排除的處理程序

最佳化要傳送的遙測資料大小Kaspersky Endpoint Security 允許最佳化被傳輸的資料量並從遙測中排除具有某些代碼的事件:Microsoft SMB 協定、WinRM 服務和網路代理的 klnagent.exe 處理程序的代碼 102(基本通訊)和 8(處理程序的網路活動),以及有關所有類型網路協定的網路套件類型的延伸資訊。

Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。

規則觸發標準

  • 處理程序詳情
    • 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及*?字元。
    • 命令行文字用於執行檔案的命令。
    • 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
    • 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
    • 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
    • 檔案總和檢查碼MD5 和 SHA256。

    您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。

  • 父級處理程序詳情
    • 完全路徑檔案所在資料夾的路徑。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及*?字元。
    • 命令行文字用於執行檔案的命令。
    • 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
    • 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
    • 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
    • 檔案總和檢查碼MD5 和 SHA256。

    您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。

在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。

用於以下事件類型

  • 檔案修改
  • 網路事件
  • 處理程序:主控台互動輸入
  • 模組已載入
  • 登錄檔已修改

被排除的網路通信

規則名稱

方向

協定

協定編號

本機連接埠或範圍

遠端連接埠或範圍

本機位址Kaspersky Endpoint Security 為其從網路流量中排除遙測的電腦的網路位址。

遠端位址Kaspersky Endpoint Security 為其從網路流量中排除遙測的電腦的網路位址。

IP 位址僅支援 IPv4 格式。

應用程式Kaspersky Endpoint Security 為其從網路流量中排除 EDR 遙測的應用程式的可执行檔清單。

被排除的檔案作業

規則名稱

檔案名稱或遮罩檔案或資料夾的名稱或遮罩;當此檔案或資料夾被存取時,Kaspersky Endpoint Security 将套用排除規則。Kaspersky Endpoint Security 在輸入遮罩時支援 * 和 ? 字元。

Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。

規則觸發標準

  • 處理程序詳情
    • 完全路徑文件的完整路徑,包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及*?字元。
    • 命令行文字用於執行檔案的命令。
    • 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
    • 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
    • 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
    • 檔案總和檢查碼MD5 和 SHA256。

    您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。

  • 父級處理程序詳情
    • 完全路徑檔案所在資料夾的路徑。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及*?字元。
    • 命令行文字用於執行檔案的命令。
    • 指定規則觸發條件和使用此規則的事件類型。來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
    • 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
    • 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
    • 檔案總和檢查碼MD5 和 SHA256。

    您也可以手動選擇檔案,應用程式將自動填寫所選檔案中的欄位。

在 64 位元作業係統中,您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數,因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如,如果選擇 C:\windows\system32\cmd.exe,則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。

頁面頂部