Um die Leistung zu verbessern und die Datenübertragung an den Telemetrie-Server zu optimieren, können Sie Telemetrie-Ausnahmen konfigurieren. Sie können beispielsweise festlegen, dass für einzelne Anwendungen keine Netzwerkkommunikationsdaten gesendet werden.
Einstellung
|
Beschreibung
|
Ausgeschlossene Prozesse
|
Telemetriegröße zum Senden optimieren. Kaspersky Endpoint Security ermöglicht es, die Menge der übertragenen Daten zu optimieren und Ereignisse mit bestimmten Codes aus der Telemetrie auszuschließen: Code 102 (einfache Kommunikation) und 8 (Netzwerkaktivität des Prozesses) für das Microsoft SMB-Protokoll, den WinRM-Dienst und den Prozess klnagent.exe des Administrationsagenten sowie erweiterte Informationen über die Typen von Netzwerkpaketen für alle Typen von Netzwerkprotokollen.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Prozessdetails und Details des übergeordneten Prozesses.
- Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen
* und ? bei der Eingabe einer Maske. - Befehlszeilentext. Befehl zum Ausführen der Datei.
- Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
- Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
- Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
- Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.
Für die folgenden Ereignistypen verwenden
- Dateiänderung.
- Netzwerk-Ereignisse.
- Prozess: interaktive Konsoleneingabe.
- Modul geladen.
- Registrierung geändert.
- DNS-Protokolle.
- Prozesszugriff.
- Code-Injektion.
- WMI-Abfrage.
- Pipe.
- LDAP.
- AMSI.
|
Ausgeschlossene Netzwerkkommunikationen
|
Regelname.
Richtung.
Protokoll.
Raw-Socket.
Protokollnummer.
TLS-Zertifikat.
Lokaler Port oder Bereich.
Remote-Port oder -Bereich.
Lokale Adresse. Die Netzwerkadresse des Computers, für den Kaspersky Endpoint Security Telemetriedaten aus dem Netzwerkverkehr ausschließt.
Remote-Adresse. Die Netzwerkadresse des Computers, für den Kaspersky Endpoint Security Telemetriedaten aus dem Netzwerkverkehr ausschließt.
Für IP-Adressen wird nur das IPv4-Format unterstützt.
Programme. Liste der ausführbaren Dateien von Anwendungen, für die Kaspersky Endpoint Security die EDR-Telemetrie aus dem Netzwerkverkehr ausschließt.
|
Ausgeschlossene Vorgänge mit Dateien
|
Regelname.
Dateiname oder Maske. Name oder Maske einer Datei bzw. eines Ordners; Kaspersky Endpoint Security wendet die Ausnahmeregel an, wenn auf diese Datei oder diesen Ordner zugegriffen wird. Kaspersky Endpoint Security unterstützt die Zeichen * und ? bei der Eingabe einer Maske.
Vorgangstyp.
Vorheriger Pfad.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Prozessdetails und Details des übergeordneten Prozesses.
- Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen
* und ? bei der Eingabe einer Maske. - Befehlszeilentext. Befehl zum Ausführen der Datei.
- Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
- Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
- Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
- Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.
|
Ausgeschlossene DNS-Vorgänge
|
Regelname.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Prozessdetails und Details des übergeordneten Prozesses.
- Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen
* und ? bei der Eingabe einer Maske. - Befehlszeilentext. Befehl zum Ausführen der Datei.
- Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
- Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
- Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
- Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.
DNS.
- IP-Adresse des DNS-Servers.
- Abfrageoptionen.
- Status.
- Domänenname.
- ID des Einstellungstyps.
- Antwortdaten.
|
Ausgeschlossene LDAP-Vorgänge
|
Regelname.
LDAP-Suchbereich.
Filter.
Suche nach einem definierten Namen für die Suche nach LDAP-Vorgängen.
Objekt-Attribute.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Prozessdetails und Details des übergeordneten Prozesses.
- Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen
* und ? bei der Eingabe einer Maske. - Befehlszeilentext. Befehl zum Ausführen der Datei.
- Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
- Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
- Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
- Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.
|
Ausgeschlossene Prozesszugriffsabfragen
|
Regelname.
Vorgangstyp.
Zugriff auf den Prozess angefordert.
Aufruflistenüberwachung.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Prozessdetails, Details des übergeordneten Prozesses, Zielprozess, Datei eines Quellprozesses und Datei eines Zielprozesses.
- Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen
* und ? bei der Eingabe einer Maske. - Befehlszeilentext. Befehl zum Ausführen der Datei.
- Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
- Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
- Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
- Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.
|
Ausgeschlossene Code-Injektionen
|
Regelname.
Zugriffsmethode.
Aufrufliste.
Modifizierte Befehlszeile.
Injektionsadresse.
Eingefügter DLL-Name.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Prozessdetails und Details des übergeordneten Prozesses.
- Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen
* und ? bei der Eingabe einer Maske. - Befehlszeilentext. Befehl zum Ausführen der Datei.
- Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
- Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
- Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
- Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.
|
Ausgeschlossene WMI-Abfragen
|
Regelname.
WMI-Vorgangstyp.
Remote-Abfrage.
Name des Computers, der einen WMI-Befehl ausgeführt hat.
WMI-Benutzerkonto.
Ausgeführter WMI-Befehl.
WMI-Namensraum.
Filter des WMI Event Consumers.
Name des erstellten WMI Event Consumers.
Quellcode eines WMI Event Consumers.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Prozessdetails und Details des übergeordneten Prozesses.
- Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen
* und ? bei der Eingabe einer Maske. - Befehlszeilentext. Befehl zum Ausführen der Datei.
- Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
- Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
- Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
- Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.
|
Ausgeschlossene Pipe-Vorgänge
|
Regelname.
Pipe-Name.
Vorgangstyp.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Prozessdetails und Details des übergeordneten Prozesses.
- Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen
* und ? bei der Eingabe einer Maske. - Befehlszeilentext. Befehl zum Ausführen der Datei.
- Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
- Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
- Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
- Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.
|
Ausgeschlossene Registrierungsänderungen
|
Regelname.
Vorgangstyp.
Pfad.
Name des Wertes.
Wert.
Vollständiger Name einer Registrierungsdatei.
Kaspersky Endpoint Security kombiniert Kriterien für die Regelauslösung mit einem logischen UND.
Prozessdetails und Details des übergeordneten Prozesses.
- Vollständiger Pfad. Vollständiger Pfad der Datei, einschließlich Name und Erweiterung. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen
* und ? bei der Eingabe einer Maske. - Befehlszeilentext. Befehl zum Ausführen der Datei.
- Geben Sie Kriterien für die Regelauslösung an sowie die Ereignistypen, für die diese Regel verwendet wird. Wert des Parameters FileDescription aus einer RT_VERSION-Ressource (VersionInfo).
- Ursprünglicher Dateiname. Wert des Parameters OriginalFilename aus einer RT_VERSION-Ressource (VersionInfo).
- Version. Wert des Parameters FileVersion aus einer RT_VERSION-Ressource (VersionInfo).
- Dateiprüfsummen. MD5 und SHA256.
Sie können die Datei auch manuell auswählen. Dann werden die Felder für die ausgewählte Datei automatisch von der App ausgefüllt.
In 64-Bit-Betriebssystemen müssen Sie die Parameter der 64-Bit-Version der ausführbaren Datei eines Prozesses aus dem Ordner C:\windows\system32 manuell eingeben, da die App die Parameterfelder der ausführbaren Datei mit den Daten aus den Eigenschaften der 32-Bit-Version der gleichen ausführbaren Datei im Ordner C:\windows\syswow64 ausfüllt. Wenn Sie beispielsweise C:\windows\system32\cmd.exe auswählen, zeigt das Plug-in die Parameter von C:\windows\syswow64\cmd.exe an. Dieses Verhalten geht auf Besonderheiten des Betriebssystems zurück.
|