除外されるプロセス

送信するテレメトリのサイズを最適化：Kaspersky Endpoint Security では、Microsoft SMB プロトコル、WinRM サービス、およびネットワークエージェントの klnagent.exe プロセスについて、データの送信量を最適化したり、コードが 102（基本的な通信）および 8（プロセスのネットワークアクティビティ）のイベントをテレメトリから除外できます。また、すべての種類のネットワークプロトコルについて、ネットワークパケットの種類に関する拡張情報を最適化できます。

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

プロセスの詳細および親プロセスの詳細

• 完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
• コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
• このルールを使用するルールの適用条件とイベント種別を指定してください。：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
• 元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
• バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
• ファイルのチェックサム：MD5 と SHA256。

ファイルを手動で選択することもできます。本製品は、選択したファイルからフィールドに自動で入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

次のイベント種別に使用する

• ファイルの変更
• ネットワークイベント
• プロセス：コンソールでの対話的入力
• モジュールの読み込み
• レジストリの変更
• DNS ログ
• プロセスへのアクセス
• コード埋め込み
• WMI クエリ
• パイプ
• LDAP
• AMSI

除外されるネットワークコミュニケーション

ルール名

通信方向

プロトコル

生ソケット

プロトコル番号

TLS 証明書

ローカルポートまたは範囲

リモートポートまたは範囲

ローカルアドレス：Kaspersky Endpoint Security がネットワークトラフィックからテレメトリを除外するコンピューターのネットワークアドレス。

リモートアドレス：Kaspersky Endpoint Security がネットワークトラフィックからテレメトリを除外するコンピューターのネットワークアドレス。

IP アドレスでは IPv4 形式のみがサポートされます。

アプリケーション：Kaspersky Endpoint Security がネットワークトラフィックから EDR テレメトリを除外しているアプリケーションの実行ファイルのリスト。

除外されるファイル操作

ルール名

ファイル名またはマスク：ファイルまたはフォルダーの名前またはマスク。Kaspersky Endpoint Security は、このファイルまたはフォルダーにアクセスがあると除外ルールを適用します。Kaspersky Endpoint Security はマスクの入力時の文字「*」および「?」 をサポートします。

動作種別

以前のパス

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

プロセスの詳細および親プロセスの詳細

• 完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
• コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
• このルールを使用するルールの適用条件とイベント種別を指定してください。：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
• 元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
• バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
• ファイルのチェックサム：MD5 と SHA256。

ファイルを手動で選択することもできます。本製品は、選択したファイルからフィールドに自動で入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

除外される DNS 操作

ルール名

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

プロセスの詳細および親プロセスの詳細

• 完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
• コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
• このルールを使用するルールの適用条件とイベント種別を指定してください。：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
• 元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
• バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
• ファイルのチェックサム：MD5 と SHA256。

ファイルを手動で選択することもできます。本製品は、選択したファイルからフィールドに自動で入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

DNS

• DNS サーバー IP アドレス
• クエリオプション
• ステータス
• ドメイン名
• 設定種別 ID
• 応答データ

除外される LDAP 操作

ルール名

LDAP 検索範囲

フィルター

LDAP 操作検索のための識別名の検索

オブジェクトの属性

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

プロセスの詳細および親プロセスの詳細

• 完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
• コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
• このルールを使用するルールの適用条件とイベント種別を指定してください。：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
• 元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
• バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
• ファイルのチェックサム：MD5 と SHA256。

ファイルを手動で選択することもできます。本製品は、選択したファイルからフィールドに自動で入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

除外されるプロセスのアクセスクエリ

ルール名

動作種別

要求されたプロセスへのアクセス

コールスタックトレース

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

プロセスの詳細、親プロセスの詳細、ターゲットプロセス、ソースプロセスのファイルおよびターゲットプロセスのファイル。

• 完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
• コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
• このルールを使用するルールの適用条件とイベント種別を指定してください。：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
• 元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
• バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
• ファイルのチェックサム：MD5 と SHA256。

ファイルを手動で選択することもできます。本製品は、選択したファイルからフィールドに自動で入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

除外されるコード埋め込み

ルール名

アクセス方法

コールスタック

変更されたコマンドライン

埋め込みアドレス

挿入された DLL 名

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

プロセスの詳細および親プロセスの詳細

• 完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
• コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
• このルールを使用するルールの適用条件とイベント種別を指定してください。：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
• 元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
• バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
• ファイルのチェックサム：MD5 と SHA256。

ファイルを手動で選択することもできます。本製品は、選択したファイルからフィールドに自動で入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

除外される WMI クエリ

ルール名

WMI 操作種別

リモートクエリ

WMI コマンドを実行したコンピューターの名前

WMI ユーザーアカウント

実行された WMI コマンド

WMI 名前空間

WMI イベントコンシューマーフィルター

作成した WMI イベントコンシューマーの名前

WMI イベントコンシューマーのソースコード

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

プロセスの詳細および親プロセスの詳細

• 完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
• コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
• このルールを使用するルールの適用条件とイベント種別を指定してください。：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
• 元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
• バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
• ファイルのチェックサム：MD5 と SHA256。

ファイルを手動で選択することもできます。本製品は、選択したファイルからフィールドに自動で入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

除外されるパイプ操作

ルール名

パイプの名前

動作種別

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

プロセスの詳細および親プロセスの詳細

• 完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
• コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
• このルールを使用するルールの適用条件とイベント種別を指定してください。：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
• 元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
• バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
• ファイルのチェックサム：MD5 と SHA256。

ファイルを手動で選択することもできます。本製品は、選択したファイルからフィールドに自動で入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

除外されるレジストリ変更

ルール名

動作種別

パス

値の名前

値

レジストリファイルの完全名

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

プロセスの詳細および親プロセスの詳細

• 完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
• コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
• このルールを使用するルールの適用条件とイベント種別を指定してください。：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
• 元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
• バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
• ファイルのチェックサム：MD5 と SHA256。

ファイルを手動で選択することもできます。本製品は、選択したファイルからフィールドに自動で入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。