遥测排除项
要提高性能并优化到遥测服务器的数据传输,您可以配置遥测排除项。例如,您可以选择不发送单个应用程序的网络通信数据。
如何在管理控制台 (MMC) 中创建遥测排除项
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 常规设置 → 排除项和对象类型。
- 在“扫描排除项和受信任应用程序 → EDR 遥测”块中单击“设置”按钮。
- 在打开的窗口中,配置遥测排除项(见下表)。
- 保存更改。
如何在 Web Console 和云控制台中创建遥测排除项
- 在 Web Console 的主窗口中,选择“设备” → “策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 常规设置 → 排除项和检测对象类型。
- 在“扫描排除项和受信任应用程序”区域,单击“EDR 遥测排除项”链接。
- 在打开的窗口中,配置遥测排除项(见下表)。
- 保存更改。
遥测排除项参数
参数
|
描述
|
排除的进程
|
“优化要发送的遥测大小”。Kaspersky Endpoint Security 允许优化传输的数据量并从遥测中排除具有某些代码的事件:Microsoft SMB 协议、WinRM 服务和网络代理 klnagent.exe 进程的代码 102(基本通信)和 8(进程的网络活动),以及有关所有类型网络协议的网络数据包类型的扩展信息。
Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。
进程详情 和 父进程详细信息。
- “完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
* 以及 ? 字符。 - “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件,应用程序将自动填写所选文件中的字段。
在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果您选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。
用于以下事件类型
- “文件修改”。
- “网络事件”。
- “进程: 控制台交互式输入”。
- “模块已加载”。
- “注册表已修改”。
- “DNS 日志”。
- “进程访问”。
- “代码注入”。
- “WMI 查询”。
- “管道”。
- “LDAP”。
- “AMSI”。
|
排除的网络通信
|
“规则名称”。
“方向”。
“协议”。
“原始套接字”。
“协议号”。
“TLS 证书”。
“本地端口或范围”。
“远程端口或范围”。
“本地地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。
“远程地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。
IP 地址仅支持 IPv4 格式。
“应用程序”。Kaspersky Endpoint Security 从网络流量中排除 EDR 遥测的应用程序的可执行文件列表。
|
排除的文件操作
|
“规则名称”。
“文件名或掩码”。文件或文件夹的名称或掩码;当访问此文件或文件夹时,Kaspersky Endpoint Security 将应用排除规则。输入掩码时,Kaspersky Endpoint Security 支持 * 字符和 ? 字符。
“操作类型”。
“先前路径”。
Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。
进程详情 和 父进程详细信息。
- “完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
* 以及 ? 字符。 - “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件,应用程序将自动填写所选文件中的字段。
在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果您选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。
|
排除的 DNS 操作
|
“规则名称”。
Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。
进程详情 和 父进程详细信息。
- “完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
* 以及 ? 字符。 - “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件,应用程序将自动填写所选文件中的字段。
在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果您选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。
“DNS”。
- “DNS 服务器 IP 地址”。
- “查询选项”。
- “状态”。
- “域名”。
- “设置类型 ID”。
- “相应数据”。
|
排除的 LDAP 操作
|
“规则名称”。
“LDAP 搜索范围”。
“过滤器”。
“搜索 LDAP 操作搜索的可分辨名称”。
“对象属性”。
Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。
进程详情 和 父进程详细信息。
- “完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
* 以及 ? 字符。 - “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件,应用程序将自动填写所选文件中的字段。
在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果您选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。
|
排除的进程访问查询
|
“规则名称”。
“操作类型”。
“进程访问请求”。
“调用堆栈跟踪”。
Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。
进程详情、父进程详细信息、目标进程、源进程文件 和 目标进程文件。
- “完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
* 以及 ? 字符。 - “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件,应用程序将自动填写所选文件中的字段。
在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果您选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。
|
排除的代码注入
|
“规则名称”。
“访问方法”。
“调用堆栈”。
“修改的命令行”。
“注入地址”。
“注入的 DLL 名称”。
Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。
进程详情 和 父进程详细信息。
- “完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
* 以及 ? 字符。 - “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件,应用程序将自动填写所选文件中的字段。
在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果您选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。
|
排除的 WMI 查询
|
“规则名称”。
“WMI 操作类型”。
“远程查询”。
“执行 WMI 命令的计算机的名称”。
“WMI 用户账户”。
“执行的 WMI 命令”。
“WMI 名字空间”。
“WMI 事件使用者过滤器”。
“创建的 WMI 事件使用者的名称”。
“WMI 事件使用者源代码”。
Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。
进程详情 和 父进程详细信息。
- “完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
* 以及 ? 字符。 - “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件,应用程序将自动填写所选文件中的字段。
在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果您选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。
|
排除的管道操作
|
“规则名称”。
“管道名称”。
“操作类型”。
Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。
进程详情 和 父进程详细信息。
- “完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
* 以及 ? 字符。 - “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件,应用程序将自动填写所选文件中的字段。
在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果您选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。
|
被排除的注册表更改
|
“规则名称”。
“操作类型”。
“路径”。
“值名称”。
“值”。
“注册表文件全称”。
Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。
进程详情 和 父进程详细信息。
- “完整路径”。文件的完整路径,包括其名称和扩展名。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
* 以及 ? 字符。 - “命令行文本”。用于运行文件的命令。
- “指定规则触发条件和使用此规则的事件类型。”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
- “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
- “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
- “文件校验和”。MD5 和 SHA256。
您也可以手动选择文件,应用程序将自动填写所选文件中的字段。
在 64 位操作系统中,您必须手动输入进程的 64 位版本可执行文件(C:\windows\system32 文件夹中)的参数,因为应用程序使用 32 位版本的相同可执行文件(C:\windows\syswow64)的属性中的数据填充可执行文件参数字段。例如,如果您选择 C:\windows\system32\cmd.exe,则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。
|
页面顶部