Excluderi telemetrie

Pentru a îmbunătăți performanța și a optimiza transmiterea datelor către serverul de telemetrie, poți configura excluderile de telemetrie. De exemplu, poți alege să nu trimiți date de comunicare în rețea pentru aplicații individuale.

Cum se creează o excludere de telemetrie în Consola de administrare (MMC)

Cum se creează o excludere de telemetrie în Web Console și Cloud Console

Parametri excluderi telemetrie

Parametru

Descriere

Procese excluse

Optimizează dimensiunea telemetriei de trimis. Kaspersky Endpoint Security permite optimizarea cantității de date trimise și excluderea evenimentelor cu anumite coduri din telemetrie: codul 102 (comunicații de bază) și 8 (activitatea de rețea a procesului) pentru protocolul Microsoft SMB, serviciul WinRM și procesul klnagent.exe a Agentului de rețea, precum și informații extinse despre tipurile de pachete de rețea pentru toate tipurile de protocoale de rețea.

Kaspersky Endpoint Security combină criteriile de declanșare a regulilor cu un AND logic.

Process details și Parent process details:

  • Cale completă. Calea completă către fișier, inclusiv numele și extensia acestuia. Kaspersky Endpoint Security acceptă variabilele de mediu și caracterele * și ? la introducerea unei măști.
  • Text linie de comandă. Comandă folosită pentru a executa fișierul.
  • Specifică criteriile de declanșare a regulii și tipurile de evenimente pentru care se utilizează această regulă. Valoarea parametrului FileDescription dintr-o resursă RT_VERSION (VersionInfo).
  • Nume original fișier. Valoarea parametrului OriginalFilename dintr-o resursă RT_VERSION (VersionInfo).
  • Versiune. Valoarea parametrului FileVersion dintr-o resursă RT_VERSION (VersionInfo).
  • Sume de control. MD5 și SHA256.

De asemenea, puteți selecta manual un fișier, iar aplicația va completa automat câmpurile din fișierul selectat.

În sistemele de operare pe 64 de biți, trebuie să introduci manual parametrii versiunii pe 64 de biți a fișierului executabil al unui proces din directorul C:\windows\system32 deoarece aplicația populează câmpurile parametrilor fișierului executabil cu date din proprietățile versiunii pe 32 de biți a aceluiași fișier executabil în directorul C:\windows\syswow64. De exemplu, dacă selectezi C:\windows\system32\cmd.exe, pluginul afișează parametrii pentru C:\windows\syswow64\cmd.exe. Un astfel de comportament este dictat de particularitățile sistemului de operare.

Utilizează pentru următoarele tipuri de evenimente:

  • Modifică fișier.
  • Evenimente de rețea.
  • Proces: introducere interactivă în consolă.
  • Modul încărcat.
  • Registry modificat.
  • Jurnalele DNS.
  • Acces proces.
  • Intruziune cod.
  • Interogarea WMI.
  • Canal.
  • LDAP.
  • AMSI.

Comunicații în rețea excluse

Nume regulă.

Direcție.

Protocol.

Soclu brut.

Număr protocol.

Certificat TLS.

Interval sau port local.

Interval sau port la distanță.

Adresă locală. Adresa de rețea a computerului pentru care Kaspersky Endpoint Security exclude telemetria din traficul de rețea.

Adresă la distanță. Adresa de rețea a computerului pentru care Kaspersky Endpoint Security exclude telemetria din traficul de rețea.

Numai formatul IPv4 este acceptat pentru adresele IP.

Aplicații. Lista fișierelor executabile ale aplicațiilor pentru care Kaspersky Endpoint Security exclude telemetria EDR din traficul de rețea.

Operații excluse pentru fișiere

Nume regulă.

Nume fișier sau mască. Numele sau masca unui fișier sau director; Kaspersky Endpoint Security aplică regula de excludere atunci când este accesat acest fișier sau director. Kaspersky Endpoint Security acceptă caracterele * și ? la introducerea unei măști.

Tipul operațiunii.

Calea anterioară.

Kaspersky Endpoint Security combină criteriile de declanșare a regulilor cu un AND logic.

Process details și Parent process details:

  • Cale completă. Calea completă către fișier, inclusiv numele și extensia acestuia. Kaspersky Endpoint Security acceptă variabilele de mediu și caracterele * și ? la introducerea unei măști.
  • Text linie de comandă. Comandă folosită pentru a executa fișierul.
  • Specifică criteriile de declanșare a regulii și tipurile de evenimente pentru care se utilizează această regulă. Valoarea parametrului FileDescription dintr-o resursă RT_VERSION (VersionInfo).
  • Nume original fișier. Valoarea parametrului OriginalFilename dintr-o resursă RT_VERSION (VersionInfo).
  • Versiune. Valoarea parametrului FileVersion dintr-o resursă RT_VERSION (VersionInfo).
  • Sume de control. MD5 și SHA256.

De asemenea, puteți selecta manual un fișier, iar aplicația va completa automat câmpurile din fișierul selectat.

În sistemele de operare pe 64 de biți, trebuie să introduci manual parametrii versiunii pe 64 de biți a fișierului executabil al unui proces din directorul C:\windows\system32 deoarece aplicația populează câmpurile parametrilor fișierului executabil cu date din proprietățile versiunii pe 32 de biți a aceluiași fișier executabil în directorul C:\windows\syswow64. De exemplu, dacă selectezi C:\windows\system32\cmd.exe, pluginul afișează parametrii pentru C:\windows\syswow64\cmd.exe. Un astfel de comportament este dictat de particularitățile sistemului de operare.

Operațiuni DNS excluse

Nume regulă.

Kaspersky Endpoint Security combină criteriile de declanșare a regulilor cu un AND logic.

Process details și Parent process details:

  • Cale completă. Calea completă către fișier, inclusiv numele și extensia acestuia. Kaspersky Endpoint Security acceptă variabilele de mediu și caracterele * și ? la introducerea unei măști.
  • Text linie de comandă. Comandă folosită pentru a executa fișierul.
  • Specifică criteriile de declanșare a regulii și tipurile de evenimente pentru care se utilizează această regulă. Valoarea parametrului FileDescription dintr-o resursă RT_VERSION (VersionInfo).
  • Nume original fișier. Valoarea parametrului OriginalFilename dintr-o resursă RT_VERSION (VersionInfo).
  • Versiune. Valoarea parametrului FileVersion dintr-o resursă RT_VERSION (VersionInfo).
  • Sume de control. MD5 și SHA256.

De asemenea, puteți selecta manual un fișier, iar aplicația va completa automat câmpurile din fișierul selectat.

În sistemele de operare pe 64 de biți, trebuie să introduci manual parametrii versiunii pe 64 de biți a fișierului executabil al unui proces din directorul C:\windows\system32 deoarece aplicația populează câmpurile parametrilor fișierului executabil cu date din proprietățile versiunii pe 32 de biți a aceluiași fișier executabil în directorul C:\windows\syswow64. De exemplu, dacă selectezi C:\windows\system32\cmd.exe, pluginul afișează parametrii pentru C:\windows\syswow64\cmd.exe. Un astfel de comportament este dictat de particularitățile sistemului de operare.

DNS:

  • Adresa IP a serverului DNS.
  • Opțiuni de interogare.
  • Stare.
  • Nume domeniu.
  • ID-ul tipului de setări.
  • Date răspuns.

Operațiuni LDAP excluse

Nume regulă.

Domeniu de căutare LDAP.

Filtru.

Nume distinctiv pentru căutarea obiectelor LDAP.

Atributele obiectului.

Kaspersky Endpoint Security combină criteriile de declanșare a regulilor cu un AND logic.

Process details și Parent process details:

  • Cale completă. Calea completă către fișier, inclusiv numele și extensia acestuia. Kaspersky Endpoint Security acceptă variabilele de mediu și caracterele * și ? la introducerea unei măști.
  • Text linie de comandă. Comandă folosită pentru a executa fișierul.
  • Specifică criteriile de declanșare a regulii și tipurile de evenimente pentru care se utilizează această regulă. Valoarea parametrului FileDescription dintr-o resursă RT_VERSION (VersionInfo).
  • Nume original fișier. Valoarea parametrului OriginalFilename dintr-o resursă RT_VERSION (VersionInfo).
  • Versiune. Valoarea parametrului FileVersion dintr-o resursă RT_VERSION (VersionInfo).
  • Sume de control. MD5 și SHA256.

De asemenea, puteți selecta manual un fișier, iar aplicația va completa automat câmpurile din fișierul selectat.

În sistemele de operare pe 64 de biți, trebuie să introduci manual parametrii versiunii pe 64 de biți a fișierului executabil al unui proces din directorul C:\windows\system32 deoarece aplicația populează câmpurile parametrilor fișierului executabil cu date din proprietățile versiunii pe 32 de biți a aceluiași fișier executabil în directorul C:\windows\syswow64. De exemplu, dacă selectezi C:\windows\system32\cmd.exe, pluginul afișează parametrii pentru C:\windows\syswow64\cmd.exe. Un astfel de comportament este dictat de particularitățile sistemului de operare.

Interogări de acces la procese excluse

Nume regulă.

Tipul operațiunii.

Accesul solicitat la proces.

Urma stivei de apelare.

Kaspersky Endpoint Security combină criteriile de declanșare a regulilor cu un AND logic.

Process details, Parent process details, Proces țintă, Fișierul unui proces sursă și Fișierul unui proces țintă.

  • Cale completă. Calea completă către fișier, inclusiv numele și extensia acestuia. Kaspersky Endpoint Security acceptă variabilele de mediu și caracterele * și ? la introducerea unei măști.
  • Text linie de comandă. Comandă folosită pentru a executa fișierul.
  • Specifică criteriile de declanșare a regulii și tipurile de evenimente pentru care se utilizează această regulă. Valoarea parametrului FileDescription dintr-o resursă RT_VERSION (VersionInfo).
  • Nume original fișier. Valoarea parametrului OriginalFilename dintr-o resursă RT_VERSION (VersionInfo).
  • Versiune. Valoarea parametrului FileVersion dintr-o resursă RT_VERSION (VersionInfo).
  • Sume de control. MD5 și SHA256.

De asemenea, puteți selecta manual un fișier, iar aplicația va completa automat câmpurile din fișierul selectat.

În sistemele de operare pe 64 de biți, trebuie să introduci manual parametrii versiunii pe 64 de biți a fișierului executabil al unui proces din directorul C:\windows\system32 deoarece aplicația populează câmpurile parametrilor fișierului executabil cu date din proprietățile versiunii pe 32 de biți a aceluiași fișier executabil în directorul C:\windows\syswow64. De exemplu, dacă selectezi C:\windows\system32\cmd.exe, pluginul afișează parametrii pentru C:\windows\syswow64\cmd.exe. Un astfel de comportament este dictat de particularitățile sistemului de operare.

Injectări de cod excluse

Nume regulă.

Metoda de acces.

Stiva de apeluri.

Linia de comandă modificată.

Adresa de injectare.

Numele DLL-ului injectat.

Kaspersky Endpoint Security combină criteriile de declanșare a regulilor cu un AND logic.

Process details și Parent process details:

  • Cale completă. Calea completă către fișier, inclusiv numele și extensia acestuia. Kaspersky Endpoint Security acceptă variabilele de mediu și caracterele * și ? la introducerea unei măști.
  • Text linie de comandă. Comandă folosită pentru a executa fișierul.
  • Specifică criteriile de declanșare a regulii și tipurile de evenimente pentru care se utilizează această regulă. Valoarea parametrului FileDescription dintr-o resursă RT_VERSION (VersionInfo).
  • Nume original fișier. Valoarea parametrului OriginalFilename dintr-o resursă RT_VERSION (VersionInfo).
  • Versiune. Valoarea parametrului FileVersion dintr-o resursă RT_VERSION (VersionInfo).
  • Sume de control. MD5 și SHA256.

De asemenea, puteți selecta manual un fișier, iar aplicația va completa automat câmpurile din fișierul selectat.

În sistemele de operare pe 64 de biți, trebuie să introduci manual parametrii versiunii pe 64 de biți a fișierului executabil al unui proces din directorul C:\windows\system32 deoarece aplicația populează câmpurile parametrilor fișierului executabil cu date din proprietățile versiunii pe 32 de biți a aceluiași fișier executabil în directorul C:\windows\syswow64. De exemplu, dacă selectezi C:\windows\system32\cmd.exe, pluginul afișează parametrii pentru C:\windows\syswow64\cmd.exe. Un astfel de comportament este dictat de particularitățile sistemului de operare.

Interogări WMI excluse

Nume regulă.

Tipul operațiunii WMI.

Interogarea la distanță.

Numele unui computer care a executat o comandă WMI.

Cont utilizator WMI.

Comanda WMI executată.

Nume spațiu WMI.

Filtrul consumatorului evenimentului WMI.

Numele consumatorului de evenimente WMI creat.

Codul sursă al unui consumator de evenimente WMI.

Kaspersky Endpoint Security combină criteriile de declanșare a regulilor cu un AND logic.

Process details și Parent process details:

  • Cale completă. Calea completă către fișier, inclusiv numele și extensia acestuia. Kaspersky Endpoint Security acceptă variabilele de mediu și caracterele * și ? la introducerea unei măști.
  • Text linie de comandă. Comandă folosită pentru a executa fișierul.
  • Specifică criteriile de declanșare a regulii și tipurile de evenimente pentru care se utilizează această regulă. Valoarea parametrului FileDescription dintr-o resursă RT_VERSION (VersionInfo).
  • Nume original fișier. Valoarea parametrului OriginalFilename dintr-o resursă RT_VERSION (VersionInfo).
  • Versiune. Valoarea parametrului FileVersion dintr-o resursă RT_VERSION (VersionInfo).
  • Sume de control. MD5 și SHA256.

De asemenea, puteți selecta manual un fișier, iar aplicația va completa automat câmpurile din fișierul selectat.

În sistemele de operare pe 64 de biți, trebuie să introduci manual parametrii versiunii pe 64 de biți a fișierului executabil al unui proces din directorul C:\windows\system32 deoarece aplicația populează câmpurile parametrilor fișierului executabil cu date din proprietățile versiunii pe 32 de biți a aceluiași fișier executabil în directorul C:\windows\syswow64. De exemplu, dacă selectezi C:\windows\system32\cmd.exe, pluginul afișează parametrii pentru C:\windows\syswow64\cmd.exe. Un astfel de comportament este dictat de particularitățile sistemului de operare.

Operațiuni canale excluse

Nume regulă.

Nume canal.

Tipul operațiunii.

Kaspersky Endpoint Security combină criteriile de declanșare a regulilor cu un AND logic.

Process details și Parent process details:

  • Cale completă. Calea completă către fișier, inclusiv numele și extensia acestuia. Kaspersky Endpoint Security acceptă variabilele de mediu și caracterele * și ? la introducerea unei măști.
  • Text linie de comandă. Comandă folosită pentru a executa fișierul.
  • Specifică criteriile de declanșare a regulii și tipurile de evenimente pentru care se utilizează această regulă. Valoarea parametrului FileDescription dintr-o resursă RT_VERSION (VersionInfo).
  • Nume original fișier. Valoarea parametrului OriginalFilename dintr-o resursă RT_VERSION (VersionInfo).
  • Versiune. Valoarea parametrului FileVersion dintr-o resursă RT_VERSION (VersionInfo).
  • Sume de control. MD5 și SHA256.

De asemenea, puteți selecta manual un fișier, iar aplicația va completa automat câmpurile din fișierul selectat.

În sistemele de operare pe 64 de biți, trebuie să introduci manual parametrii versiunii pe 64 de biți a fișierului executabil al unui proces din directorul C:\windows\system32 deoarece aplicația populează câmpurile parametrilor fișierului executabil cu date din proprietățile versiunii pe 32 de biți a aceluiași fișier executabil în directorul C:\windows\syswow64. De exemplu, dacă selectezi C:\windows\system32\cmd.exe, pluginul afișează parametrii pentru C:\windows\syswow64\cmd.exe. Un astfel de comportament este dictat de particularitățile sistemului de operare.

Modificări de registry excluse

Nume regulă.

Tipul operațiunii.

Cale.

Nume valoare.

Valoare.

Numele complet al unui fișier de registry.

Kaspersky Endpoint Security combină criteriile de declanșare a regulilor cu un AND logic.

Process details și Parent process details:

  • Cale completă. Calea completă către fișier, inclusiv numele și extensia acestuia. Kaspersky Endpoint Security acceptă variabilele de mediu și caracterele * și ? la introducerea unei măști.
  • Text linie de comandă. Comandă folosită pentru a executa fișierul.
  • Specifică criteriile de declanșare a regulii și tipurile de evenimente pentru care se utilizează această regulă. Valoarea parametrului FileDescription dintr-o resursă RT_VERSION (VersionInfo).
  • Nume original fișier. Valoarea parametrului OriginalFilename dintr-o resursă RT_VERSION (VersionInfo).
  • Versiune. Valoarea parametrului FileVersion dintr-o resursă RT_VERSION (VersionInfo).
  • Sume de control. MD5 și SHA256.

De asemenea, puteți selecta manual un fișier, iar aplicația va completa automat câmpurile din fișierul selectat.

În sistemele de operare pe 64 de biți, trebuie să introduci manual parametrii versiunii pe 64 de biți a fișierului executabil al unui proces din directorul C:\windows\system32 deoarece aplicația populează câmpurile parametrilor fișierului executabil cu date din proprietățile versiunii pe 32 de biți a aceluiași fișier executabil în directorul C:\windows\syswow64. De exemplu, dacă selectezi C:\windows\system32\cmd.exe, pluginul afișează parametrii pentru C:\windows\syswow64\cmd.exe. Un astfel de comportament este dictat de particularitățile sistemului de operare.

În această secțiune

Exemplul 1. Procese excluse

Exemplul 2. Comunicații în rețea excluse

Exemplul 3. Operațiunile cu fișiere excluse

Exemplul 4. Modificările de registry excluse
Începutul paginii