EDR-telemetriai kizárások

Támogatás

Üzleti megoldások támogatása

Kaspersky Endpoint Security 12 for Windows

Detection and Response-megoldások

Kaspersky Anti Targeted Attack Platform (EDR)

EDR-telemetriai kizárások

2024. április 16.

ID 270557

Mentés PDF formátumban

A teljesítmény növelése és a Telemetria-kiszolgáló felé irányuló adatátvitel optimalizálása céljából konfigurálhatja az EDR-telemetria kizárásait. Dönthet például úgy, hogy az egyes alkalmazásokhoz nem küld hálózati kommunikációs adatokat.

EDR-telemetriai kizárások létrehozása az adminisztrációs konzolon (MMC)

EDR-telemetriai kizárások létrehozása a Web Console-ban és a Cloud Console-ban

EDR-telemetriai kizárás paraméterei

Paraméter	Leírás
Kizárt folyamatok	A küldendő telemetriai adatok méretének optimalizálása. A Kaspersky Endpoint Security lehetővé teszi a továbbított adatok mennyiségének optimalizálását és a bizonyos kódú események kizárását a telemetriából: 102-es kód (alapvető kommunikáció) és 8-as kód (a folyamat hálózati tevékenysége) a Microsoft SMB protokollhoz, a WinRM szolgáltatás és a Hálózati ügynök klnagent.exe folyamata, valamint részletes információk a hálózati csomagok típusáról minden típusú hálózati protokoll esetében. A Kaspersky Endpoint Security a szabálykiváltó feltételeket a logikai AND jelekkel kombinálja. Szabálykiváltási feltételek Teljes elérési út. A fájl teljes elérési útja, beleértve a nevét és kiterjesztését. A Kaspersky Endpoint Security támogatja a környezeti változókat, és a `*` és `?` karaktereket egy maszk megadásakor. Parancssori szöveg. A fájl futtatásához használt parancs. Szülő elérési útja. A fájl tartalmazó mappa elérési útja. Leírás. A FileDescription paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból. Eredeti fájlnév. Az OriginalFilename paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból. Verzió. A FileVersion paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból. Fájl ellenőrzőösszegei. MD5 és SHA256. Töltse ki a fájl tulajdonságai alapján. Az alkalmazás automatikusan feltölti a mezőket a kiválasztott fájlból származó információkkal. 64 bites operációs rendszereken manuálisan kell megadnia a `C:\windows\system32` mappában található folyamat végrehajtható fájljának 64 bites verziójához tartozó paramétereket, mivel az alkalmazás a végrehajtható fájl paramétermezőit a `C:\windows\syswow64` mappában található ugyanezen végrehajtható fájl 32 bites verziójának tulajdonságaiból származó adatokkal tölti ki. Ha például kiválasztja a `C:\windows\system32\cmd.exe` lehetőséget, a bővítmény megjeleníti a `C:\windows\syswow64\cmd.exe` paramétereit. Az ilyen viselkedést az operációs rendszer sajátosságai határozzák meg. A következő eseménytípusokhoz használja Fájlmódosítás. Hálózati események. Folyamat: konzolos interaktív bevitel. Modul betöltve. A rendszerleíró adatbázis módosult.
Kizárt hálózati kommunikáció	Szabály neve. Irány. Protokoll. Protokollszám. Helyi port vagy tartomány. Távoli port vagy tartomány. Helyi cím. Annak a számítógépnek a hálózati címe, amelynél a Kaspersky Endpoint Security kizárja a telemetriát a hálózati forgalomból. Távoli cím. Annak a számítógépnek a hálózati címe, amelynél a Kaspersky Endpoint Security kizárja a telemetriát a hálózati forgalomból. Az IP-címeknél csak az IPv4 formátum támogatott. Alkalmazások. Azon alkalmazások futtatható fájljainak listája, amelyeknél a Kaspersky Endpoint Security kizárja az EDR-telemetriát a hálózati forgalomból.
Kizárt fájlműveletek	Szabály neve. Fájlnév vagy maszk. Fájl vagy mappa neve vagy maszkja; a Kaspersky Endpoint Security alkalmazza a kizárási szabályt e fájl vagy mappa elérésekor. A Kaspersky Endpoint Security támogatja a * és ? karaktereket egy maszk megadásakor. A Kaspersky Endpoint Security a szabálykiváltó feltételeket a logikai AND jelekkel kombinálja. Szabálykiváltási feltételek Teljes elérési út. A fájl teljes elérési útja, beleértve a nevét és kiterjesztését. A Kaspersky Endpoint Security támogatja a környezeti változókat, és a `*` és `?` karaktereket egy maszk megadásakor. Parancssori szöveg. A fájl futtatásához használt parancs. Szülő elérési útja. A fájl tartalmazó mappa elérési útja. Leírás. A FileDescription paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból. Eredeti fájlnév. Az OriginalFilename paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból. Verzió. A FileVersion paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból. Fájl ellenőrzőösszegei. MD5 és SHA256. Töltse ki a fájl tulajdonságai alapján. Az alkalmazás automatikusan feltölti a mezőket a kiválasztott fájlból származó információkkal. 64 bites operációs rendszereken manuálisan kell megadnia a `C:\windows\system32` mappában található folyamat végrehajtható fájljának 64 bites verziójához tartozó paramétereket, mivel az alkalmazás a végrehajtható fájl paramétermezőit a `C:\windows\syswow64` mappában található ugyanezen végrehajtható fájl 32 bites verziójának tulajdonságaiból származó adatokkal tölti ki. Ha például kiválasztja a `C:\windows\system32\cmd.exe` lehetőséget, a bővítmény megjeleníti a `C:\windows\syswow64\cmd.exe` paramétereit. Az ilyen viselkedést az operációs rendszer sajátosságai határozzák meg.

Paraméter

Leírás

Kizárt folyamatok

A küldendő telemetriai adatok méretének optimalizálása. A Kaspersky Endpoint Security lehetővé teszi a továbbított adatok mennyiségének optimalizálását és a bizonyos kódú események kizárását a telemetriából: 102-es kód (alapvető kommunikáció) és 8-as kód (a folyamat hálózati tevékenysége) a Microsoft SMB protokollhoz, a WinRM szolgáltatás és a Hálózati ügynök klnagent.exe folyamata, valamint részletes információk a hálózati csomagok típusáról minden típusú hálózati protokoll esetében.

A Kaspersky Endpoint Security a szabálykiváltó feltételeket a logikai AND jelekkel kombinálja.

Szabálykiváltási feltételek

Teljes elérési út. A fájl teljes elérési útja, beleértve a nevét és kiterjesztését. A Kaspersky Endpoint Security támogatja a környezeti változókat, és a * és ? karaktereket egy maszk megadásakor.
Parancssori szöveg. A fájl futtatásához használt parancs.
Szülő elérési útja. A fájl tartalmazó mappa elérési útja.
Leírás. A FileDescription paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból.
Eredeti fájlnév. Az OriginalFilename paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból.
Verzió. A FileVersion paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból.
Fájl ellenőrzőösszegei. MD5 és SHA256.
Töltse ki a fájl tulajdonságai alapján. Az alkalmazás automatikusan feltölti a mezőket a kiválasztott fájlból származó információkkal.

64 bites operációs rendszereken manuálisan kell megadnia a C:\windows\system32 mappában található folyamat végrehajtható fájljának 64 bites verziójához tartozó paramétereket, mivel az alkalmazás a végrehajtható fájl paramétermezőit a C:\windows\syswow64 mappában található ugyanezen végrehajtható fájl 32 bites verziójának tulajdonságaiból származó adatokkal tölti ki. Ha például kiválasztja a C:\windows\system32\cmd.exe lehetőséget, a bővítmény megjeleníti a C:\windows\syswow64\cmd.exe paramétereit. Az ilyen viselkedést az operációs rendszer sajátosságai határozzák meg.

A következő eseménytípusokhoz használja

Fájlmódosítás.
Hálózati események.
Folyamat: konzolos interaktív bevitel.
Modul betöltve.
A rendszerleíró adatbázis módosult.

Kizárt hálózati kommunikáció

Szabály neve.

Irány.

Protokoll.

Protokollszám.

Helyi port vagy tartomány.

Távoli port vagy tartomány.

Helyi cím. Annak a számítógépnek a hálózati címe, amelynél a Kaspersky Endpoint Security kizárja a telemetriát a hálózati forgalomból.

Távoli cím. Annak a számítógépnek a hálózati címe, amelynél a Kaspersky Endpoint Security kizárja a telemetriát a hálózati forgalomból.

Az IP-címeknél csak az IPv4 formátum támogatott.

Alkalmazások. Azon alkalmazások futtatható fájljainak listája, amelyeknél a Kaspersky Endpoint Security kizárja az EDR-telemetriát a hálózati forgalomból.

Kizárt fájlműveletek

Szabály neve.

Fájlnév vagy maszk. Fájl vagy mappa neve vagy maszkja; a Kaspersky Endpoint Security alkalmazza a kizárási szabályt e fájl vagy mappa elérésekor. A Kaspersky Endpoint Security támogatja a * és ? karaktereket egy maszk megadásakor.

A Kaspersky Endpoint Security a szabálykiváltó feltételeket a logikai AND jelekkel kombinálja.

Szabálykiváltási feltételek

Teljes elérési út. A fájl teljes elérési útja, beleértve a nevét és kiterjesztését. A Kaspersky Endpoint Security támogatja a környezeti változókat, és a * és ? karaktereket egy maszk megadásakor.
Parancssori szöveg. A fájl futtatásához használt parancs.
Szülő elérési útja. A fájl tartalmazó mappa elérési útja.
Leírás. A FileDescription paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból.
Eredeti fájlnév. Az OriginalFilename paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból.
Verzió. A FileVersion paraméter értéke egy RT_VERSION (VersionInfo) erőforrásból.
Fájl ellenőrzőösszegei. MD5 és SHA256.
Töltse ki a fájl tulajdonságai alapján. Az alkalmazás automatikusan feltölti a mezőket a kiválasztott fájlból származó információkkal.

Hasznosnak találta ezt a cikket?

Min tudnánk javítani?

Köszönjük a visszajelzést! Segít nekünk a fejlesztésben.