Telemetrie-uitzonderingen

Om de prestaties te verbeteren en de gegevensoverdracht naar de telemetrieserver te optimaliseren, kunt u uitzonderingen voor telemetrie configureren. U kunt er bijvoorbeeld voor kiezen om geen gegevens voor netwerkcommunicaties voor individuele programma's te verzenden.

Een telemetrie-uitzondering in de Beheerconsole (MMC) maken

Een telemetrie-uitzondering maken in de webconsole en de cloudconsole

Telemetrie-uitsluitings parameters

Parameter

Beschrijving

Uitgesloten processen

Formaat van telemetrie optimaliseren voor verzending. Met Kaspersky Endpoint Security kunt u de hoeveelheid verzonden gegevens optimaliseren en gebeurtenissen met bepaalde codes uitsluiten van telemetrie: code 102 (basiscommunicatie) en 8 (netwerkactiviteit van het proces) voor het Microsoft SMB-protocol, de WinRM-service en het klnagent.exe-proces van de Netwerkagent, evenals uitgebreide informatie over de soorten netwerkpakketten voor alle soorten netwerkprotocollen.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Process details en Parent process details:

  • Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
  • Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
  • Geef de criteria voor het activeren van regels op en de gebeurtenistypen waarvoor u deze regel wilt gebruiken. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
  • Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
  • Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
  • Bestands-controlesommen. MD5 en SHA256.

U kunt ook handmatig een bestand selecteren, waarna het programma automatisch de velden van het geselecteerde bestand invult.

In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map C:\windows\system32 handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map C:\windows\syswow64. Als u bijvoorbeeld C:\windows\system32\cmd.exe selecteert, geeft de plug-in de parameters van C:\windows\syswow64\cmd.exe weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

Gebruik voor de volgende gebeurtenistypen

  • Bestandswijziging.
  • Netwerk gebeurtenissen.
  • Proces: console interactieve invoer.
  • Module laden.
  • Register gewijzigd.
  • DNS-logboeken.
  • Procestoegang.
  • Code-injectie.
  • WMI-query.
  • Pipe.
  • LDAP.
  • AMSI.

Uitgesloten netwerkcommunicaties

Regelnaam.

Richting.

Protocol.

Raw socket.

Protocolnummer.

TLS-certificaat.

Lokale poort of bereik.

Externe poort of bereik.

Lokaal adres. Het netwerkadres van de computer waarvoor Kaspersky Endpoint Security telemetrie uitsluit van netwerkverkeer.

Extern adres. Het netwerkadres van de computer waarvoor Kaspersky Endpoint Security telemetrie uitsluit van netwerkverkeer.

Alleen het IPv4-formaat wordt ondersteund voor IP-adressen.

Programma's. Lijst met uitvoerbare bestanden van programma's waarvoor Kaspersky Endpoint Security EDR-telemetrie uitsluit van netwerkverkeer.

Uitgesloten bestandsbewerkingen

Regelnaam.

Bestandsnaam of masker. Naam of masker van een bestand of map; Kaspersky Endpoint Security past de uitzonderingsregel toe wanneer dit bestand of deze map wordt geopend. Kaspersky Endpoint Security biedt geen ondersteuning voor de tekens * en ? bij de invoer van een masker.

Bewerkingstype.

Vorig pad.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Process details en Parent process details:

  • Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
  • Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
  • Geef de criteria voor het activeren van regels op en de gebeurtenistypen waarvoor u deze regel wilt gebruiken. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
  • Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
  • Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
  • Bestands-controlesommen. MD5 en SHA256.

U kunt ook handmatig een bestand selecteren, waarna het programma automatisch de velden van het geselecteerde bestand invult.

In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map C:\windows\system32 handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map C:\windows\syswow64. Als u bijvoorbeeld C:\windows\system32\cmd.exe selecteert, geeft de plug-in de parameters van C:\windows\syswow64\cmd.exe weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

Uitgesloten DNS-bewerkingen

Regelnaam.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Process details en Parent process details:

  • Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
  • Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
  • Geef de criteria voor het activeren van regels op en de gebeurtenistypen waarvoor u deze regel wilt gebruiken. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
  • Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
  • Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
  • Bestands-controlesommen. MD5 en SHA256.

U kunt ook handmatig een bestand selecteren, waarna het programma automatisch de velden van het geselecteerde bestand invult.

In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map C:\windows\system32 handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map C:\windows\syswow64. Als u bijvoorbeeld C:\windows\system32\cmd.exe selecteert, geeft de plug-in de parameters van C:\windows\syswow64\cmd.exe weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

DNS

  • IP-adres DNS-server.
  • Query opties.
  • Status.
  • Domeinnaam.
  • Instellingen type ID.
  • Response data.

Uitgesloten LDAP-bewerkingen

Regelnaam.

LDAP Zoekbereik.

Filter.

Onderscheidende naam voor het zoeken naar LDAP-objecten.

Objectkenmerken.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Process details en Parent process details:

  • Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
  • Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
  • Geef de criteria voor het activeren van regels op en de gebeurtenistypen waarvoor u deze regel wilt gebruiken. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
  • Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
  • Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
  • Bestands-controlesommen. MD5 en SHA256.

U kunt ook handmatig een bestand selecteren, waarna het programma automatisch de velden van het geselecteerde bestand invult.

In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map C:\windows\system32 handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map C:\windows\syswow64. Als u bijvoorbeeld C:\windows\system32\cmd.exe selecteert, geeft de plug-in de parameters van C:\windows\syswow64\cmd.exe weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

Uitgesloten verzoeken voor procestoegang

Regelnaam.

Bewerkingstype.

Toegang tot het proces aangevraagd.

Stack trace oproepen.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Process details, Parent process details, Doelproces, Bestand van een bronproces en Bestand van een doelproces.

  • Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
  • Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
  • Geef de criteria voor het activeren van regels op en de gebeurtenistypen waarvoor u deze regel wilt gebruiken. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
  • Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
  • Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
  • Bestands-controlesommen. MD5 en SHA256.

U kunt ook handmatig een bestand selecteren, waarna het programma automatisch de velden van het geselecteerde bestand invult.

In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map C:\windows\system32 handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map C:\windows\syswow64. Als u bijvoorbeeld C:\windows\system32\cmd.exe selecteert, geeft de plug-in de parameters van C:\windows\syswow64\cmd.exe weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

Uitgesloten code-injecties

Regelnaam.

Toegangsmethode.

Stack oproepen.

Gewijzigde opdrachtregel.

Injectieadres.

Geïnjecteerde DLL-naam.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Process details en Parent process details:

  • Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
  • Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
  • Geef de criteria voor het activeren van regels op en de gebeurtenistypen waarvoor u deze regel wilt gebruiken. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
  • Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
  • Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
  • Bestands-controlesommen. MD5 en SHA256.

U kunt ook handmatig een bestand selecteren, waarna het programma automatisch de velden van het geselecteerde bestand invult.

In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map C:\windows\system32 handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map C:\windows\syswow64. Als u bijvoorbeeld C:\windows\system32\cmd.exe selecteert, geeft de plug-in de parameters van C:\windows\syswow64\cmd.exe weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

Uitgesloten WMI-verzoeken

Regelnaam.

WMI-bewerkingstype.

Query op afstand.

Naam van een computer die een WMI-opdracht heeft uitgevoerd.

WMI gebruikersaccount.

Uitgevoerd WMI-opdracht.

WMI-naamruimte.

WMI-gebeurtenis consumentfilter.

Naam van de gemaakte WMI-gebeurtenisconsument.

Broncode van een WMI-gebeurtenisconsument.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Process details en Parent process details:

  • Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
  • Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
  • Geef de criteria voor het activeren van regels op en de gebeurtenistypen waarvoor u deze regel wilt gebruiken. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
  • Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
  • Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
  • Bestands-controlesommen. MD5 en SHA256.

U kunt ook handmatig een bestand selecteren, waarna het programma automatisch de velden van het geselecteerde bestand invult.

In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map C:\windows\system32 handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map C:\windows\syswow64. Als u bijvoorbeeld C:\windows\system32\cmd.exe selecteert, geeft de plug-in de parameters van C:\windows\syswow64\cmd.exe weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

Uitgesloten pijpbewerkingen

Regelnaam.

Naam van pipe.

Bewerkingstype.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Process details en Parent process details:

  • Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
  • Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
  • Geef de criteria voor het activeren van regels op en de gebeurtenistypen waarvoor u deze regel wilt gebruiken. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
  • Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
  • Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
  • Bestands-controlesommen. MD5 en SHA256.

U kunt ook handmatig een bestand selecteren, waarna het programma automatisch de velden van het geselecteerde bestand invult.

In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map C:\windows\system32 handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map C:\windows\syswow64. Als u bijvoorbeeld C:\windows\system32\cmd.exe selecteert, geeft de plug-in de parameters van C:\windows\syswow64\cmd.exe weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

Registerwijzigingen uitsluiten

Regelnaam.

Bewerkingstype.

Pad.

Naam van waarde.

Waarde.

Volledige naam van een registerbestand.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Process details en Parent process details:

  • Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
  • Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
  • Geef de criteria voor het activeren van regels op en de gebeurtenistypen waarvoor u deze regel wilt gebruiken. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
  • Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
  • Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
  • Bestands-controlesommen. MD5 en SHA256.

U kunt ook handmatig een bestand selecteren, waarna het programma automatisch de velden van het geselecteerde bestand invult.

In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map C:\windows\system32 handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map C:\windows\syswow64. Als u bijvoorbeeld C:\windows\system32\cmd.exe selecteert, geeft de plug-in de parameters van C:\windows\syswow64\cmd.exe weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

In deze sectie

Voorbeeld 1. Uitgesloten processen

Voorbeeld 2. Uitgesloten netwerkcommunicaties

Voorbeeld 3. Uitgesloten bestandsbewerkingen

Voorbeeld 4. Uitgesloten registerwijzigingen
Naar boven