Uitzonderingen voor EDR-telemtrie

Ondersteuning

Ondersteuning voor bedrijfsoplossingen

Kaspersky Endpoint Security 12 voor Windows

Detection and Response-oplossingen

Kaspersky Anti Targeted Attack Platform (EDR)

Uitzonderingen voor EDR-telemtrie

17 april 2024

ID 270557

Opslaan als PDF

Om de prestaties te verbeteren en de gegevensoverdracht naar de telemetrieserver te optimaliseren, kunt u uitzonderingen voor EDR-telemetrie configureren. U kunt er bijvoorbeeld voor kiezen om geen gegevens voor netwerkcommunicaties voor individuele programma's te verzenden.

Een uitzonderingen voor EDR-telemtrie maken in de Beheerconsole (MMC)

Een uitzonderingen voor EDR-telemtrie maken in de Webconsole en de Cloudconsole

Uitzonderingen voor EDR-telemetrie parameters

Parameter	Beschrijving
Uitgesloten processen	Formaat van telemetrie optimaliseren voor verzending. Met Kaspersky Endpoint Security kunt u de hoeveelheid verzonden gegevens optimaliseren en gebeurtenissen met bepaalde codes uitsluiten van telemetrie: code 102 (basiscommunicatie) en 8 (netwerkactiviteit van het proces) voor het Microsoft SMB-protocol, de WinRM-service en het klnagent.exe-proces van de Netwerkagent, evenals uitgebreide informatie over de soorten netwerkpakketten voor alle soorten netwerkprotocollen. Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN. Activeringscriteria van regel Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de `*` en `?`-tekens bij het invoeren van een masker. Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren. Bovenliggend pad. Pad naar de map waarin het bestand zich bevindt. Beschrijving. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo). Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo). Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo). Bestands-controlesommen. MD5 en SHA256. Invullen op basis van bestandseigenschappen. Het programma vult velden automatisch in met informatie uit het geselecteerde bestand. In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map `C:\windows\system32` handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map `C:\windows\syswow64`. Als u bijvoorbeeld `C:\windows\system32\cmd.exe` selecteert, geeft de plug-in de parameters van `C:\windows\syswow64\cmd.exe` weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem. Gebruik voor de volgende gebeurtenistypen Bestandswijziging. Netwerk gebeurtenissen. Proces: console interactieve invoer. Module laden. Register gewijzigd.
Uitgesloten netwerkcommunicaties	Regelnaam. Richting. Protocol. Protocolnummer. Lokale poort of bereik. Externe poort of bereik. Lokaal adres. Het netwerkadres van de computer waarvoor Kaspersky Endpoint Security telemetrie uitsluit van netwerkverkeer. Extern adres. Het netwerkadres van de computer waarvoor Kaspersky Endpoint Security telemetrie uitsluit van netwerkverkeer. Alleen het IPv4-formaat wordt ondersteund voor IP-adressen. Programma's. Lijst met uitvoerbare bestanden van programma's waarvoor Kaspersky Endpoint Security EDR-telemetrie uitsluit van netwerkverkeer.
Uitgesloten bestandsbewerkingen	Regelnaam. Bestandsnaam of masker. Naam of masker van een bestand of map; Kaspersky Endpoint Security past de uitzonderingsregel toe wanneer dit bestand of deze map wordt geopend. Kaspersky Endpoint Security biedt geen ondersteuning voor de tekens * en ? bij de invoer van een masker. Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN. Activeringscriteria van regel Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de `*` en `?`-tekens bij het invoeren van een masker. Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren. Bovenliggend pad. Pad naar de map waarin het bestand zich bevindt. Beschrijving. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo). Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo). Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo). Bestands-controlesommen. MD5 en SHA256. Invullen op basis van bestandseigenschappen. Het programma vult velden automatisch in met informatie uit het geselecteerde bestand. In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map `C:\windows\system32` handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map `C:\windows\syswow64`. Als u bijvoorbeeld `C:\windows\system32\cmd.exe` selecteert, geeft de plug-in de parameters van `C:\windows\syswow64\cmd.exe` weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

Parameter

Beschrijving

Uitgesloten processen

Formaat van telemetrie optimaliseren voor verzending. Met Kaspersky Endpoint Security kunt u de hoeveelheid verzonden gegevens optimaliseren en gebeurtenissen met bepaalde codes uitsluiten van telemetrie: code 102 (basiscommunicatie) en 8 (netwerkactiviteit van het proces) voor het Microsoft SMB-protocol, de WinRM-service en het klnagent.exe-proces van de Netwerkagent, evenals uitgebreide informatie over de soorten netwerkpakketten voor alle soorten netwerkprotocollen.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Activeringscriteria van regel

Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
Bovenliggend pad. Pad naar de map waarin het bestand zich bevindt.
Beschrijving. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
Bestands-controlesommen. MD5 en SHA256.
Invullen op basis van bestandseigenschappen. Het programma vult velden automatisch in met informatie uit het geselecteerde bestand.

In 64-bits besturingssystemen moet u de parameters van de 64-bits versie van het uitvoerbare bestand van een proces uit de map C:\windows\system32 handmatig invoeren, omdat het programma de parametervelden van het uitvoerbare bestand vult met gegevens uit de eigenschappen van de 32-bits versie van hetzelfde uitvoerbare bestand in de map C:\windows\syswow64. Als u bijvoorbeeld C:\windows\system32\cmd.exe selecteert, geeft de plug-in de parameters van C:\windows\syswow64\cmd.exe weer. Dergelijk gedrag wordt gedicteerd door eigenaardigheden van het besturingssysteem.

Gebruik voor de volgende gebeurtenistypen

Bestandswijziging.
Netwerk gebeurtenissen.
Proces: console interactieve invoer.
Module laden.
Register gewijzigd.

Uitgesloten netwerkcommunicaties

Regelnaam.

Richting.

Protocol.

Protocolnummer.

Lokale poort of bereik.

Externe poort of bereik.

Lokaal adres. Het netwerkadres van de computer waarvoor Kaspersky Endpoint Security telemetrie uitsluit van netwerkverkeer.

Extern adres. Het netwerkadres van de computer waarvoor Kaspersky Endpoint Security telemetrie uitsluit van netwerkverkeer.

Alleen het IPv4-formaat wordt ondersteund voor IP-adressen.

Programma's. Lijst met uitvoerbare bestanden van programma's waarvoor Kaspersky Endpoint Security EDR-telemetrie uitsluit van netwerkverkeer.

Uitgesloten bestandsbewerkingen

Regelnaam.

Bestandsnaam of masker. Naam of masker van een bestand of map; Kaspersky Endpoint Security past de uitzonderingsregel toe wanneer dit bestand of deze map wordt geopend. Kaspersky Endpoint Security biedt geen ondersteuning voor de tekens * en ? bij de invoer van een masker.

Kaspersky Endpoint Security combineert activeringscriteria van regel met een logische EN.

Activeringscriteria van regel

Volledig pad. Volledig pad naar het bestand inclusief de naam en extensie. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker.
Opdrachtregeltekst. Opdracht gebruikt om het bestand uit te voeren.
Bovenliggend pad. Pad naar de map waarin het bestand zich bevindt.
Beschrijving. Waarde van de parameter FileDescription van een RT_VERSION bron (VersionInfo).
Oorspronkelijke bestandsnaam. Waarde van de parameter OriginalFilename van een RT_VERSION bron (VersionInfo).
Versie. Waarde van de parameter FileVersion van een RT_VERSION bron (VersionInfo).
Bestands-controlesommen. MD5 en SHA256.
Invullen op basis van bestandseigenschappen. Het programma vult velden automatisch in met informatie uit het geselecteerde bestand.

Vond je dit artikel nuttig?

Wat kunnen we beter doen?

Bedankt voor je feedback! Je helpt ons verbeteren.