Exclusões de telemetria EDR

Apoio

Suporte técnico para soluções empresariais

Kaspersky Endpoint Security 12 for Windows

Soluções Detection and Response

Kaspersky Anti Targeted Attack Platform (EDR)

Exclusões de telemetria EDR

12 de abril de 2024

ID 270557

Guardar como PDF

Para melhorar o desempenho e otimizar a transmissão de dados para o servidor de Telemetria, pode configurar exclusões de telemetria EDR. Por exemplo, pode optar por não enviar dados de comunicações de rede para aplicações individuais.

Como criar uma exclusão de telemetria de EDR na Consola de Administração (MMC)

Como criar uma exclusão de telemetria de EDR na Web Console e na Cloud Console

Parâmetros de exclusões de telemetria de EDR

Parâmetro	Descrição
Processos excluídos	Otimizar o tamanho da telemetria a enviar. O Kaspersky Endpoint Security permite otimizar a quantidade de dados transmitidos e excluir eventos com determinados códigos da telemetria: código 102 (comunicações básicas) e 8 (atividade de rede do processo) para o protocolo Microsoft SMB, o serviço WinRM e o processo klnagent.exe do Agente de Rede, bem como informação alargada sobre os tipos de pacotes de rede para todos os tipos de protocolos de rede. O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico. Critérios de ativação da regra Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres `*` e `?` ao inserir uma máscara. Texto da linha de comandos. Comando utilizado para executar o ficheiro. Caminho principal. Caminho para a pasta onde o ficheiro está localizado. Descrição. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo). Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo). Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo). Somas de verificação de ficheiros. MD5 e SHA256. Preencher com base propriedades do ficheiro. A aplicação preenche automaticamente os campos com as informações do ficheiro selecionado. Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta `C:\windows\system32`, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta `C:\windows\syswow64`. Por exemplo, se selecionar `C:\windows\system32\cmd.exe`, o plug-in apresenta os parâmetros de `C:\windows\syswow64\cmd.exe`. Este comportamento é ditado por peculiaridades do sistema operativo. Utilizar para os seguintes tipos de eventos Modificação do ficheiro. Eventos de rede. Processo: entrada interativa na consola. Módulo carregado. Registo modificado.
Comunicações em rede excluídas	Nome da regra. Direção. Protocolo. Número do protocolo. Porta local ou intervalo. Porta remota ou intervalo. Endereço local. O endereço de rede do computador para o qual o Kaspersky Endpoint Security está a excluir a telemetria do tráfego de rede. Endereço remoto. O endereço de rede do computador para o qual o Kaspersky Endpoint Security está a excluir a telemetria do tráfego de rede. Apenas o formato IPv4 é suportado para endereços IP. Aplicações. Lista de ficheiros executáveis de aplicações para as quais o Kaspersky Endpoint Security está a excluir a telemetria EDR do tráfego de rede.
Operações de ficheiros excluídos	Nome da regra. Máscara ou nome de ficheiro. Nome ou máscara de um ficheiro ou pasta; o Kaspersky Endpoint Security aplica a regra de exclusão quando este ficheiro ou pasta é acedido. O Kaspersky Endpoint Security suporta os caracteres * e ? ao introduzir uma máscara. O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico. Critérios de ativação da regra Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres `*` e `?` ao inserir uma máscara. Texto da linha de comandos. Comando utilizado para executar o ficheiro. Caminho principal. Caminho para a pasta onde o ficheiro está localizado. Descrição. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo). Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo). Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo). Somas de verificação de ficheiros. MD5 e SHA256. Preencher com base propriedades do ficheiro. A aplicação preenche automaticamente os campos com as informações do ficheiro selecionado. Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta `C:\windows\system32`, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta `C:\windows\syswow64`. Por exemplo, se selecionar `C:\windows\system32\cmd.exe`, o plug-in apresenta os parâmetros de `C:\windows\syswow64\cmd.exe`. Este comportamento é ditado por peculiaridades do sistema operativo.

Parâmetro

Descrição

Processos excluídos

Otimizar o tamanho da telemetria a enviar. O Kaspersky Endpoint Security permite otimizar a quantidade de dados transmitidos e excluir eventos com determinados códigos da telemetria: código 102 (comunicações básicas) e 8 (atividade de rede do processo) para o protocolo Microsoft SMB, o serviço WinRM e o processo klnagent.exe do Agente de Rede, bem como informação alargada sobre os tipos de pacotes de rede para todos os tipos de protocolos de rede.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Critérios de ativação da regra

Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
Texto da linha de comandos. Comando utilizado para executar o ficheiro.
Caminho principal. Caminho para a pasta onde o ficheiro está localizado.
Descrição. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
Somas de verificação de ficheiros. MD5 e SHA256.
Preencher com base propriedades do ficheiro. A aplicação preenche automaticamente os campos com as informações do ficheiro selecionado.

Nos sistemas operativos de 64 bits, tem de introduzir manualmente os parâmetros da versão de 64 bits do ficheiro executável de um processo da pasta C:\windows\system32, porque a aplicação preenche os campos de parâmetros do ficheiro executável com dados das propriedades da versão de 32 bits do mesmo ficheiro executável na pasta C:\windows\syswow64. Por exemplo, se selecionar C:\windows\system32\cmd.exe, o plug-in apresenta os parâmetros de C:\windows\syswow64\cmd.exe. Este comportamento é ditado por peculiaridades do sistema operativo.

Utilizar para os seguintes tipos de eventos

Modificação do ficheiro.
Eventos de rede.
Processo: entrada interativa na consola.
Módulo carregado.
Registo modificado.

Comunicações em rede excluídas

Nome da regra.

Direção.

Protocolo.

Número do protocolo.

Porta local ou intervalo.

Porta remota ou intervalo.

Endereço local. O endereço de rede do computador para o qual o Kaspersky Endpoint Security está a excluir a telemetria do tráfego de rede.

Endereço remoto. O endereço de rede do computador para o qual o Kaspersky Endpoint Security está a excluir a telemetria do tráfego de rede.

Apenas o formato IPv4 é suportado para endereços IP.

Aplicações. Lista de ficheiros executáveis de aplicações para as quais o Kaspersky Endpoint Security está a excluir a telemetria EDR do tráfego de rede.

Operações de ficheiros excluídos

Nome da regra.

Máscara ou nome de ficheiro. Nome ou máscara de um ficheiro ou pasta; o Kaspersky Endpoint Security aplica a regra de exclusão quando este ficheiro ou pasta é acedido. O Kaspersky Endpoint Security suporta os caracteres * e ? ao introduzir uma máscara.

O Kaspersky Endpoint Security combina critérios de acionamento de regras com um AND (E) lógico.

Critérios de ativação da regra

Caminho completo. Caminho completo para o ficheiro, incluindo o seu nome e extensão. O Kaspersky Endpoint Security suporta variáveis de ambiente e os caracteres * e ? ao inserir uma máscara.
Texto da linha de comandos. Comando utilizado para executar o ficheiro.
Caminho principal. Caminho para a pasta onde o ficheiro está localizado.
Descrição. Valor do parâmetro FileDescription de um recurso RT_VERSION (VersionInfo).
Nome do ficheiro original. Valor do parâmetro OriginalFilename de um recurso RT_VERSION (VersionInfo).
Versão. Valor do parâmetro FileVersion de um recurso RT_VERSION (VersionInfo).
Somas de verificação de ficheiros. MD5 e SHA256.
Preencher com base propriedades do ficheiro. A aplicação preenche automaticamente os campos com as informações do ficheiro selecionado.

Achou este artigo útil?

O que podemos melhorar?

Agradecemos o seu comentário! Está a ajudar-nos a melhorar.