EDR telemetri istisnaları

Destek

İş Çözümleri için Destek

Kaspersky Endpoint Security 12 for Windows

Detection and Response çözümleri

Kaspersky Anti Targeted Attack Platform (EDR)

EDR telemetri istisnaları

15 Nisan 2024

ID 270557

PDF olarak kaydet

Performansı artırmak ve Telemetri sunucusuna veri iletimini optimize etmek için EDR telemetri istisnalarını yapılandırabilirsiniz. Örneğin, bireysel uygulamalar için ağ iletişim verilerini göndermemeyi seçebilirsiniz.

Yönetim Konsolu'nda (MMC) bir EDR telemetri istisnası nasıl oluşturulur

Web Console'da ve Cloud Console'da bir EDR telemetri istisnası nasıl oluşturulur

EDR telemetri istisnaları parametreleri

Parametre	Açıklama
Hariç tutulan süreçler	Gönderilecek telemetri boyutunu optimize et. Kaspersky Endpoint Security, iletilen veri miktarını optimize etmeye ve telemetriden belirli kodlara sahip olayları hariç tutmaya olanak tanır: Microsoft SMB protokolü, WinRM hizmeti ve Ağ Aracısının klnagent.exe işlemi için kod 102 (temel iletişimler) ve 8 (işlemin ağ etkinliği) ve ayrıca her tür ağ protokolü için ağ paketi türleri hakkında genişletilmiş bilgiler. Kaspersky Endpoint Security, kural tetikleme kriterlerini mantıksal bir VE ile birleştirir. Kural tetikleme kriterleri Tam yol. Adı ve uzantısı dahil olmak üzere dosyanın tam yolu. Kaspersky Endpoint Security, bir maske girerken ortam değişkenlerini ve `*` ve `?` karakterlerini destekler. Komut satırı metni. Dosyayı çalıştırmak için kullanılan komut. Ana yol. Dosyanın bulunduğu klasörün yolu. Açıklama. RT_VERSION (VersionInfo) kaynağından alınan FileDescription parametresinin değeri. Orijinal dosya adı. RT_VERSION (VersionInfo) kaynağından alınan OriginalFilename parametresinin değeri. Sürüm. RT_VERSION (VersionInfo) kaynağından alınan FileVersion parametresinin değeri. Dosya sağlama toplamları. MD5 ve SHA256. Dosya özelliklerine göre doldurun. Uygulama, alanları seçilen dosyadaki bilgilerle otomatik olarak doldurur. 64 bit işletim sistemlerinde, uygulama yürütülebilir dosya parametre alanlarını `C:\windows\syswow64` klasöründeki aynı yürütülebilir dosyanın 32 bit sürümünün özelliklerinden gelen verilerle doldurduğundan, `C:\windows\system32` klasöründeki bir işlemin yürütülebilir dosyasının 64 bit sürümünün parametrelerini manuel olarak girmeniz gerekir. Örneğin, `C:\windows\system32\cmd.exe`'yi seçtiğinizde, eklenti `C:\windows\syswow64\cmd.exe` parametrelerini görüntüler. Bu tür davranışlar işletim sisteminin özellikleri tarafından belirlenir. Aşağıdaki etkinlik türleri için kullan Dosya değişikliği. Ağ olayları. İşlem: konsol etkileşimli girişi. Modül yüklendi. Kayıt defteri değiştirildi.
Hariç tutulan ağ iletişimleri	Kural adı. Yön. İletişim kuralı. Protokol numarası. Yerel port veya aralık. Uzak port veya aralık. Yerel adres. Kaspersky Endpoint Security'nin telemetriyi ağ trafiğinin dışında tuttuğu bilgisayarın ağ adresi. Uzak adres. Kaspersky Endpoint Security'nin telemetriyi ağ trafiğinin dışında tuttuğu bilgisayarın ağ adresi. IP adresleri için yalnızca IPv4 biçimi desteklenir. Uygulamalar. Kaspersky Endpoint Security'nin EDR telemetrisini ağ trafiğinin dışında bıraktığı uygulamaların yürütülebilir dosyalar listesi.
Hariç tutulan dosya işlemleri	Kural adı. Dosya adı ya da maskesi. Bir dosya veya klasörün adı ya da maskesi; Kaspersky Endpoint Security, bu dosya veya klasöre erişildiğinde istisna kuralını uygular. Kaspersky Endpoint Security, bir maske girerken * ve ? karakterlerini destekler. Kaspersky Endpoint Security, kural tetikleme kriterlerini mantıksal bir VE ile birleştirir. Kural tetikleme kriterleri Tam yol. Adı ve uzantısı dahil olmak üzere dosyanın tam yolu. Kaspersky Endpoint Security, bir maske girerken ortam değişkenlerini ve `*` ve `?` karakterlerini destekler. Komut satırı metni. Dosyayı çalıştırmak için kullanılan komut. Ana yol. Dosyanın bulunduğu klasörün yolu. Açıklama. RT_VERSION (VersionInfo) kaynağından alınan FileDescription parametresinin değeri. Orijinal dosya adı. RT_VERSION (VersionInfo) kaynağından alınan OriginalFilename parametresinin değeri. Sürüm. RT_VERSION (VersionInfo) kaynağından alınan FileVersion parametresinin değeri. Dosya sağlama toplamları. MD5 ve SHA256. Dosya özelliklerine göre doldurun. Uygulama, alanları seçilen dosyadaki bilgilerle otomatik olarak doldurur. 64 bit işletim sistemlerinde, uygulama yürütülebilir dosya parametre alanlarını `C:\windows\syswow64` klasöründeki aynı yürütülebilir dosyanın 32 bit sürümünün özelliklerinden gelen verilerle doldurduğundan, `C:\windows\system32` klasöründeki bir işlemin yürütülebilir dosyasının 64 bit sürümünün parametrelerini manuel olarak girmeniz gerekir. Örneğin, `C:\windows\system32\cmd.exe`'yi seçtiğinizde, eklenti `C:\windows\syswow64\cmd.exe` parametrelerini görüntüler. Bu tür davranışlar işletim sisteminin özellikleri tarafından belirlenir.

Parametre

Açıklama

Hariç tutulan süreçler

Gönderilecek telemetri boyutunu optimize et. Kaspersky Endpoint Security, iletilen veri miktarını optimize etmeye ve telemetriden belirli kodlara sahip olayları hariç tutmaya olanak tanır: Microsoft SMB protokolü, WinRM hizmeti ve Ağ Aracısının klnagent.exe işlemi için kod 102 (temel iletişimler) ve 8 (işlemin ağ etkinliği) ve ayrıca her tür ağ protokolü için ağ paketi türleri hakkında genişletilmiş bilgiler.

Kaspersky Endpoint Security, kural tetikleme kriterlerini mantıksal bir VE ile birleştirir.

Kural tetikleme kriterleri

Tam yol. Adı ve uzantısı dahil olmak üzere dosyanın tam yolu. Kaspersky Endpoint Security, bir maske girerken ortam değişkenlerini ve * ve ? karakterlerini destekler.
Komut satırı metni. Dosyayı çalıştırmak için kullanılan komut.
Ana yol. Dosyanın bulunduğu klasörün yolu.
Açıklama. RT_VERSION (VersionInfo) kaynağından alınan FileDescription parametresinin değeri.
Orijinal dosya adı. RT_VERSION (VersionInfo) kaynağından alınan OriginalFilename parametresinin değeri.
Sürüm. RT_VERSION (VersionInfo) kaynağından alınan FileVersion parametresinin değeri.
Dosya sağlama toplamları. MD5 ve SHA256.
Dosya özelliklerine göre doldurun. Uygulama, alanları seçilen dosyadaki bilgilerle otomatik olarak doldurur.

64 bit işletim sistemlerinde, uygulama yürütülebilir dosya parametre alanlarını C:\windows\syswow64 klasöründeki aynı yürütülebilir dosyanın 32 bit sürümünün özelliklerinden gelen verilerle doldurduğundan, C:\windows\system32 klasöründeki bir işlemin yürütülebilir dosyasının 64 bit sürümünün parametrelerini manuel olarak girmeniz gerekir. Örneğin, C:\windows\system32\cmd.exe'yi seçtiğinizde, eklenti C:\windows\syswow64\cmd.exe parametrelerini görüntüler. Bu tür davranışlar işletim sisteminin özellikleri tarafından belirlenir.

Aşağıdaki etkinlik türleri için kullan

Dosya değişikliği.
Ağ olayları.
İşlem: konsol etkileşimli girişi.
Modül yüklendi.
Kayıt defteri değiştirildi.

Hariç tutulan ağ iletişimleri

Kural adı.

Yön.

İletişim kuralı.

Protokol numarası.

Yerel port veya aralık.

Uzak port veya aralık.

Yerel adres. Kaspersky Endpoint Security'nin telemetriyi ağ trafiğinin dışında tuttuğu bilgisayarın ağ adresi.

Uzak adres. Kaspersky Endpoint Security'nin telemetriyi ağ trafiğinin dışında tuttuğu bilgisayarın ağ adresi.

IP adresleri için yalnızca IPv4 biçimi desteklenir.

Uygulamalar. Kaspersky Endpoint Security'nin EDR telemetrisini ağ trafiğinin dışında bıraktığı uygulamaların yürütülebilir dosyalar listesi.

Hariç tutulan dosya işlemleri

Kural adı.

Dosya adı ya da maskesi. Bir dosya veya klasörün adı ya da maskesi; Kaspersky Endpoint Security, bu dosya veya klasöre erişildiğinde istisna kuralını uygular. Kaspersky Endpoint Security, bir maske girerken * ve ? karakterlerini destekler.

Kaspersky Endpoint Security, kural tetikleme kriterlerini mantıksal bir VE ile birleştirir.

Kural tetikleme kriterleri

Tam yol. Adı ve uzantısı dahil olmak üzere dosyanın tam yolu. Kaspersky Endpoint Security, bir maske girerken ortam değişkenlerini ve * ve ? karakterlerini destekler.
Komut satırı metni. Dosyayı çalıştırmak için kullanılan komut.
Ana yol. Dosyanın bulunduğu klasörün yolu.
Açıklama. RT_VERSION (VersionInfo) kaynağından alınan FileDescription parametresinin değeri.
Orijinal dosya adı. RT_VERSION (VersionInfo) kaynağından alınan OriginalFilename parametresinin değeri.
Sürüm. RT_VERSION (VersionInfo) kaynağından alınan FileVersion parametresinin değeri.
Dosya sağlama toplamları. MD5 ve SHA256.
Dosya özelliklerine göre doldurun. Uygulama, alanları seçilen dosyadaki bilgilerle otomatik olarak doldurur.

Bu makaleyi faydalı buldunuz mu?

Neyi daha iyi yapabiliriz?

Geri bildiriminiz için teşekkür ederiz! Gelişmemize yardımcı oluyorsunuz.