Loại trừ đo lường từ xa EDR

Hỗ trợ

Hỗ trợ các Giải pháp doanh nghiệp

Kaspersky Endpoint Security 12 cho Windows

Các giải pháp Detection and Response

Kaspersky Anti Targeted Attack Platform (EDR)

Loại trừ đo lường từ xa EDR

17 Tháng Tư, 2024

ID 270557

Lưu thành PDF

Để nâng cao hiệu năng và tối ưu hóa việc truyền dữ liệu đến máy chủ Đo lường từ xa, bạn có thể cấu hình loại trừ đo lường từ xa EDR. Ví dụ: bạn có thể chọn không gửi dữ liệu giao tiếp mạng cho từng ứng dụng.

Cách tạo loại trừ đo lường từ xa EDR trong Bảng điều khiển quản trị (MMC)

Cách tạo loại trừ đo lường từ xa EDR trong Bảng điều khiển web và Bảng điều khiển đám mây

Các tham số loại trừ đo lường từ xa EDR

Tham số	Mô tả
Các tiến trình được loại trừ	Tối ưu hóa dung lượng đo từ xa để gửi. Kaspersky Endpoint Security cho phép tối ưu hóa lượng dữ liệu được truyền và loại trừ các sự kiện bằng một số mã nhất định khỏi dữ liệu đo lường từ xa: mã 102 (giao tiếp cơ bản) và 8 (hoạt động mạng của tiến trình) cho giao thức Microsoft SMB, dịch vụ WinRM và tiến trình klnagent.exe của Network Agent, cũng như thông tin mở rộng về các loại gói tin mạng cho tất cả các loại giao thức mạng. Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic. Tiêu chí kích hoạt quy tắc Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự `*` cùng `?` khi nhập tên đại diện. Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin. Đường dẫn cha. Đường dẫn đến thư mục chứa tập tin. Mô tả. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo). Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo). Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo). Giá trị tổng kiểm của tập tin. MD5 và SHA256. Điền dựa vào thuộc tính tập tin. Ứng dụng sẽ tự động điền các trường có thông tin từ tập tin đã chọn. Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục `C:\windows\system32` vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục `C:\windows\syswow64`. Ví dụ: nếu bạn chọn `C:\windows\system32\cmd.exe`, tiện ích sẽ hiển thị các tham số của `C:\windows\syswow64\cmd.exe`. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành. Sử dụng cho các loại sự kiện sau Sửa đổi tập tin. Sự kiện mạng. Tiến trình: đầu vào tương tác của bảng điều khiển. Đã tải mô-đun. Đã sửa đổi registry.
Các giao tiếp mạng được loại trừ	Tên quy tắc. Hướng. Giao thức. Số hiệu giao thức. Cổng hoặc dải cổng cục bộ. Cổng hoặc dải cổng từ xa. Địa chỉ nội bộ. Địa chỉ mạng của máy tính mà Kaspersky Endpoint Security đang loại trừ đo lường từ xa khỏi lưu lượng mạng. Địa chỉ điều khiển từ xa. Địa chỉ mạng của máy tính mà Kaspersky Endpoint Security đang loại trừ đo lường từ xa khỏi lưu lượng mạng. Chỉ hỗ trợ định dạng IPv4 cho địa chỉ IP. Ứng dụng. Danh sách các tập tin thực thi của ứng dụng mà Kaspersky Endpoint Security đang loại trừ đo lường từ xa EDR khỏi lưu lượng mạng.
Thao tác với tập tin được loại trừ	Tên quy tắc. Tên tập tin (hoặc tên đại diện). Tên hoặc tên đại diện của tập tin hoặc thư mục; Kaspersky Endpoint Security sẽ áp dụng quy tắc loại trừ khi tập tin hoặc thư mục này được truy cập. Kaspersky Endpoint Security hỗ trợ các ký tự * và ? khi nhập tên đại diện. Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic. Tiêu chí kích hoạt quy tắc Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự `*` cùng `?` khi nhập tên đại diện. Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin. Đường dẫn cha. Đường dẫn đến thư mục chứa tập tin. Mô tả. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo). Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo). Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo). Giá trị tổng kiểm của tập tin. MD5 và SHA256. Điền dựa vào thuộc tính tập tin. Ứng dụng sẽ tự động điền các trường có thông tin từ tập tin đã chọn. Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục `C:\windows\system32` vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục `C:\windows\syswow64`. Ví dụ: nếu bạn chọn `C:\windows\system32\cmd.exe`, tiện ích sẽ hiển thị các tham số của `C:\windows\syswow64\cmd.exe`. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.

Tham số

Mô tả

Các tiến trình được loại trừ

Tối ưu hóa dung lượng đo từ xa để gửi. Kaspersky Endpoint Security cho phép tối ưu hóa lượng dữ liệu được truyền và loại trừ các sự kiện bằng một số mã nhất định khỏi dữ liệu đo lường từ xa: mã 102 (giao tiếp cơ bản) và 8 (hoạt động mạng của tiến trình) cho giao thức Microsoft SMB, dịch vụ WinRM và tiến trình klnagent.exe của Network Agent, cũng như thông tin mở rộng về các loại gói tin mạng cho tất cả các loại giao thức mạng.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Tiêu chí kích hoạt quy tắc

Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
Đường dẫn cha. Đường dẫn đến thư mục chứa tập tin.
Mô tả. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
Giá trị tổng kiểm của tập tin. MD5 và SHA256.
Điền dựa vào thuộc tính tập tin. Ứng dụng sẽ tự động điền các trường có thông tin từ tập tin đã chọn.

Trong hệ điều hành 64 bit, bạn phải nhập thủ công tham số của phiên bản 64 bit của tập tin thực thi của một tiến trình từ thư mục C:\windows\system32 vì ứng dụng sẽ điền vào các trường tham số tập tin thực thi bằng dữ liệu từ các thuộc tính của phiên bản 32 bit của cùng một tập tin thực thi trong thư mục C:\windows\syswow64. Ví dụ: nếu bạn chọn C:\windows\system32\cmd.exe, tiện ích sẽ hiển thị các tham số của C:\windows\syswow64\cmd.exe. Hành vi như vậy được quyết định bởi đặc thù của hệ điều hành.

Sử dụng cho các loại sự kiện sau

Sửa đổi tập tin.
Sự kiện mạng.
Tiến trình: đầu vào tương tác của bảng điều khiển.
Đã tải mô-đun.
Đã sửa đổi registry.

Các giao tiếp mạng được loại trừ

Tên quy tắc.

Hướng.

Giao thức.

Số hiệu giao thức.

Cổng hoặc dải cổng cục bộ.

Cổng hoặc dải cổng từ xa.

Địa chỉ nội bộ. Địa chỉ mạng của máy tính mà Kaspersky Endpoint Security đang loại trừ đo lường từ xa khỏi lưu lượng mạng.

Địa chỉ điều khiển từ xa. Địa chỉ mạng của máy tính mà Kaspersky Endpoint Security đang loại trừ đo lường từ xa khỏi lưu lượng mạng.

Chỉ hỗ trợ định dạng IPv4 cho địa chỉ IP.

Ứng dụng. Danh sách các tập tin thực thi của ứng dụng mà Kaspersky Endpoint Security đang loại trừ đo lường từ xa EDR khỏi lưu lượng mạng.

Thao tác với tập tin được loại trừ

Tên quy tắc.

Tên tập tin (hoặc tên đại diện). Tên hoặc tên đại diện của tập tin hoặc thư mục; Kaspersky Endpoint Security sẽ áp dụng quy tắc loại trừ khi tập tin hoặc thư mục này được truy cập. Kaspersky Endpoint Security hỗ trợ các ký tự * và ? khi nhập tên đại diện.

Kaspersky Endpoint Security kết hợp các tiêu chí kích hoạt quy tắc với toán tử AND logic.

Tiêu chí kích hoạt quy tắc

Đường dẫn đầy đủ. Đường dẫn đầy đủ đến tập tin, bao gồm tên và phần mở rộng của tập tin. Kaspersky Endpoint Security hỗ trợ các biến môi trường và ký tự * cùng ? khi nhập tên đại diện.
Văn bản dòng lệnh. Lệnh được dùng để chạy tập tin.
Đường dẫn cha. Đường dẫn đến thư mục chứa tập tin.
Mô tả. Giá trị của tham số FileDescription từ tài nguyên RT_VERSION (VersionInfo).
Tên tập tin gốc. Giá trị của tham số OriginalFilename từ tài nguyên RT_VERSION (VersionInfo).
Phiên bản. Giá trị của tham số FileVersion từ tài nguyên RT_VERSION (VersionInfo).
Giá trị tổng kiểm của tập tin. MD5 và SHA256.
Điền dựa vào thuộc tính tập tin. Ứng dụng sẽ tự động điền các trường có thông tin từ tập tin đã chọn.

Bạn có thấy bài viết này hữu ích không?

Chúng tôi có thể cải thiện điều gì không?

Cảm ơn bạn đã gửi phản hồi! Bạn đang giúp chúng tôi cải tiến.