EDR 遙測排除項目

被排除的處理程序

最佳化要傳送的遙測資料大小Kaspersky Endpoint Security 允許最佳化被傳輸的資料量並從遙測中排除具有某些代碼的事件：Microsoft SMB 協定、WinRM 服務和網路代理的 klnagent.exe 處理程序的代碼 102（基本通訊）和 8（處理程序的網路活動），以及有關所有類型網路協定的網路套件類型的延伸資訊。

Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。

規則觸發標準

• 完全路徑文件的完整路徑，包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及*和?字元。
• 命令行文字用於執行檔案的命令。
• 父路徑檔案所在資料夾的路徑。
• 敘述來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
• 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
• 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
• 檔案總和檢查碼MD5 和 SHA256。
• 填充基於 檔案內容。應用程式會自動使用所选檔案中的資訊來填充欄位。

在 64 位元作業係統中，您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數，因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如，如果選擇 C:\windows\system32\cmd.exe，則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。

用於以下事件類型

• 檔案修改
• 網路事件
• 處理程序：主控台互動輸入
• 模組已載入
• 登錄檔已修改

被排除的網路通信

規則名稱

方向

協定

協定編號

本機連接埠或範圍

遠端連接埠或範圍

本機位址Kaspersky Endpoint Security 為其從網路流量中排除遙測的電腦的網路位址。

遠端位址Kaspersky Endpoint Security 為其從網路流量中排除遙測的電腦的網路位址。

IP 位址僅支援 IPv4 格式。

應用程式Kaspersky Endpoint Security 為其從網路流量中排除 EDR 遙測的應用程式的可执行檔清單。

被排除的檔案作業

規則名稱

檔案名稱或遮罩檔案或資料夾的名稱或遮罩；當此檔案或資料夾被存取時，Kaspersky Endpoint Security 将套用排除規則。Kaspersky Endpoint Security 在輸入遮罩時支援 * 和 ? 字元。

Kaspersky Endpoint Security 可將規則觸發條件與邏輯 AND 相結合。

規則觸發標準

• 完全路徑文件的完整路徑，包括其名稱和副檔名。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及*和?字元。
• 命令行文字用於執行檔案的命令。
• 父路徑檔案所在資料夾的路徑。
• 敘述來自 RT_VERSION (VersionInfo) 資源的 FileDescription 參數的值。
• 原始檔案名稱來自 RT_VERSION (VersionInfo) 資源的 OriginalFilename 參數的值。
• 版本來自 RT_VERSION (VersionInfo) 資源的 FileVersion 參數的值。
• 檔案總和檢查碼MD5 和 SHA256。
• 填充基於 檔案內容。應用程式會自動使用所选檔案中的資訊來填充欄位。

在 64 位元作業係統中，您必須從 C:\windows\system32 資料夾手動輸入處理程序的 64 位元版本可執行檔案的參數，因為應用程式使用 C:\windows\syswow64 資料夾中同一可执行檔的 32 位元 版本的屬性中的資料填充可執行檔參數欄位。例如，如果選擇 C:\windows\system32\cmd.exe，則外掛程式將顯示 C:\windows\syswow64\cmd.exe 的參數。這種行為是由作業係統的特性決定的。