Исключения из EDR-телеметрии

Исключенные процессы

Оптимизировать объем отправляемой телеметрии. Kaspersky Endpoint Security позволяет оптимизировать объем отправляемых данных и исключить из телеметрии события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB, службы WinRM и процесса Агента администрирования klnagent.exe, а также расширенную информацию о типе сетевых пакетов для всех типов сетевых протоколов.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Критерии срабатывания

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Родительский путь. Путь до папки, в которой находится файл.
• Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.
• Заполнить на основе свойств файла. Приложение автоматически заполняет поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.

Использовать для следующих типов событий

• Изменение файла.
• Сетевые события.
• Интерактивный ввод команд в консоли.
• Модуль загружен.
• Изменение в реестре.

Исключенные сетевые коммуникации

Имя правила.

Направление.

Протокол.

Номер протокола.

Локальный порт или диапазон.

Удаленный порт или диапазон.

Локальный адрес. Сетевой адрес компьютера, для которого Kaspersky Endpoint Security исключает телеметрию из сетевого трафика.

Удаленный адрес. Сетевой адрес компьютера, для которого Kaspersky Endpoint Security исключает телеметрию из сетевого трафика.

Для IP-адресов поддерживается только формат IPv4.

Приложения. Список исполняемых файлов приложений, для которых Kaspersky Endpoint Security исключает EDR-телеметрию из сетевого трафика.

Исключенные операции с файлами

Имя правила.

Имя или маска файла. Имя или маска имени файла или папки, при доступе к которым Kaspersky Endpoint Security применяет правило исключения. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Критерии срабатывания

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Родительский путь. Путь до папки, в которой находится файл.
• Описание. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.
• Заполнить на основе свойств файла. Приложение автоматически заполняет поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.