Настройка параметров EDR-телеметрии

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

В этом разделе содержится информация о том, как настроить:

• Исключения

  Набор параметров, объединенных по правилу логического И, в соответствии с которыми Kaspersky Endpoint Agent не выполняет анализ и отправку EDR-телеметрии.

  Набор параметров, объединенных по правилу логического И, в соответствии с которыми Kaspersky Endpoint Agent не выполняет анализ и отправку EDR-телеметрии.

  Набор параметров, объединенных по правилу логического И, в соответствии с которыми Kaspersky Endpoint Agent не выполняет анализ и отправку EDR-телеметрии.

  EDR-
  телеметрии

  Данные, которые Kaspersky Endpoint Agent анализирует на защищаемом устройстве и отправляет на Сервер сбора телеметрии. Телеметрия представляет собой список событий, которые произошли на защищаемом устройстве.

  Данные, которые Kaspersky Endpoint Agent анализирует на защищаемом устройстве и отправляет на Сервер сбора телеметрии. Телеметрия представляет собой список событий, которые произошли на защищаемом устройстве.

  Данные, которые Kaspersky Endpoint Agent анализирует на защищаемом устройстве и отправляет на Сервер сбора телеметрии. Телеметрия представляет собой список событий, которые произошли на защищаемом устройстве.

  о процессах программ, которую Kaspersky Endpoint Agent обрабатывает и передает на сервер с компонентом KATA Central Node или Kaspersky Industrial CyberSecurity for Networks.
• Оптимизацию объема EDR-телеметриии, которую Kaspersky Endpoint Agent обрабатывает и передает на сервер с компонентом Kaspersky Industrial CyberSecurity for Networks.
• Исключения EDR-телеметрии о сетевых коммуникациях, которую Kaspersky Endpoint Agent обрабатывает и передает на сервер с компонентом Kaspersky Industrial CyberSecurity for Networks.

Включение и настройка исключений и оптимизации объема отправляемой EDR-телеметрии о процессах программ

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете настроить исключения и оптимизацию объема отправляемой EDR-телеметрии о процессах программ с помощью Консоли администрирования Kaspersky Security Center в свойствах отдельного устройства или и в свойствах политики для группы устройств.

Исключения отправляемой EDR-телеметрии о процессах программ доступны при интеграции Kaspersky Endpoint Agent с серверами с установленным KATA Central Node или Kaspersky Industrial CyberSecurity for Networks.

Kaspersky Endpoint Agent не анализирует и не передает на сервер с установленным KATA Central Node или Kaspersky Industrial CyberSecurity for Networks данные об исключенных процессах программ.

Управление (включение / выключение) оптимизацией объема отправляемой EDR-телеметрии о процессах программ доступно при интеграции Kaspersky Endpoint Agent с серверами с установленным Kaspersky Industrial CyberSecurity for Networks.

Если включена оптимизация объема отправляемой EDR-телеметрии, Kaspersky Endpoint Agent не отправляет события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и Агента администрирования klnagent.exe о процессах программ на сервер с установленным Kaspersky Industrial CyberSecurity for Networks.

Чтобы включить и настроить исключения и оптимизацию объема отправляемой EDR-телеметрии о процессах программ:

1. Выполните одно из следующих действий:
   • Откройте окно свойств программы для отдельного устройства.
     1. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входит нужное вам устройство.
     2. В рабочей области выберите закладку Устройства.
     3. Выберите устройство, для которого вы хотите настроить параметры Kaspersky Endpoint Agent.
     4. В контекстном меню устройства выберите пункт Свойства.

        Откроется окно свойств устройства.

     5. Выберите раздел Программы.

        В рабочей области окна отобразится список программ "Лаборатории Касперского", установленных на устройстве.

     6. Выберите программу Kaspersky Endpoint Agent и откройте окно ее свойств одним из следующих способов:
        • Двойным щелчком мыши по названию программы.
        • В контекстном меню программы выберите пункт Свойства.
        • Нажмите на кнопку Свойства под списком программ "Лаборатории Касперского".

   • Откройте окно свойств политики программы.
     1. Откройте Консоль администрирования Kaspersky Security Center.
     2. В дереве консоли откройте папку Политики.
     3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
        • Двойным щелчком мыши по названию политики.
        • В контекстном меню политики выберите пункт Свойства.
        • В правой части окна выберите пункт Настроить параметры политики.

2. Перейдите в раздел EDR-телеметрия → Исключенные процессы.
3. В блоке параметров Исключения включите параметр Использовать исключения, чтобы включить применение исключений для EDR-телеметрии.
4. Настройте оптимизацию объема отправляемой EDR-телеметрии:

   При интеграции Kaspersky Endpoint Agent с серверами с установленным KATA Central Node оптимизация объема отправляемой EDR-телеметрии должна быть всегда включена.

   • Выключите параметр Оптимизировать объем отправляемой телеметрии, если хотите, чтобы Kaspersky Endpoint Agent отправляла события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB, службы WinRM и процесса Агента администрирования klnagent.exe.
   • Включите параметр Оптимизировать объем отправляемой телеметрии, если хотите, чтобы Kaspersky Endpoint Agent не отправляла события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и Агента администрирования klnagent.exe.

   Если параметр Использовать исключения выключен, Kaspersky Endpoint Agent не отправляет события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и процесса Агента администрирования klnagent.exe вне зависимости от значения параметра Оптимизировать объем отправляемой телеметрии.

5. Создайте список исключений:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне Свойства правила настройте параметры исключения.

      Параметры исключения применяются по правилу логического И.

      Для создания исключения необходимо задать значение в поле Полный путь и выбрать хотя бы один из типов событий в списке Использовать это исключение для следующих типов событий.

      Если для критерия Использовать это исключение для следующих типов событий выбрано значение Сетевые события, в поле Полный путь необходимо указать полный путь к файлу.

      Объект, для которого вы создаете исключение, должен присутствовать на защищаемом устройстве в момент применения параметров исключения. Например, если вы сначала настроите исключение для определенного приложения, а потом установите это приложение на защищаемое устройство, такое исключение не будет применяться.

      1. В блоке Информация о процессе задайте значения в следующих полях:
         • Полный путь. Полный путь к файлу, включая его имя и расширение. Можно использовать маски файлов (с помощью символов ? и *), а также системные переменные окружения.
         • Текст командной строки. Командная строка для запуска объекта.
         • Родительский путь. Путь до папки, в которой находится файл.
      2. В блоке Свойства файла задайте значения в следующих полях:
         • Описание файла. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
         • Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
         • Версия файла. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
      3. В блоке Контрольные суммы файла задайте значения в следующих полях:
         • MD5. MD5-хеш файла.
         • SHA256. SHA256-хеш файла.
      4. В списке Использовать это исключение для следующих типов событий выберите как минимум одно из значений:
         • Изменение файла.
         • Сетевые события.
         • Интерактивный ввод в консоли.

           Этот тип события выбран по умолчанию.

         • Загрузка модуля процесса.
         • Изменения в реестре.
   3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Свойства правила.

      Новое исключение создано и отображается в списке.

   4. Если необходимо экспортировать список исключений в файл формата XML, нажмите на кнопку Экспорт.
   5. Если необходимо испортировть список исключений из файла формата XML, нажмите на кнопку Импорт.
   6. Если необходимо изменить исключение, выберите исключение и нажмите на кнопку Изменить.
   7. Если необходимо удалить исключение из списка, выберите исключение и нажмите на кнопку Удалить.
6. Если вы настраиваете параметры политики, убедитесь, что переключатель в правом верхнем углу блока параметров находится в активном положении. Переключатель находится в этом положении по умолчанию.
7. Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.

Включение и настройка исключений отправляемой EDR-телеметрии о сетевых коммуникациях

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете настроить исключения отправляемой EDR-телеметрии о сетевых коммуникациях с помощью Консоли администрирования Kaspersky Security Center в свойствах отдельного устройства или и в свойствах политики для группы устройств.

Исключения отправляемой EDR-телеметрии о сетевых коммуникациях применимы при интеграции Kaspersky Endpoint Agent с серверами с установленным Kaspersky Industrial CyberSecurity for Networks.

Kaspersky Endpoint Agent не анализирует и не передает на сервер с установленным KATA Central Node или Kaspersky Industrial CyberSecurity for Networks данные, подпадающие под параметры исключений.

Чтобы включить и настроить исключения отправляемой EDR-телеметрии о сетевых коммуникациях:

1. Выполните одно из следующих действий:
   • Откройте окно свойств программы для отдельного устройства.
     1. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входит нужное вам устройство.
     2. В рабочей области выберите закладку Устройства.
     3. Выберите устройство, для которого вы хотите настроить параметры Kaspersky Endpoint Agent.
     4. В контекстном меню устройства выберите пункт Свойства.

        Откроется окно свойств устройства.

     5. Выберите раздел Программы.

        В рабочей области окна отобразится список программ "Лаборатории Касперского", установленных на устройстве.

     6. Выберите программу Kaspersky Endpoint Agent и откройте окно ее свойств одним из следующих способов:
        • Двойным щелчком мыши по названию программы.
        • В контекстном меню программы выберите пункт Свойства.
        • Нажмите на кнопку Свойства под списком программ "Лаборатории Касперского".

   • Откройте окно свойств политики программы.
     1. Откройте Консоль администрирования Kaspersky Security Center.
     2. В дереве консоли откройте папку Политики.
     3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
        • Двойным щелчком мыши по названию политики.
        • В контекстном меню политики выберите пункт Свойства.
        • В правой части окна выберите пункт Настроить параметры политики.

2. Перейдите в раздел EDR-телеметрия → Исключенные сетевые коммуникации.
3. В блоке параметров Исключения включите параметр Использовать исключения, чтобы включить применение исключений для EDR-телеметрии.
4. Создайте список исключений:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне Свойства правила настройте параметры исключения.

      Параметры исключения применяются по правилу логического И.

      1. В поле Имя введите название исключения.
      2. В раскрывающемся списке Направление выберите направление сетевого трафика.
      3. В раскрывающемся списке Протокол выберите сетевой протокол передачи данных.
      4. Если вы выбрали пользовательский протокол, в поле Номер введите номер сетевого протокола.
      5. Установите флажок Локальный порт ИЛИ диапазон и введите номер порта или диапазон номеров.

         Для входящих подключений (в раскрывающемся списке Направление выбрано Входящее) введите порт или диапазон портов для локального устройства.

         Для исходящих подключений (в раскрывающемся списке Направление выбрано Исходящее) введите порт или диапазон портов для удаленного устройства.

         Для номера порта доступны значения 1–65535.

         Для диапазона портов доступны значения 1–10, 20–30000 и 1–65535.

         Ограничения:

         • Для сетевых подключений локального устройства с операционной системой Windows XP можно указать только один порт, поскольку в Windows XP не поддерживается диапазон портов.
         • Для сетевых подключений удаленного устройства с операционной системой Windows XP можно указать диапазон портов, но правило применяется только к первому порту заданного диапазона, поскольку в Windows XP не поддерживается диапазон портов.
      6. Установите флажок Удаленный порт ИЛИ диапазон и введите номер порта или диапазон номеров.

         Для входящих подключений (в раскрывающемся списке Направление выбрано Входящее) введите порт или диапазон портов для удаленного устройства.

         Для исходящих подключений (в раскрывающемся списке Направление выбрано Исходящее) введите порт или диапазон портов для локального устройства.

         Для номера порта доступны значения 1–65535.

         Для диапазона портов доступны значения 1–10, 20–30000 и 1–65535.

         Ограничения:

         • Для сетевых подключений локального устройства с операционной системой Windows XP можно указать только один порт, поскольку в Windows XP не поддерживается диапазон портов.
         • Для сетевых подключений удаленного устройства с операционной системой Windows XP можно указать диапазон портов, но правило применяется только к первому порту заданного диапазона, поскольку в Windows XP не поддерживается диапазон портов.
      7. Установите флажок Локальный адрес и введите сетевой адрес устройства, для которого Kaspersky Endpoint Agent не будет анализировать и передавать EDR-телеметрию сетевого трафика в соответствии с параметрами исключения.

         Для входящих подключений (в раскрывающемся списке Направление выбрано Входящее) введите сетевой адрес для локального устройства.

         Для исходящих подключений (в раскрывающемся списке Направление выбрано Исходящее) введите сетевой адрес для удаленного устройства.

         Для IP-адресов поддерживается только формат IPv4.

      8. Установите флажок Удаленный адрес и введите сетевой адрес устройства, для которого Kaspersky Endpoint Agent не будет анализировать и передавать EDR-телеметрию сетевого трафика в соответствии с параметрами исключения.

         Для входящих подключений (в раскрывающемся списке Направление выбрано Входящее) введите сетевой адрес для удаленного устройства.

         Для исходящих подключений (в раскрывающемся списке Направление выбрано Исходящее) введите сетевой адрес для локального устройства.

         Для IP-адресов поддерживается только формат IPv4.

      9. Сформируйте список программ, для которых Kaspersky Endpoint Agent не будет анализировать и передавать EDR-телеметрию сетевого трафика в соответствии с параметрами исключения.
         1. Установите флажок Программы.
         2. В поле ниже укажите путь к исполняемому файлу программы, которую вы хотите добавить в список. Вы можете ввести путь вручную или с помощью кнопки Обзор.
         3. Нажмите на кнопку Добавить.
         4. Повторите пункты 2 и 3 инструкции для каждой программы, которую вы хотите добавить в список.
         5. Если необходимо удалить програму из списка:
            1. Выделите программу в списке.
            2. Нажмите на кнопку Удалить.
      10. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Свойства правила.

          Новое исключение создано и отображается в списке.

   3. Если необходимо изменить исключение, выберите исключение и нажмите на кнопку Изменить.
   4. Если необходимо удалить исключение, выберите исключение и нажмите на кнопку Удалить.
5. Если вы настраиваете параметры политики, убедитесь, что положение переключателя в правом верхнем углу блока параметров находится в активном положении. Переключатель находится в этом положении по умолчанию.
6. Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.