Настройка параметров EDR-телеметрии

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

В этом разделе содержится информация о том, как настроить:

• Исключения

  Набор параметров, объединенных по правилу логического И, в соответствии с которыми Kaspersky Endpoint Agent не выполняет анализ и отправку EDR-телеметрии.

  Набор параметров, объединенных по правилу логического И, в соответствии с которыми Kaspersky Endpoint Agent не выполняет анализ и отправку EDR-телеметрии.

  Набор параметров, объединенных по правилу логического И, в соответствии с которыми Kaspersky Endpoint Agent не выполняет анализ и отправку EDR-телеметрии.

  EDR-
  телеметрии

  Данные, которые Kaspersky Endpoint Agent анализирует на защищаемом устройстве и отправляет на Сервер сбора телеметрии. Телеметрия представляет собой список событий, которые произошли на защищаемом устройстве.

  Данные, которые Kaspersky Endpoint Agent анализирует на защищаемом устройстве и отправляет на Сервер сбора телеметрии. Телеметрия представляет собой список событий, которые произошли на защищаемом устройстве.

  о процессах программ, которую Kaspersky Endpoint Agent обрабатывает и передает на сервер с компонентом KATA Central Node или Kaspersky Industrial CyberSecurity for Networks.
• Оптимизацию объема EDR-телеметриии, которую Kaspersky Endpoint Agent обрабатывает и передает на сервер с компонентом Kaspersky Industrial CyberSecurity for Networks.
• Исключения EDR-телеметрии о сетевых коммуникациях, которую Kaspersky Endpoint Agent обрабатывает и передает на сервер с компонентом Kaspersky Industrial CyberSecurity for Networks.

Включение и настройка исключений и оптимизации объема отправляемой EDR-телеметрии о процессах программ

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете включить и настроить исключения и оптимизацию объема отправляемой EDR-телеметрии о процессах программ с помощью Kaspersky Security Center Web Console в свойствах отдельного устройства или и в свойствах политики для группы устройств.

Исключения отправляемой EDR-телеметрии о процессах программ доступны при интеграции Kaspersky Endpoint Agent с серверами с установленным KATA Central Node или Kaspersky Industrial CyberSecurity for Networks.

Kaspersky Endpoint Agent не анализирует и не передает на сервер с установленным KATA Central Node или Kaspersky Industrial CyberSecurity for Networks данные об исключенных процессах программ.

Управление (включение / выключение) оптимизацией объема отправляемой EDR-телеметрии о процессах программ доступно при интеграции Kaspersky Endpoint Agent с серверами с установленным Kaspersky Industrial CyberSecurity for Networks.

Если включена оптимизация объема отправляемой EDR-телеметрии, Kaspersky Endpoint Agent не отправляет события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и Агента администрирования klnagent.exe о процессах программ на сервер с установленным KATA Central Node или Kaspersky Industrial CyberSecurity for Networks.

Чтобы включить и настроить исключения и оптимизацию объема отправляемой EDR-телеметрии о процессах программ:

1. Выполните одно из следующих действий:
   • Откройте окно свойств программы для отдельного устройства.
     1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Управляемые устройства.
     2. Выберите устройство.
     3. В открывшемся окне <Имя устройства> выберите закладку Программы.
     4. Выберите Kaspersky Endpoint Agent.
     5. В открывшемся окне выберите закладку Параметры программы.
   • Откройте окно свойств политики программы.
     1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Политики и профили политик.
     2. Выберите политику, которую вы хотите настроить.
     3. В открывшемся окне <Имя политики> выберите закладку Параметры программы.
2. В разделе EDR-телеметрия выберите Исключенные процессы.

   Откроется окно Исключенные процессы.

3. В блоке параметров Исключения включите параметр Использовать исключения, чтобы включить применение исключений для EDR-телеметрии.
4. Настройте оптимизацию объема отправляемой EDR-телеметрии:

   При интеграции Kaspersky Endpoint Agent с серверами с установленным KATA Central Node оптимизация объема отправляемой EDR-телеметрии должна быть всегда включена.

   • Выключите параметр Оптимизировать объем отправляемой телеметрии, если хотите, чтобы Kaspersky Endpoint Agent отправляла события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB, службы WinRM и процесса Агента администрирования klnagent.exe.
   • Включите параметр Оптимизировать объем отправляемой телеметрии, если хотите, чтобы Kaspersky Endpoint Agent не отправляла события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и Агента администрирования klnagent.exe.

   Если параметр Использовать исключения выключен, Kaspersky Endpoint Agent не отправляет события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB и процесса Агента администрирования klnagent.exe вне зависимости от значения параметра Оптимизировать объем отправляемой телеметрии.

5. Создайте список исключений:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне Свойства правила настройте параметры исключения.

      Параметры исключения применяются по правилу логического И.

      Для создания исключения необходимо задать значение в поле Полный путь и выбрать хотя бы один из типов событий в списке Использовать это исключение для следующих типов событий.

      Если для критерия Использовать это исключение для следующих типов событий выбрано значение Сетевые события, в поле Полный путь необходимо указать полный путь к файлу.

      Объект, для которого вы создаете исключение, должен присутствовать на защищаемом устройстве в момент применения параметров исключения. Например, если вы сначала настроите исключение для определенного приложения, а потом установите это приложение на защищаемое устройство, такое исключение не будет применяться.

      1. В блоке Информация о процессе задайте значения в следующих полях:
         • Полный путь. Полный путь к файлу, включая его имя и расширение. Можно использовать маски файлов (с помощью символов ? и *), а также системные переменные окружения.
         • Текст командной строки. Командная строка для запуска объекта.
         • Родительский путь. Путь до папки, в которой находится файл.
      2. В блоке Свойства файла задайте значения в следующих полях:
         • Описание файла. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
         • Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
         • Версия файла. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
      3. В блоке Контрольные суммы файла задайте значения в следующих полях:
         • MD5. MD5-хеш файла.
         • SHA256. SHA256-хеш файла.
      4. В списке Использовать это исключение для следующих типов событий выберите как минимум одно из значений:
         • Изменение файла.
         • Сетевые события.
         • Интерактивный ввод в консоли.

           Этот тип события выбран по умолчанию.

         • Загрузка модуля процесса.
         • Изменения в реестре.
   3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Свойства правила.

      Новое исключение создано и отображается в списке.

   4. Если необходимо экспортировать список исключений в файл формата XML, нажмите на кнопку Экспорт.
   5. Если необходимо испортировть список исключений из файла формата XML, нажмите на кнопку Импорт.
   6. Если необходимо изменить исключение, выберите исключение и нажмите на кнопку Изменить.
   7. Если необходимо удалить исключение из списка, выберите исключение и нажмите на кнопку Удалить.
6. Если вы настраиваете параметры политики, убедитесь, что переключатель в правом верхнем углу блока параметров находится в активном положении. Переключатель находится в этом положении по умолчанию.
7. Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.

Включение и настройка исключений отправляемой EDR-телеметрии о сетевых коммуникациях

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете настроить исключения отправляемой EDR-телеметрии о сетевых коммуникациях с помощью Kaspersky Security Center Web Console в свойствах отдельного устройства или и в свойствах политики для группы устройств.

Исключения отправляемой EDR-телеметрии о сетевых коммуникациях применимы при интеграции Kaspersky Endpoint Agent с серверами с установленным Kaspersky Industrial CyberSecurity for Networks.

Kaspersky Endpoint Agent не анализирует и не передает на сервер с установленным KATA Central Node или Kaspersky Industrial CyberSecurity for Networks данные, подпадающие под параметры исключений.

Чтобы включить и настроить исключения отправляемой EDR-телеметрии о сетевых коммуникациях:

1. Выполните одно из следующих действий:
   • Откройте окно свойств программы для отдельного устройства.
     1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Управляемые устройства.
     2. Выберите устройство.
     3. В открывшемся окне <Имя устройства> выберите закладку Программы.
     4. Выберите Kaspersky Endpoint Agent.
     5. В открывшемся окне выберите закладку Параметры программы.
   • Откройте окно свойств политики программы.
     1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Политики и профили политик.
     2. Выберите политику, которую вы хотите настроить.
     3. В открывшемся окне <Имя политики> выберите закладку Параметры программы.
2. В разделе EDR-телеметрия выберите Исключенные сетевые коммуникации.

   Откроется окно Исключенные сетевые коммуникации процессы.

3. В блоке параметров Исключения включите параметр Использовать исключения, чтобы включить применение исключений для EDR-телеметрии.
4. Создайте список исключений:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне Свойства правила настройте параметры исключения.

      Параметры исключения применяются по правилу логического И.

      1. В поле Имя введите название исключения.
      2. В раскрывающемся списке Направление выберите направление сетевого трафика.
      3. В раскрывающемся списке Протокол выберите сетевой протокол передачи данных.
      4. Если вы выбрали пользовательский протокол, в поле Номер введите номер сетевого протокола.
      5. Установите флажок Локальный порт ИЛИ диапазон и введите номер порта или диапазон номеров.

         Для входящих подключений (в раскрывающемся списке Направление выбрано Входящее) введите порт или диапазон портов для локального устройства.

         Для исходящих подключений (в раскрывающемся списке Направление выбрано Исходящее) введите порт или диапазон портов для удаленного устройства.

         Для номера порта доступны значения 1–65535.

         Для диапазона портов доступны значения 1–10, 20–30000 и 1–65535.

         Ограничения:

         • Для сетевых подключений локального устройства с операционной системой Windows XP можно указать только один порт, поскольку в Windows XP не поддерживается диапазон портов.
         • Для сетевых подключений удаленного устройства с операционной системой Windows XP можно указать диапазон портов, но правило применяется только к первому порту заданного диапазона, поскольку в Windows XP не поддерживается диапазон портов.
      6. Установите флажок Удаленный порт ИЛИ диапазон и введите номер порта или диапазон номеров.

         Для входящих подключений (в раскрывающемся списке Направление выбрано Входящее) введите порт или диапазон портов для удаленного устройства.

         Для исходящих подключений (в раскрывающемся списке Направление выбрано Исходящее) введите порт или диапазон портов для локального устройства.

         Для номера порта доступны значения 1–65535.

         Для диапазона портов доступны значения 1–10, 20–30000 и 1–65535.

         Ограничения:

         • Для сетевых подключений локального устройства с операционной системой Windows XP можно указать только один порт, поскольку в Windows XP не поддерживается диапазон портов.
         • Для сетевых подключений удаленного устройства с операционной системой Windows XP можно указать диапазон портов, но правило применяется только к первому порту заданного диапазона, поскольку в Windows XP не поддерживается диапазон портов.
      7. Установите флажок Локальный адрес и введите сетевой адрес устройства, для которого Kaspersky Endpoint Agent не будет анализировать и передавать EDR-телеметрию сетевого трафика в соответствии с параметрами исключения.

         Для входящих подключений (в раскрывающемся списке Направление выбрано Входящее) введите сетевой адрес для локального устройства.

         Для исходящих подключений (в раскрывающемся списке Направление выбрано Исходящее) введите сетевой адрес для удаленного устройства.

         Для IP-адресов поддерживается только формат IPv4.

      8. Установите флажок Удаленный адрес и введите сетевой адрес устройства, для которого Kaspersky Endpoint Agent не будет анализировать и передавать EDR-телеметрию сетевого трафика в соответствии с параметрами исключения.

         Для входящих подключений (в раскрывающемся списке Направление выбрано Входящее) введите сетевой адрес для удаленного устройства.

         Для исходящих подключений (в раскрывающемся списке Направление выбрано Исходящее) введите сетевой адрес для локального устройства.

         Для IP-адресов поддерживается только формат IPv4.

      9. Сформируйте список программ, для которых Kaspersky Endpoint Agent не будет анализировать и передавать EDR-телеметрию сетевого трафика в соответствии с параметрами исключения.
         1. Установите флажок Программы.
         2. В поле ниже укажите путь к исполняемому файлу программы, которую вы хотите добавить в список. Вы можете ввести путь вручную или с помощью кнопки Обзор.
         3. Нажмите на кнопку Добавить.
         4. Повторите пункты 2 и 3 инструкции для каждой программы, которую вы хотите добавить в список.
         5. Если необходимо удалить програму из списка:
            1. Выделите программу в списке.
            2. Нажмите на кнопку Удалить.
      10. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Свойства правила.

          Новое исключение создано и отображается в списке.

   3. Если необходимо изменить исключение, выберите исключение и нажмите на кнопку Изменить.
   4. Если необходимо удалить исключение, выберите исключение и нажмите на кнопку Удалить.
5. Если вы настраиваете параметры политики, убедитесь, что положение переключателя в правом верхнем углу блока параметров находится в активном положении. Переключатель находится в этом положении по умолчанию.
6. Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.