Исключения из телеметрии

Исключенные процессы

Оптимизировать объем отправляемой телеметрии. Kaspersky Endpoint Security позволяет оптимизировать объем отправляемых данных и исключить из телеметрии события с кодами 102 (базовые коммуникации) и 8 (сетевая активность процесса) для протокола Microsoft SMB, службы WinRM и процесса Агента администрирования klnagent.exe, а также расширенную информацию о типе сетевых пакетов для всех типов сетевых протоколов.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Информация о процессе и Информация о родительском процессе:

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Укажите критерии срабатывания правила, а также для каких типов событий его использовать. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.

Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.

Использовать для следующих типов событий:

• Изменение файла.
• Сетевые события.
• Интерактивный ввод команд в консоли.
• Модуль загружен.
• Изменение в реестре.
• Логи DNS.
• Доступ к процессу.
• Внедрение в код.
• Запрос WMI.
• Канал.
• LDAP.
• AMSI.

Исключенные сетевые коммуникации

Название правила.

Направление.

Протокол.

Сырой сокет.

Номер протокола.

TLS-сертификат.

Локальный порт или диапазон.

Удаленный порт или диапазон.

Локальный адрес. Сетевой адрес компьютера, для которого Kaspersky Endpoint Security исключает телеметрию из сетевого трафика.

Удаленный адрес. Сетевой адрес компьютера, для которого Kaspersky Endpoint Security исключает телеметрию из сетевого трафика.

Для IP-адресов поддерживается только формат IPv4.

Приложения. Список исполняемых файлов приложений, для которых Kaspersky Endpoint Security исключает EDR-телеметрию из сетевого трафика.

Исключенные операции с файлами

Название правила.

Имя или маска файла. Имя или маска имени файла или папки, при доступе к которым Kaspersky Endpoint Security применяет правило исключения. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски.

Тип операции.

Предыдущий путь.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Информация о процессе и Информация о родительском процессе:

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Укажите критерии срабатывания правила, а также для каких типов событий его использовать. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.

Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.

Исключенные операции с DNS

Название правила.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Информация о процессе и Информация о родительском процессе:

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Укажите критерии срабатывания правила, а также для каких типов событий его использовать. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.

Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.

DNS:

• IP-адрес DNS-сервера.
• Настройки запроса.
• Статус.
• Имя домена.
• ID типа настроек.
• Ответная информация.

Исключенные операции с LDAP

Название правила.

Область поиска LDAP.

Фильтр.

Отличительное имя для поиска объектов в LDAP.

Атрибуты объекта.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Информация о процессе и Информация о родительском процессе:

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Укажите критерии срабатывания правила, а также для каких типов событий его использовать. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.

Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.

Исключенные запросы доступа к процессу

Название правила.

Тип операции.

Запрошенный доступ к процессу.

Трассировка стека вызовов.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Информация о процессе, Информация о родительском процессе, Целевой процесс, Файл исходного процесса и Файл целевого процесса.

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Укажите критерии срабатывания правила, а также для каких типов событий его использовать. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.

Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.

Исключенные внедрения в код

Название правила.

Метод доступа.

Стек вызовов.

Измененная командная строка.

Адрес внедрения.

Имя внедряемой библиотеки DLL.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Информация о процессе и Информация о родительском процессе:

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Укажите критерии срабатывания правила, а также для каких типов событий его использовать. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.

Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.

Исключенные запросы WMI

Название правила.

Тип операции WMI.

Удаленный запрос.

Имя компьютера, с которого выполнена команда WMI.

Учетная запись пользователя WMI.

Выполненная команда WMI.

Пространство имен WMI.

Фильтр потребителя событий WMI.

Имя созданного потребителя событий WMI.

Исходный код потребителя событий WMI.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Информация о процессе и Информация о родительском процессе:

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Укажите критерии срабатывания правила, а также для каких типов событий его использовать. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.

Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.

Исключенные операции с каналами

Название правила.

Имя канала.

Тип операции.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Информация о процессе и Информация о родительском процессе:

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Укажите критерии срабатывания правила, а также для каких типов событий его использовать. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.

Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.

Исключенные изменения реестра

Название правила.

Тип операции.

Путь.

Имя значения.

Значение.

Полное имя файла реестра.

Kaspersky Endpoint Security применяет критерии срабатывания по правилу логического И.

Информация о процессе и Информация о родительском процессе:

• Полный путь. Полный путь к файлу, включая его имя и расширение. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.
• Текст командной строки. Команда для запуска файла.
• Укажите критерии срабатывания правила, а также для каких типов событий его использовать. Значение параметра FileDescription из ресурса типа RT_VERSION (VersionInfo).
• Исходное имя файла. Значение параметра OriginalFilename из ресурса типа RT_VERSION (VersionInfo).
• Версия. Значение параметра FileVersion из ресурса типа RT_VERSION (VersionInfo).
• Контрольные суммы файла. MD5 и SHA256.

Вы также можете выбрать файл вручную, и приложение автоматически заполнит поля из выбранного файла.

В 64-разрядных операционных системах параметры 64-разрядной версии исполняемого файла процесса из папки C:\windows\system32 необходимо вводить вручную, так как приложение заполняет параметры исполняемого файла процесса из свойств 32-разрядной версии этого же исполняемого файла, расположенного в папке C:\windows\syswow64. Например, если вы выберете файл C:\windows\system32\cmd.exe, то плагин отобразит параметры файла C:\windows\syswow64\cmd.exe. Такое поведение связано с особенностями операционной системы.