EDR 遥测排除项

技术支持

企业产品

Kaspersky Endpoint Security 12 for Windows

Detection and Response 解决方案

Kaspersky Anti Targeted Attack Platform (EDR)

EDR 遥测排除项

2024年4月18日

ID 270557

另存为 PDF

要提高性能并优化到遥测服务器的数据传输，您可以配置 EDR 遥测排除项。例如，您可以选择不发送单个应用程序的网络通信数据。

如何在管理控制台 (MMC) 中创建 EDR 遥测排除项

如何在 Web Console 和云控制台中创建 EDR 遥测排除项

EDR 遥测排除项参数

参数	描述
排除的进程	“优化要发送的遥测大小”。Kaspersky Endpoint Security 允许优化传输的数据量并从遥测中排除具有某些代码的事件：Microsoft SMB 协议、WinRM 服务和网络代理 klnagent.exe 进程的代码 102（基本通信）和 8（进程的网络活动），以及有关所有类型网络协议的网络数据包类型的扩展信息。 Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。规则触发标准 “完整路径”。文件的完整路径，包括其名称和扩展名。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 `*` 以及 `?` 字符。 “命令行文本”。用于运行文件的命令。 “父路径”。文件所在文件夹的路径。 “描述”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。 “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。 “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。 “文件校验和”。MD5 和 SHA256。根据以下文件属性填写。应用程序会自动使用所选文件中的信息填充字段。在 64 位操作系统中，您必须手动输入进程的 64 位版本可执行文件（`C:\windows\system32` 文件夹中）的参数，因为应用程序使用 32 位版本的相同可执行文件（`C:\windows\syswow64`）的属性中的数据填充可执行文件参数字段。例如，如果选择 `C:\windows\system32\cmd.exe`，则插件将显示 `C:\windows\syswow64\cmd.exe` 的参数。这种行为是由操作系统的特性决定的。用于以下事件类型 “文件修改”。 “网络事件”。 “进程: 控制台交互式输入”。 “模块已加载”。 “注册表已修改”。
排除的网络通信	“规则名称”。 “方向”。 “协议”。 “协议号”。 “本地端口或范围”。 “远程端口或范围”。 “本地地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。 “远程地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。 IP 地址仅支持 IPv4 格式。 “应用程序”。Kaspersky Endpoint Security 从网络流量中排除 EDR 遥测的应用程序的可执行文件列表。
排除的文件操作	“规则名称”。 “文件名或掩码”。文件或文件夹的名称或掩码；当访问此文件或文件夹时，Kaspersky Endpoint Security 将应用排除规则。输入掩码时，Kaspersky Endpoint Security 支持 * 字符和 ? 字符。 Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。规则触发标准 “完整路径”。文件的完整路径，包括其名称和扩展名。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 `*` 以及 `?` 字符。 “命令行文本”。用于运行文件的命令。 “父路径”。文件所在文件夹的路径。 “描述”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。 “原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。 “版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。 “文件校验和”。MD5 和 SHA256。根据以下文件属性填写。应用程序会自动使用所选文件中的信息填充字段。在 64 位操作系统中，您必须手动输入进程的 64 位版本可执行文件（`C:\windows\system32` 文件夹中）的参数，因为应用程序使用 32 位版本的相同可执行文件（`C:\windows\syswow64`）的属性中的数据填充可执行文件参数字段。例如，如果选择 `C:\windows\system32\cmd.exe`，则插件将显示 `C:\windows\syswow64\cmd.exe` 的参数。这种行为是由操作系统的特性决定的。

参数

描述

排除的进程

“优化要发送的遥测大小”。Kaspersky Endpoint Security 允许优化传输的数据量并从遥测中排除具有某些代码的事件：Microsoft SMB 协议、WinRM 服务和网络代理 klnagent.exe 进程的代码 102（基本通信）和 8（进程的网络活动），以及有关所有类型网络协议的网络数据包类型的扩展信息。

Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。

规则触发标准

“完整路径”。文件的完整路径，包括其名称和扩展名。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。
“命令行文本”。用于运行文件的命令。
“父路径”。文件所在文件夹的路径。
“描述”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
“原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
“版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
“文件校验和”。MD5 和 SHA256。
根据以下文件属性填写。应用程序会自动使用所选文件中的信息填充字段。

在 64 位操作系统中，您必须手动输入进程的 64 位版本可执行文件（C:\windows\system32 文件夹中）的参数，因为应用程序使用 32 位版本的相同可执行文件（C:\windows\syswow64）的属性中的数据填充可执行文件参数字段。例如，如果选择 C:\windows\system32\cmd.exe，则插件将显示 C:\windows\syswow64\cmd.exe 的参数。这种行为是由操作系统的特性决定的。

用于以下事件类型

“文件修改”。
“网络事件”。
“进程: 控制台交互式输入”。
“模块已加载”。
“注册表已修改”。

排除的网络通信

“规则名称”。

“方向”。

“协议”。

“协议号”。

“本地端口或范围”。

“远程端口或范围”。

“本地地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。

“远程地址”。Kaspersky Endpoint Security 从网络流量中排除遥测的计算机的网络地址。

IP 地址仅支持 IPv4 格式。

“应用程序”。Kaspersky Endpoint Security 从网络流量中排除 EDR 遥测的应用程序的可执行文件列表。

排除的文件操作

“规则名称”。

“文件名或掩码”。文件或文件夹的名称或掩码；当访问此文件或文件夹时，Kaspersky Endpoint Security 将应用排除规则。输入掩码时，Kaspersky Endpoint Security 支持 * 字符和 ? 字符。

Kaspersky Endpoint Security 将规则触发条件与逻辑 AND 相结合。

规则触发标准

“完整路径”。文件的完整路径，包括其名称和扩展名。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。
“命令行文本”。用于运行文件的命令。
“父路径”。文件所在文件夹的路径。
“描述”。来自 RT_VERSION (VersionInfo) 资源的 FileDescription 参数的值。
“原始文件名称”。来自 RT_VERSION (VersionInfo) 资源的 OriginalFilename 参数的值。
“版本”。来自 RT_VERSION (VersionInfo) 资源的 FileVersion 参数的值。
“文件校验和”。MD5 和 SHA256。
根据以下文件属性填写。应用程序会自动使用所选文件中的信息填充字段。

Did you find this article helpful?

What can we do better?

Thank you for your feedback! You're helping us improve.