Suporte

Suporte para Empresas

Kaspersky Endpoint Security 12 for Windows

Soluções de Detection and Response

Kaspersky Anti Targeted Attack Platform (EDR)

Exclusões de telemetria EDR

Kaspersky Endpoint Security 12 for Windows
Нет результатов
Нет результатов
Ajuda on-line
Perguntas frequentes Requisitos do sistema Baixar Comprar Renovar Fórum Contatar suporte Ferramentas de recuperação Vídeos do produto

Exclusões de telemetria EDR

12 de abril de 2024

ID 270557

Salvar como PDF

Para melhorar o desempenho e otimizar a transmissão de dados para o servidor de telemetria, é possível configurar as exclusões de telemetria EDR. Por exemplo, é possível optar pelo não envio de dados de comunicações de rede para aplicativos individuais.

Como criar uma exclusão de telemetria EDR no Console de Administração (MMC)

Como criar uma exclusão de telemetria EDR no Web Console e no Cloud Console

Parâmetros de exclusão de telemetria EDR

Parâmetro

Descrição

Processos excluídos

Otimizar o tamanho da telemetria a ser enviada. O Kaspersky Endpoint Security permite otimizar a quantidade de dados transmitidos e excluir eventos com determinados códigos da telemetria: código 102 (comunicações básicas) e 8 (atividade de rede do processo) para o protocolo SMB da Microsoft, o serviço WinRM e o processo klnagent.exe do Agente de Rede, assim como as informações estendidas sobre os tipos de pacotes de rede para todos os tipos de protocolos de rede.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Critérios de acionamento de regras

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Caminho principal. Caminho para a pasta na qual o arquivo está localizado.
  • Descrição. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.
  • Preencher de acordo com propriedades do arquivo. O aplicativo preenche automaticamente os campos com as informações do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

Usar para os seguintes tipos de eventos

  • Modificação de arquivo.
  • Eventos de rede.
  • Processo: entrada interativa no console.
  • Módulo carregado.
  • Registro modificado.

Comunicações de rede excluídas

Nome da regra.

Direção.

Protocolo.

Número do protocolo.

Porta local ou intervalo.

Porta remota ou intervalo.

Endereço local. O endereço de rede do computador para o qual o Kaspersky Endpoint Security está excluindo a telemetria do tráfego de rede.

Endereço remoto. O endereço de rede do computador para o qual o Kaspersky Endpoint Security está excluindo a telemetria do tráfego de rede.

Somente o formato IPv4 é compatível com endereços IP.

Aplicativos. Lista de arquivos executáveis de aplicativos para os quais o Kaspersky Endpoint Security está excluindo a telemetria EDR do tráfego de rede.

Operações de arquivo excluídas

Nome da regra.

Nome ou máscara do arquivo. Nome ou máscara de um arquivo ou pasta; o Kaspersky Endpoint Security aplica a regra de exclusão quando esse arquivo ou pasta é acessado. O Kaspersky Endpoint Security é compatível com os caracteres * e ? ao inserir uma máscara.

O Kaspersky Endpoint Security combina critérios de acionamento de regra com um E lógico.

Critérios de acionamento de regras

  • Caminho completo. Caminho completo para o arquivo, incluindo seu nome e extensão. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
  • Texto da linha de comando. Comando usado para executar o arquivo.
  • Caminho principal. Caminho para a pasta na qual o arquivo está localizado.
  • Descrição. Valor do parâmetro FileDescription a partir de um recurso RT_VERSION (VersionInfo).
  • Nome do arquivo original. Valor do parâmetro OriginalFilename a partir de um recurso RT_VERSION (VersionInfo).
  • Versão. Valor do parâmetro FileVersion a partir de um recurso RT_VERSION (VersionInfo).
  • Checksums do arquivo. MD5 e SHA256.
  • Preencher de acordo com propriedades do arquivo. O aplicativo preenche automaticamente os campos com as informações do arquivo selecionado.

Em sistemas operacionais de 64 bits, você deve inserir manualmente os parâmetros da versão de 64 bits do arquivo executável de um processo na pasta C:\windows\system32. Isso porque o aplicativo preenche os campos de parâmetro do arquivo executável com dados das propriedades da versão de 32 bits do mesmo arquivo executável na pasta C:\windows\syswow64. Por exemplo, se C:\windows\system32\cmd.exe, for selecionado, o plug-in exibirá os parâmetros de C:\windows\syswow64\cmd.exe. Esse comportamento é ditado por peculiaridades do sistema operacional.

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.