EDR テレメトリの除外リスト

サポート

法人向けアプリケーション

Kaspersky Endpoint Security 12 for Windows

Detection and Response ソリューション

Kaspersky Anti Targeted Attack Platform (EDR)

EDR テレメトリの除外リスト

2024年4月12日

ID 270557

PDF として入手

パフォーマンスを向上させ、テレメトリサーバーへのデータ送信を最適化するために、EDR テレメトリの除外リストを設定できます。たとえば、個々のアプリケーションのネットワーク通信データを送信しないように選択できます。

管理コンソール（MMC）で EDR テレメトリの除外リストを作成する方法

Web コンソールと Cloud コンソールで EDR テレメトリの除外リストを作成する方法

EDR テレメトリの除外リストのパラメータ

パラメータ	説明
除外されるプロセス	送信するテレメトリのサイズを最適化：Kaspersky Endpoint Security では、Microsoft SMB プロトコル、WinRM サービス、およびネットワークエージェントの klnagent.exe プロセスについて、データの送信量を最適化したり、コードが 102（基本的な通信）および 8（プロセスのネットワークアクティビティ）のイベントをテレメトリから除外できます。また、すべての種類のネットワークプロトコルについて、ネットワークパケットの種類に関する拡張情報を最適化できます Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。ルールの適用条件完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「`*`」および「`?`」をサポートします。コマンドラインテキスト：ファイルを実行するために使用されるコマンド。親パス：ファイルの保存されたフォルダーへのパス。説明：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。ファイルのチェックサム：MD5 と SHA256。ファイルのプロパティに従って入力：本製品は、選択されたファイルからの情報をフィールドに自動的に入力します。 64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを `C:\windows\system32` フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、`C:\windows\syswow64` フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、`C:\windows\system32\cmd.exe` を選択した場合、プラグインには `C:\windows\syswow64\cmd.exe` のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。次のイベント種別に使用するファイルの変更ネットワークイベントプロセス：コンソールでの対話的入力モジュールの読み込みレジストリの変更
除外されるネットワークコミュニケーション	ルール名通信方向プロトコルプロトコル番号ローカルポートまたは範囲リモートポートまたは範囲ローカルアドレス：Kaspersky Endpoint Security がネットワークトラフィックからテレメトリを除外するコンピューターのネットワークアドレス。リモートアドレス：Kaspersky Endpoint Security がネットワークトラフィックからテレメトリを除外するコンピューターのネットワークアドレス。 IP アドレスでは IPv4 形式のみがサポートされます。アプリケーション：Kaspersky Endpoint Security がネットワークトラフィックから EDR テレメトリを除外しているアプリケーションの実行ファイルのリスト。
除外されるファイル操作	ルール名ファイル名またはマスク：ファイルまたはフォルダーの名前またはマスク。Kaspersky Endpoint Security は、このファイルまたはフォルダーにアクセスがあると除外ルールを適用します。Kaspersky Endpoint Security はマスクの入力において「」文字と「?」文字をサポートします。 Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。ルールの適用条件完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「``」および「`?`」をサポートします。コマンドラインテキスト：ファイルを実行するために使用されるコマンド。親パス：ファイルの保存されたフォルダーへのパス。説明：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。ファイルのチェックサム：MD5 と SHA256。ファイルのプロパティに従って入力：本製品は、選択されたファイルからの情報をフィールドに自動的に入力します。 64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを `C:\windows\system32` フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、`C:\windows\syswow64` フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、`C:\windows\system32\cmd.exe` を選択した場合、プラグインには `C:\windows\syswow64\cmd.exe` のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

パラメータ

説明

除外されるプロセス

送信するテレメトリのサイズを最適化：Kaspersky Endpoint Security では、Microsoft SMB プロトコル、WinRM サービス、およびネットワークエージェントの klnagent.exe プロセスについて、データの送信量を最適化したり、コードが 102（基本的な通信）および 8（プロセスのネットワークアクティビティ）のイベントをテレメトリから除外できます。また、すべての種類のネットワークプロトコルについて、ネットワークパケットの種類に関する拡張情報を最適化できます

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

ルールの適用条件

完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
親パス：ファイルの保存されたフォルダーへのパス。
説明：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
ファイルのチェックサム：MD5 と SHA256。
ファイルのプロパティに従って入力：本製品は、選択されたファイルからの情報をフィールドに自動的に入力します。

64 ビットオペレーティングシステムでは、プロセスの実行ファイルの 64 ビットバージョンのパラメータを C:\windows\system32 フォルダーから手動で入力する必要があります。これは、実行ファイルのパラメータフィールドに、C:\windows\syswow64 フォルダーにある同じ実行ファイルの 32 ビットバージョンのプロパティからデータが入力されるためです。たとえば、C:\windows\system32\cmd.exe を選択した場合、プラグインには C:\windows\syswow64\cmd.exe のパラメータが表示されます。このような挙動は、オペレーティングシステムの特性によって決まります。

次のイベント種別に使用する

ファイルの変更
ネットワークイベント
プロセス：コンソールでの対話的入力
モジュールの読み込み
レジストリの変更

除外されるネットワークコミュニケーション

ルール名

通信方向

プロトコル

プロトコル番号

ローカルポートまたは範囲

リモートポートまたは範囲

ローカルアドレス：Kaspersky Endpoint Security がネットワークトラフィックからテレメトリを除外するコンピューターのネットワークアドレス。

リモートアドレス：Kaspersky Endpoint Security がネットワークトラフィックからテレメトリを除外するコンピューターのネットワークアドレス。

IP アドレスでは IPv4 形式のみがサポートされます。

アプリケーション：Kaspersky Endpoint Security がネットワークトラフィックから EDR テレメトリを除外しているアプリケーションの実行ファイルのリスト。

除外されるファイル操作

ルール名

ファイル名またはマスク：ファイルまたはフォルダーの名前またはマスク。Kaspersky Endpoint Security は、このファイルまたはフォルダーにアクセスがあると除外ルールを適用します。Kaspersky Endpoint Security はマスクの入力において「*」文字と「?」文字をサポートします。

Kaspersky Endpoint Security は、ルールトリガー条件を論理 AND と組み合わせます。

ルールの適用条件

完全パス：名前と拡張子を含むファイルのフルパス。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。
コマンドラインテキスト：ファイルを実行するために使用されるコマンド。
親パス：ファイルの保存されたフォルダーへのパス。
説明：RT_VERSION (VersionInfo) リソースからの FileDescription パラメータの値。
元のファイル名：RT_VERSION (VersionInfo) リソースからの OriginalFilename パラメータの値。
バージョン：RT_VERSION (VersionInfo) リソースからの FileVersion パラメータの値。
ファイルのチェックサム：MD5 と SHA256。
ファイルのプロパティに従って入力：本製品は、選択されたファイルからの情報をフィールドに自動的に入力します。

Kaspersky Endpoint Security for Windows：高度な脅威も検知

機密データの盗難による被害を防ぐよう設計されたコントロールシステム。単一のコンソールで管理。Endpoint Security for Business Advanced の一部として購入。

拡張テクニカルサポート（MSA）：優先度の高いインシデント対応

電話または Web ポータルでサポートを提供。迅速なインシデント対応、監視、正常性チェック。最適なプランを選び、申請して、契約（MSA）をアクティブ化。

この記事はお役に立ちましたか？

改善できる点がありましたらお聞かせください。

フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。