Lorsque vous exécutez Splunk (Enterprise ou Forwarder) sur un système où ENS Prévention contre les menaces est installé, nous vous recommandons vivement d’exclure les éléments suivants de l’analyse à l’accès:
- Tous les processus Splunk
- Le répertoire d'installation Splunk
Ajoutez les processus suivants aux processus à faible risque et désélectionnez l’option Analyser en lecture/écriture:
- splunkd.exe
- splunk-admon.exe
- splunk-netmon.exe
- splunk-regmon.exe
- MonitoringHost.exe
- MsSenseS.exe
- HealthService.exe
- Ruby.exe
- sqlserver.exe
Ajoutez les chemins d’accès de fichiers suivants aux exclusions sous Exclusions de chemins d’accès Elevé, Standard et Risque faible:
- C:\Program Files\Microsoft Monitoring Agent\
- C:\Program Files\Puppet Labs
Il s’agit des
exclusions recommandées par Splunk.