行为检测组件可让您监控操作系统中应用程序的任何恶意活动。当检测到恶意活动时,Kaspersky Endpoint Security 可以终止执行恶意活动的应用程序进程。
KESL 容器不支持此功能。
当 Kaspersky Endpoint Security 启动时,行为检测组件会使用默认设置自动启用。
您可以启用、禁用和配置“行为检测”:
如果启用了 Kaspersky Endpoint Security 与 Kaspersky Managed Detection and Response 之间的集成,则在检测操作系统中的应用程序行为时将跳过按进程排除。
默认情况下,在 SintezM-Client 操作系统上,auditd 服务配置受到修改保护,即处于enabled 2模式。当 Kaspersky Endpoint Security 与 Kaspersky Managed Detection and Response 和 Kaspersky Anti Targeted Attack Platform 解决方案集成时,为了确保行为检测组件正常运行,请将配置文件中的 auditd 模式更改为enabled 1(无配置阻止)并重新启动操作系统。