Über die Befehlszeile können Sie die Analyse des Verhaltens von Anwendungen im Betriebssystem mithilfe der vordefinierten Aufgabe "Verhaltensanalyse" (Behavior_Detection) verwalten.
Die Aufgabe "Verhaltensanalyse" wird standardmäßig ausgeführt. Sie können diese Aufgabe manuell starten und anhalten.
Sie können die Einstellungen für die Verhaltensanalyse konfigurieren, indem Sie die Einstellungen der vordefinierten Aufgabe zur Verhaltensanalyse ändern.
|
|
|
|
Einstellung
|
Beschreibung
|
Werte
|
|
UseTrustedPrograms
|
Prozesse von der Untersuchung ausschließen.
|
Yes – Aktivität der angegebenen Prozesse von der Untersuchung ausschließen.
No (Standardwert) – Alle Prozesse untersuchen.
|
|
TaskMode
|
Aktion, die von der Anwendung ausgeführt werden, wenn böswillige Aktivitäten im Betriebssystem erkannt werden.
|
Block (Standardwert) – Beendet den Prozess der App, die böswillige Aktivitäten ausführt.
Notify – Beendet den Prozess, der böswillige Aktivitäten ausführt, nicht, sondern protokolliert nur die Erkennung bösartiger Aktivitäten im Ereignisprotokoll.
|
|
UseAEP
|
Aktivieren der Komponente Exploit-Prävention.
|
Yes – Die Exploit-Prävention ist aktiviert.
No (Standardwert) – Die Exploit-Prävention ist deaktiviert.
|
|
AEPMode
|
Aktion, welche die Anwendung beim Erkennen eines Exploits ausführen soll.
|
Block (Standardwert) – Bösartige Aktionen von Exploits werden blockiert und Informationen darüber im Ereignisprotokoll aufgezeichnet.
Notify – Es werden keine Aktionen von Exploits blockiert, sondern nur Informationen über die Erkennung eines Exploits im Ereignisprotokoll aufgezeichnet.
|
|
Der Abschnitt [TrustedPrograms.item_#] enthält Prozesse, die von der Untersuchung ausgeschlossen sind. Kaspersky Endpoint Security überwacht die Aktivität dieser Prozesse nicht.
|
|
ProgramPath
|
Pfad des auszuschließenden Prozesses.
|
<vollständiger Pfad des Prozesses> – Prozess im angegebenen Verzeichnis von der Untersuchung ausschließen. Bei der Angabe des Pfades können Sie Masken verwenden.
Verwenden Sie das Zeichen * (Sternchen), um eine Maske für Datei- oder Verzeichnisnamen zu erstellen.
Sie können einen Stern * verwenden, um eine beliebige Anzahl an Zeichen (inklusive einer leeren Menge) vor dem Zeichen / im Datei- oder Verzeichnisnamen zu ersetzen. Beispiel: /dir/*/file oder /dir/*/*/file.
Sie können zwei aufeinander folgende Sterne * verwenden, um eine beliebige Anzahl an Zeichen (inklusive einer leeren Menge) im Datei- oder Verzeichnisnamen, einschließlich des Zeichens / zu ersetzen. Beispiel: /dir/**/file*/ oder /dir/file**/.
Die Maske ** kann nur ein einziges Mal pro Verzeichnisname verwendet werden. Beispiel: Die Maske /dir/**/**/file ist nicht korrekt.
Sie können das Symbol ? anstelle eines einzelnen Zeichens in einem Datei- oder Verzeichnisnamen verwenden.
|
|
ApplyToDescendants
|
Untergeordnete Prozesse des ausgeschlossenen Prozesses, der durch den ProgramPath- Parameter angegeben ist, von der Untersuchung ausschließen.
|
Yes – Schließt den angegebenen Prozess und alle seine untergeordneten Prozesse von der Untersuchung aus.
No (Standardwert) – Nur den angegebenen Prozess von der Untersuchung ausschließen, untergeordnete Prozesse nicht von der Untersuchung ausschließen.
|
|
ProgramDesc
|
Beschreibung des ausgeschlossenen Prozesses.
|
|
|
UseTrustedProgram
|
Wird verwendet, um die Aktivität des angegebenen Prozesses von der Untersuchung auszuschließen.
|
Yes (Standardwert) – Schließt die Aktivität des angegebenen Prozesses von der Untersuchung aus.
No – Schließt die Aktivität des angegebenen Prozesses nicht von der Untersuchung aus.
|
|
UseTrustedProgramForDetects
|
Wird verwendet, um die Aktivität des angegebenen Prozesses während der Ausführung der Komponente "Verhaltensanalyse" von der Untersuchung auszuschließen.
|
Yes – Schließt die Aktivität des angegebenen Prozesses während der Ausführung der Komponente "Verhaltensanalyse" von der Untersuchung aus.
No (Standardwert) – Schließt die Aktivität des angegebenen Prozesses während der Ausführung der Komponente "Verhaltensanalyse" nicht von der Untersuchung aus.
|
|
UseTrustedProgramForMDRAndEDR
|
Wird verwendet, um die Aktivität des angegebenen Prozesses während der Ausführung der Komponenten MDR und EDR (KATA) von der Untersuchung auszuschließen.
|
Yes – Schließt die Aktivität des angegebenen Prozesses während der Ausführung der Komponenten MDR und EDR (KATA) von der Untersuchung aus.
No (Standardwert) – Schließt die Aktivität des angegebenen Prozesses während der Ausführung der Komponenten MDR und EDR (KATA) nicht von der Untersuchung aus.
|