在命令行中配置行为检测
您可以使用 Behavior_Detection 预定义任务,通过命令行管理操作系统中的应用程序行为检测。
行为检测任务默认运行。您可以手动启动和停止任务。
您可以通过编辑行为检测预定义任务的设置来配置行为检测。
行为检测任务设置
|
|
|
|
设置
|
描述
|
值
|
|
UseTrustedPrograms
|
从扫描中排除进程。
|
Yes – 不扫描指定进程的活动。
No(默认值)– 扫描所有进程。
|
|
TaskMode
|
在操作系统中检测到恶意活动时应用程序执行的操作。
|
Block(默认值)– 终止执行恶意活动的应用程序进程。
Notify – 不终止执行恶意活动的进程;仅在事件日志中记录检测到恶意活动。
|
|
UseAEP
|
启用漏洞利用防御组件。
|
Yes启用漏洞利用防御。
No(默认)禁用漏洞利用防御。
|
|
AEPMode
|
检测到漏洞利用时要执行的操作。
|
如果设置为Block(默认),则会阻止漏洞利用的恶意活动并记录事件日志。
如果设置为Notify,则不会阻止漏洞利用活动,只有关于检测到的漏洞利用的信息会记录在事件日志中。
|
|
[TrustedPrograms.item_#] 部分包含从扫描中排除的进程。Kaspersky Endpoint Security 不会监控指定进程的活动。
|
|
ProgramPath
|
排除的进程的路径。
|
<进程的完整路径> – 不扫描指定本地目录中的进程。您可以使用掩码指定路径。
您可以用 *(星号)字符来创建文件或目录名称掩码。
您可以指定单个 * 字符来表示文件或目录名称中 / 字符前面的任意一组字符(包括空集)。例如:/dir/*/file 或 /dir/*/*/file。
您可以指定两个连续的 * 字符来表示文件或目录名称中的任意一组字符(包括空集和 / 字符)。例如:/dir/**/file*/ 或 /dir/file**/。
** 掩码在目录名称中只能使用一次。例如,/dir/**/**/file 是不正确的掩码。
可以使用单个 ? 字符表示文件名或目录名中的任意一个字符。
|
|
ApplyToDescendants
|
从扫描中排除 ProgramPath 设置指定的排除进程的子进程。
|
Yes – 从扫描中排除指定的进程及其所有子进程。
No(默认值)– 仅从扫描中排除指定进程,不排除其子进程。
|
|
ProgramDesc
|
排除的进程的描述。
|
|
|
UseTrustedProgram
|
将指定进程的活动排除在扫描范围之外。
|
Yes(默认值)— 将指定进程的活动排除在扫描范围之外。
No — 不将指定进程的活动排除在扫描范围之外。
|
|
UseTrustedProgramForDetects
|
将某个进程的活动排除在行为检测的扫描范围之外。
|
如果设置为Yes,则指定进程的活动将被排除在行为检测的扫描范围之外。
如果设置为No(默认),则指定进程的活动不会被排除在行为检测的扫描范围之外。
|
|
UseTrustedProgramForMDRAndEDR
|
将某个进程的活动排除在 MDR 和 EDR (KATA) 组件的扫描范围之外。
|
如果设置为Yes,则指定进程的活动将被排除在 MDR 和 EDR(KATA)组件的扫描范围之外。
如果设置为No,则指定进程的活动不会被排除在 MDR 和 EDR(KATA)组件的扫描之外。
|
页面顶部