Задача Анализ поведения (Behavior_Detection, ID:20)

Задача Анализ поведения контролирует вредоносную активность приложений в операционной системе. При обнаружении вредоносной активности Kaspersky Endpoint Security может завершать процесс приложения, осуществляющего вредоносную активность.

Если включена интеграция приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response, исключения по процессам не применяются.

По умолчанию задача Анализ поведения запускается автоматически при запуске приложения. Если требуется, вы можете остановить задачу в любой момент.

Параметры задачи Анализ поведения

Параметр	Описание	Значения

`TaskMode`	Действие, выполняемое приложением при обнаружении вредоносной активности в операционной системе.	`Block` (значение по умолчанию) – завершать процесс приложения, осуществляющего вредоносную активность. `Notify` – не завершать процесс, осуществляющий вредоносную активность, только регистрировать обнаружение вредоносной активности в журнале событий.
`UseTrustedPrograms`	Исключение процессов из проверки.	`Yes` – исключать из проверки активность указанных процессов. `No` (значение по умолчанию) – проверять все процессы.
Секция [TrustedPrograms.item_#] содержит процессы, которые исключаются из проверки. Приложение Kaspersky Endpoint Security не контролирует активность указанных процессов.
`ProgramPath`	Путь к исключаемому процессу.	`<полный путь к процессу>` – исключать из проверки процесс в указанной локальной директории. Для указания пути вы можете использовать маски. Вы можете использовать символ `` (звездочка) для формирования маски имени файла или директории. Вы можете указать один символ `` вместо любого набора символов (включая пустой набор), предшествующего символу `/` в имени файла или директории. Например, `/dir//file` или `/dir///file`. Вы можете указать два последовательно идущих символа `` вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ `/`. Например, `/dir/*/file/` или `/dir/file/`. Маску `` можно использовать в имени директории только один раз. Например, `/dir///file` – это неправильная маска. Вы можете использовать символ `?` вместо любого одного символа в имени файла или директории.
`ApplyToDescendants`	Исключение из проверки дочерних процессов исключаемого процесса, указанного параметром `ProgramPath`.	`Yes` – исключать из проверки указанный процесс и все его дочерние процессы. `No` (значение по умолчанию) – исключать из проверки только указанный процесс, не исключать из проверки дочерние процессы.
`ProgramDesc`	Описание исключаемого процесса.
`UseTrustedProgram`	Включение исключения указанного процесса из проверки.	`Yes` (значение по умолчанию) – включить исключение активности указанного процесса из проверки. `No` – не включать исключение активности указанного процесса из проверки.

В начало