В командной строке вы можете управлять анализом поведения приложений в операционной системе с помощью предустановленной задачи Анализ поведения (Behavior_Detection).
|
|
|
Параметр
|
Описание
|
Значения
|
UseTrustedPrograms
|
Исключение процессов из проверки.
|
Yes – исключать из проверки активность указанных процессов.
No (значение по умолчанию) – проверять все процессы.
|
TaskMode
|
Действие, выполняемое приложением при обнаружении вредоносной активности в операционной системе.
|
Block (значение по умолчанию) – завершать процесс приложения, осуществляющего вредоносную активность.
Notify – не завершать процесс, осуществляющий вредоносную активность, только регистрировать обнаружение вредоносной активности в журнале событий.
|
Секция [TrustedPrograms.item_#] содержит процессы, которые исключаются из проверки компонентом Анализ поведения. Приложение Kaspersky Endpoint Security не контролирует активность указанных процессов.
|
ProgramPath
|
Путь к исключаемому процессу.
|
<полный путь к процессу> – исключать из проверки процесс в указанной локальной директории. Для указания пути вы можете использовать маски.
Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.
Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file.
Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ /. Например, /dir/**/file*/ или /dir/file**/.
Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.
Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.
|
ApplyToDescendants
|
Исключение из проверки дочерних процессов исключаемого процесса, указанного параметром ProgramPath.
|
Yes – исключать из проверки указанный процесс и все его дочерние процессы.
No (значение по умолчанию) – исключать из проверки только указанный процесс, не исключать из проверки дочерние процессы.
|
ProgramDesc
|
Описание исключаемого процесса.
|
|
UseTrustedProgram
|
Использование исключения активности указанного процесса из проверки.
|
Yes (значение по умолчанию) – использовать исключение из проверки активности указанного процесса.
No – не использовать исключение активности указанного процесса из проверки.
|
UseTrustedProgramForDetects
|
Исключение активности процесса из проверки при работе компонента Анализ поведения.
|
Yes – исключать активность указанного процесса из проверки при работе компонента Анализ поведения.
No (значение по умолчанию) – не исключать активность указанного процесса из проверки при работе компонента Анализ поведения.
|
UseTrustedProgramForMDRAndEDR
|
Исключение активности процесса из телеметрии, которую собирают компоненты MDR и EDR Expert (on-premise).
|
Yes – исключать активность указанного процесса из телеметрии, которую собирают компоненты MDR и EDR Expert (on-premise).
No (значение по умолчанию) – не исключать активность указанного процесса из телеметрии.
|
TelemetrySource
|
Дополнительные параметры сбора телеметрии, отправляемой решениям Detection and Response при интеграции с ними.
Параметр UseTelemetryMonopolyMode применяется, только если для параметра TelemetrySource установлено значение Default.
|
Default (значение по умолчанию) – использовать для сбора телеметрии технологию eBPF и службу auditd.
OnlyEBPF – использовать для сбора телеметрии только технологию eBPF.
|
UseTelemetryMonopolyMode
|
True (значение по умолчанию) – приложение Kaspersky Endpoint Security использует службу auditd в монопольном режиме.
False – служба auditd используется в режиме многоадресной рассылки.
|