Механизм перехвата

Linux

Механизм перехвата системных событий, который приложение использует в своей работе:

• Технология fanotify. Если выбран этот вариант, приложение использует технологию fanotify для перехвата системных событий.
• Обновляемый модуль ядра. Если выбран этот вариант, приложение использует обновляемый модуль ядра для перехвата системных событий.

Если обновляемый модуль ядра не запускается

Linux

Действие, которое приложение выполняет в случае ошибки запуска обновляемого модуля ядра:

• Использовать технологию fanotify. Если выбран этот вариант, приложение переходит к использованию технологии fanotify для перехвата системных событий.
• Выключить перехват системных событий (снижение уровня защиты). Если приложение не использует перехват системных событий, проверка файлов в режиме реального времени не выполняется, уровень защиты устройства снижается.

Настройка доступна, если выбран механизм перехвата Обновляемый модуль ядра.

Источник телеметрии

Linux

Источник, который приложение Kaspersky Endpoint Security использует для сбора телеметрии:

• Использовать только eBPF. Приложение использует для сбора телеметрии только технологию eBPF.
• По умолчанию. Приложение использует для сбора телеметрии технологию eBPF и службу auditd.

Режим работы auditd

Linux

Режим, в котором служба auditd записывает события аудита для дальнейшей передачи в решения Detection and Response:

• Монопольный. Если выбран этот вариант, приложение Kaspersky Endpoint Security использует службу auditd в монопольном режиме. Сторонние приложения не могут подключаться в поток аудита.
• Режим многоадресной рассылки. Если выбран этот вариант, служба auditd может принимать несколько подключений от разных процессов, использующих аудит системы.