行为检测任务（Behavior_Detection，ID:20）

2023年12月20日

ID 234873

行为检测任务监控应用程序在操作系统中的恶意活动。当检测到恶意活动时，Kaspersky Endpoint Security 可以终止执行恶意活动的应用程序进程。

如果启用 Kaspersky Endpoint Security 与卡巴斯基托管检测与响应之间的集成，则不会应用按进程排除。

默认情况下，行为检测任务会在应用程序启动时自动启动。如有必要，您可以随时停止此任务。

行为检测任务设置

设置	描述	值

`TaskMode`	在操作系统中检测到恶意活动时应用程序执行的操作。	`Block`（默认值）– 终止执行恶意活动的应用程序进程。 `Notify` – 不终止执行恶意活动的进程；仅在事件日志中记录检测到恶意活动。
`UseTrustedPrograms`	从扫描中排除进程。	`Yes` – 不扫描指定进程的活动。 `No`（默认值）– 扫描所有进程。
[TrustedPrograms.item_#] 部分包含从扫描中排除的进程。Kaspersky Endpoint Security 不会监控指定进程的活动。
`ProgramPath`	排除的进程的路径。	`<进程的完整路径>` – 不扫描指定本地目录中的进程。您可以使用掩码指定路径。您可以用 ``（星号）字符来创建文件或目录名称掩码。您可以指定单个 `` 字符来表示文件或目录名称中 `/` 字符前面的任意一组字符（包括空集）。例如：`/dir//file` 或 `/dir///file`。您可以指定两个连续的 `` 字符来表示文件或目录名称中的任意一组字符（包括空集和 `/` 字符）。例如：`/dir/*/file/` 或 `/dir/file/`。 `` 掩码在目录名称中只能使用一次。例如，`/dir///file` 是不正确的掩码。可以使用单个 `?` 字符表示文件名或目录名中的任意一个字符。
`ApplyToDescendants`	从扫描中排除 `ProgramPath` 设置指定的排除进程的子进程。	`Yes` – 从扫描中排除指定的进程及其所有子进程。 `No`（默认值）– 仅从扫描中排除指定进程，不排除其子进程。
`ProgramDesc`	排除的进程的描述。
`UseTrustedProgram`	从扫描中排除进程。	`Yes`（默认值）– 从扫描中排除指定进程的活动。 `No` – 不从扫描中排除指定进程的活动。

Kaspersky Endpoint Security for Linux: High protection without performance compromising

Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

Did you find this article helpful?

What can we do better?

Thank you for your feedback! You're helping us improve.