行为检测

行为检测组件可让您监控操作系统中应用程序的任何恶意活动。当检测到恶意活动时，Kaspersky Endpoint Security 可以终止执行恶意活动的应用程序进程。

KESL 容器不支持此功能。

当 Kaspersky Endpoint Security 启动时，行为检测组件会使用默认设置自动启用。

您可以启用、禁用和配置“行为检测”：

• 选择 Kaspersky Endpoint Security 在检测到操作系统中的恶意活动时要执行的操作：告知用户或阻止执行恶意活动的应用程序。
• 从扫描范围中排除进程活动。

如果启用了 Kaspersky Endpoint Security 与 Kaspersky Managed Detection and Response 之间的集成，则在检测操作系统中的应用程序行为时将跳过按进程排除。

默认情况下，在 SintezM-Client 操作系统上，auditd 服务配置受到修改保护，即处于enabled 2模式。当 Kaspersky Endpoint Security 与 Kaspersky Managed Detection and Response 和 Kaspersky Anti Targeted Attack Platform 解决方案集成时，为了确保行为检测组件正常运行，请将配置文件中的 auditd 模式更改为enabled 1（无配置阻止）并重新启动操作系统。