Im Gegensatz zu dem signaturbasierten Ansatz des Netzwerküberprüfungssystem (NIS), verwendet die verhaltensbasierte Eindringversuchserkennung statische Einstellungen, um Netzwerkangriffe zu erkennen und somit gegen grundlegende Bedrohungen, unabhängig von den Anwendungen im internen Netzwerk, zu schützen.

Bis auf die Möglichkeit, SIP-Kontingente einzurichten, sind die Möglichkeiten der verhaltensbasierten Eindringversuchserkennung identisch mit den Funktionen in ISA Server 2006.

Die verhaltensbasierte Eindringversuchserkennung wird wie die Konfiguration des Netzwerküberprüfungssystems (NIS) über den Knoten Eindringschutzsystem der Forefront TMG 2010-Verwaltungskonsole vorgenommen.