Предотвращение вторжений

В ходе защиты виртуальных машин от вторжений Kaspersky Security может выполнять следующие действия:

• Обнаруживать сетевые атаки на защищенные виртуальные машины.

  Если обнаружение сетевых атак включено, при обнаружении попытки сетевой атаки на защищенную виртуальную машину Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение между виртуальной машиной и IP-адресом, с которого произведена сетевая атака, или прервать соединение и заблокировать трафик с этого IP-адреса, чтобы автоматически защитить виртуальную машину от возможных будущих сетевых атак с этого IP-адреса.

• Обнаруживать в трафике защищенных виртуальных машин подозрительную сетевую активность. Наличие в трафике защищенной виртуальной машины подозрительной сетевой активности может быть признаком вторжения в защищаемую инфраструктуру. При анализе трафика виртуальных машин применяются правила выявления подозрительной сетевой активности, которые содержатся в базах программы Kaspersky Security.

  Если контроль сетевой активности включен, при обнаружении подозрительной сетевой активности Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение с IP-адресом, который проявляет подозрительную сетевую активность, или прервать соединение и заблокировать трафик с этого IP-адреса.

Если в соответствии с настроенными параметрами Kaspersky Security блокирует трафик с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности, то продолжительность блокировки по умолчанию составляет 60 минут. Вы можете изменить продолжительность блокировки трафика. По истечении указанного времени трафик автоматически разблокируется.

При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.

Список источников сетевых угроз, заблокированных в результате работы каждой SVM с компонентом Защита от сетевых угроз, отображается в свойствах программы, установленной на этой SVM. По истечении времени блокировки, заданного в параметрах программы, источник сетевых угроз автоматически удаляется из списка. При необходимости вы можете отменить блокировку трафика с выбранных IP-адресов, не дожидаясь автоматической разблокировки.

Вы можете настроить правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик определенных IP-адресов или применяет особые действия при обработке этого трафика.

При обнаружении сетевой атаки или подозрительной сетевой активности Kaspersky Security назначает тег безопасности IDS_IPS.threat=high виртуальной машине, в трафике которой обнаружена активность, характерная для сетевых атак, или подозрительная сетевая активность.

Включение и выключение функции обнаружения сетевых атак

Чтобы включить или выключить функцию обнаружения сетевых атак, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Предотвращение вторжений.
3. Выполните одно из следующих действий:
   • Установите флажок Обнаруживать сетевые атаки, если вы хотите, чтобы программа Kaspersky Security обнаруживала в трафике защищенных виртуальных машин активность, характерную для сетевых атак.

     Если флажок установлен, при обнаружении попытки сетевой атаки на защищенную виртуальную машину Kaspersky Security выполняет действие, заданное в параметрах программы. Если сетевая защита развернута в стандартном режиме, по умолчанию Kaspersky Security прерывает соединение между защищенной виртуальной машиной и IP-адресом, с которого произведена сетевая атака, а также блокирует трафик с этого IP-адреса на 60 минут. Вы можете изменить это действие и период блокировки трафика. Если сетевая защита развернута в режиме мониторинга, Kaspersky Security не выполняет никаких действий по предотвращению сетевой атаки.

   • Снимите флажок Обнаруживать сетевые атаки, если вы хотите, чтобы программа Kaspersky Security не проверяла трафик защищенных виртуальных машин на наличие активности, характерной для сетевых атак.
4. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Настройка параметров обнаружения сетевых атак

Чтобы настроить параметры обнаружения сетевых атак, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Предотвращение вторжений.
3. Установите флажок Обнаруживать сетевые атаки, если функция обнаружения сетевых атак выключена.
4. Выберите действие в раскрывающемся списке
   Действие при обнаружении сетевой атаки, если сетевая защита развернута в стандартном режиме

   

   Раскрывающийся список содержит действия, которые может выполнять Kaspersky Security при обнаружении сетевой атаки на защищенную виртуальную машину, если сетевая защита развернута в стандартном режиме. Вы можете выбрать один из следующих вариантов:

   • Игнорировать. Kaspersky Security не выполняет никаких действий по предотвращению сетевой атаки.
   • Прерывать соединение. Kaspersky Security прерывает соединение между защищенной виртуальной машиной и IP-адресом, с которого произведена сетевая атака.
   • Прерывать соединение и блокировать трафик с IP-адреса отправителя. Kaspersky Security прерывает соединение между защищенной виртуальной машиной и IP-адресом, с которого произведена сетевая атака, а также блокирует трафик с этого IP-адреса. Трафик блокируется в той виртуальной локальной сети, в которой была обнаружена попытка сетевой атаки. Продолжительность блокировки трафика настраивается в поле При обнаружении угрозы блокировать трафик на N минут.

     Это действие выбрано по умолчанию.

   Информация об обнаружении сетевых атаках и выполненных действиях отправляется в Kaspersky Security Center.

   Выбор действия доступен, если установлен флажок Обнаруживать сетевые атаки.

   .

   Если сетевая защита развернута в режиме мониторинга, при обнаружении сетевой атаки Kaspersky Security выполняет действие Игнорировать.

5. Если требуется, измените значение параметра
   При обнаружении угрозы блокировать трафик на N минут

   

   Продолжительность блокировки трафика с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности. При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.

   По умолчанию продолжительность блокировки составляет 60 минут.

   

   Продолжительность блокировки трафика с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности. При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.

   По умолчанию продолжительность блокировки составляет 60 минут.

   .
6. Если требуется, настройте правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик с определенных IP-адресов или применяет особые действия при обработке этого трафика.
7. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Включение и выключение контроля сетевой активности виртуальных машин

Функция обнаружения подозрительной сетевой активности доступна, только если вы используете программу по расширенной лицензии.

Чтобы включить или выключить контроль сетевой активности виртуальных машин, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Предотвращение вторжений.
3. Выполните одно из следующих действий:
   • Установите флажок Контролировать сетевую активность виртуальных машин, если вы хотите, чтобы программа Kaspersky Security обнаруживала в трафике защищенных виртуальных машин подозрительную сетевую активность, которая может быть признаком вторжения в защищаемую инфраструктуру.

     Если флажок установлен, при обнаружении в трафике защищенных виртуальных машин подозрительной сетевой активности Kaspersky Security выполняет действие, заданное в параметрах программы. Если сетевая защита развернута в стандартном режиме, по умолчанию Kaspersky Security прерывает соединение между защищенной виртуальной машиной, которая проявляет подозрительную сетевую активность, и другими виртуальными машинами. Вы можете изменить это действие. Если сетевая защита развернута в режиме мониторинга, Kaspersky Security не выполняет никаких действий в отношении виртуальных машин, проявляющих подозрительную сетевую активность.

   • Снимите флажок Контролировать сетевую активность виртуальных машин, если вы хотите, чтобы программа Kaspersky Security не проверяла трафик защищенных виртуальных машин на наличие подозрительной сетевой активности.
4. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Настройка параметров контроля сетевой активности виртуальных машин

Функция обнаружения подозрительной сетевой активности доступна, только если вы используете программу по расширенной лицензии.

Чтобы настроить параметры контроля сетевой активности защищенных виртуальных машин, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Предотвращение вторжений.
3. Установите флажок Контролировать сетевую активность виртуальных машин, если контроль сетевой активности виртуальных машин выключен.
4. Нажмите на кнопку Настройка.

   Откроется окно Параметры контроля сетевой активности.

5. Укажите категории программ, признаки сетевой активности которых должна обнаруживать программа Kaspersky Security:
   • Рекламные программы

     

     Включение / выключение обнаружения сетевой активности, характерной для рекламных программ.

     Рекламные программы предназначены для показа пользователю рекламной информации, перенаправления запросов поиска на рекламные веб-сайты и передачи своему разработчику маркетинговой информации о пользователе. В отличие от троянских программ-шпионов рекламные программы передают эту информацию с разрешения пользователя.

     Если флажок установлен, Kaspersky Security обнаруживает в трафике защищенных виртуальных машин активность, характерную для рекламных программ.

     Если флажок снят, обнаружение активности, характерной для рекламных программ, выключено.

     По умолчанию флажок снят.

   • Другие программы

     

     Включение / выключение обнаружения сетевой активности, характерной для легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда виртуальной машине или данным пользователя.

     Среди таких программ находятся программы для загрузки файлов, программы удаленного администрирования, программы для отслеживания действий пользователя, программы для работы с паролями. Эти программы используются в легальных целях, но если злоумышленники получат доступ к таким программам, они могут использовать некоторые их функции для нанесения вреда виртуальной машине или данным пользователя.

     Если флажок установлен, Kaspersky Security обнаруживает в трафике защищенных виртуальных машин активность, характерную для легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда виртуальной машине или данным пользователя.

     Если флажок снят, обнаружение активности, характерной для таких программ, выключено.

     По умолчанию флажок снят.

   Kaspersky Security всегда обнаруживает в трафике защищенных виртуальных машин сетевую активность, характерную для таких вредоносных программ, как вирусы, черви и троянские программы.

6. Если Kaspersky Security выявляет сетевую активность, которая, по вашему мнению, не является признаком вторжения в защищаемую инфраструктуру, вы можете настроить список правил, которые Kaspersky Security не будет применять для выявления подозрительной сетевой активности в трафике защищенных виртуальных машин.

   Чтобы добавить в список правило, в соответствии с которым обнаруживается сетевая активность, нажмите на кнопку Добавить, расположенную над списком, и введите в строке списка идентификатор правила в следующем формате: <число>:<число>:<число>.

   Информацию о примененном правиле вы можете посмотреть в тексте события, отправленного в Kaspersky Security Center во время обнаружения подозрительной сетевой активности.

7. Нажмите на кнопку ОК в окне Параметры контроля сетевой активности.
8. Выберите действие в раскрывающемся списке
   Действие при обнаружении подозрительной активности, если сетевая защита развернута в стандартном режиме

   

   Раскрывающийся список содержит действия, которые может выполнять Kaspersky Security при обнаружении подозрительной сетевой активности в трафике защищенных виртуальных машин, если сетевая защита развернута в стандартном режиме. Вы можете выбрать один из следующих вариантов:

   • Игнорировать. Kaspersky Security не выполняет никаких действий в отношении виртуальных машин, проявляющих подозрительную сетевую активность.
   • Прерывать соединение. Kaspersky Security прерывает соединение между защищенной виртуальной машиной, которая проявляет подозрительную сетевую активность, и другими виртуальными машинами.

     Это действие выбрано по умолчанию.

   • Прерывать соединение и блокировать трафик с IP-адреса отправителя. Kaspersky Security прерывает соединение между защищенной виртуальной машиной, которая проявляет подозрительную сетевую активность, и другими виртуальными машинами, а также блокирует трафик с IP-адреса, который является источником подозрительной сетевой активности. Трафик блокируется в той виртуальной локальной сети, в которой была обнаружена подозрительная сетевая активность. Продолжительность блокировки трафика настраивается в поле При обнаружении угрозы блокировать трафик на N минут.

   Информация об обнаружении подозрительной сетевой активности и выполненных действиях отправляется в Kaspersky Security Center.

   Выбор действия доступен, если установлен флажок Контролировать сетевую активность виртуальных машин.

   .

   Если сетевая защита развернута в режиме мониторинга, при обнаружении подозрительной сетевой активности Kaspersky Security выполняет действие Игнорировать.

9. Если требуется, измените значение параметра При обнаружении угрозы блокировать трафик на N минут.
10. Если требуется, настройте правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик с определенных IP-адресов или применяет особые действия при обработке этого трафика.
11. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Просмотр списка заблокированных источников сетевых угроз

В свойствах программы, установленной на SVM с компонентом Защита от сетевых угроз, вы можете просмотреть список источников сетевых угроз, заблокированных в результате работы этой SVM.

Чтобы просмотреть список заблокированных источников сетевых угроз на SVM, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте окно свойств SVM:
   1. Выберите группу администрирования, содержащую кластер KSC, в котором находится нужная SVM.
   2. В рабочей области выберите закладку Устройства.
   3. В списке выберите SVM и откройте окно свойств SVM двойным щелчком мыши или выбрав пункт Свойства в контекстном меню.

   Откроется окно Свойства: <Имя SVM>.

2. В окне свойств SVM в списке слева выберите раздел Программы.

   В правой части окна отобразится список программ, установленных на этой SVM.

3. Выберите программу Kaspersky Security для виртуальных сред 6.0 Защита без агента и откройте окно параметров программы двойным щелчком мыши или выбрав пункт Свойства в контекстном меню.

   Откроется окно Параметры программы Kaspersky Security для виртуальных сред 6.0 Защита без агента.

4. В окне параметров программы в списке слева выберите раздел Список заблокированных источников сетевых угроз.

В правой части окна отобразится таблица, содержащая список источников сетевых угроз, заблокированных в результате работы этой SVM, то есть список IP-адресов, трафик с которых программа Kaspersky Security заблокировала в результате обнаружения сетевой атаки или подозрительной сетевой активности.

В таблице для каждого источника сетевых угроз отображается следующая информация:

• IP-адрес – IP-адрес, трафик с которого программа Kaspersky Security заблокировала в результате обнаружения сетевой атаки или подозрительной сетевой активности.
• VLAN ID – идентификатор виртуальной локальной сети (VLAN), к которой относится заблокированный трафик.
• Начало блокировки – дата и время, когда программа Kaspersky Security заблокировала трафик с IP-адреса.
• Окончание блокировки – дата и время, когда трафик с IP-адреса будет автоматически разблокирован.

В списке заблокированных источников сетевых угроз вы можете выполнять следующие действия:

• Выполнять поиск заблокированных источников сетевых угроз по значениям графы IP-адрес. По умолчанию в таблице отображается информация только о последних 100 заблокированных источниках сетевых угроз. Если источник сетевых угроз, информацию о котором вы хотите посмотреть, не отображается в таблице, вы можете воспользоваться поиском. Для этого нужно ввести в поисковой строке IP-адрес, начало IP-адреса или маску подсети и нажать на кнопку Найти. В результате в таблице отображается не более 100 заблокированных источников сетевых угроз, удовлетворяющих условиям поиска.
• Сортировать список по любой графе таблицы. Если поисковый запрос не задан, сортировка выполняется по всему списку заблокированных источников сетевых угроз. Если вы выполнили поиск, сортировка применяется только к списку источников сетевых угроз, которые удовлетворяют условиям поиска.
• Обновлять информацию с помощью кнопки Обновить.

По истечении времени блокировки, заданного в параметрах программы, источник сетевых угроз автоматически удаляется из списка. Если требуется, вы можете отменить блокировку трафика с выбранных IP-адресов, не дожидаясь автоматической разблокировки.

Чтобы разблокировать трафик с IP-адреса, который признан источником сетевых угроз,

выберите один или несколько источников сетевых угроз в списке и нажмите на кнопку Разблокировать, расположенную в нижней части окна.