События Scan.Generic.PortScan и DoS.Generic.Flood в Kaspersky Endpoint Security для Windows
Статья обновлена: 22 мая 2024
ID: 16054
Показать приложения и версии, для которых применима статья
- Kaspersky Endpoint Security 12.5 для Windows (версия 12.5.0.539);
- Kaspersky Endpoint Security 12.4 для Windows (версия 12.4.0.467);
- Kaspersky Endpoint Security 12.3 для Windows (версия 12.3.0.493);
- Kaspersky Endpoint Security 12.2 для Windows (версия 12.2.0.462);
- Kaspersky Endpoint Security 12.1 для Windows (версия 12.1.0.506);
- Kaspersky Endpoint Security 12 для Windows (версия 12.0.0.465);
- Kaspersky Endpoint Security 11.11 для Windows (версия 11.11.0.452);
- Kaspersky Endpoint Security 11.10 для Windows (версия 11.10.0.399);
- Kaspersky Endpoint Security 11.9 для Windows (версия 11.9.0.351);
- Kaspersky Endpoint Security 11.8 для Windows (версия 11.8.0.384);
- Kaspersky Endpoint Security 11.7 для Windows (версия 11.7.0.669).
Проблема
Во время работы Kaspersky Endpoint Security для Windows могут возникать события блокировки от компонента Защита от сетевых угроз.
Примеры событий:
- Обнаружение сетевой угрозы Scan.Generic.TCP.
Событие "Обнаружена сетевая атака" произошло на устройстве COMPUTER в Windows-домене EXAMPLE.COM 27 января 2024 г. 6:33:18 (GMT+03:00)
Пользователь: EXAMPOLE.COM\User (Активный пользователь)
Компонент: Защита от сетевых угроз
Описание результата: Запрещено
Название: Scan.Generic.PortScan.TCP
Объект: TCP от 192.0.2.34 на 192.0.2.46:41698 Тип объекта: Сетевой пакет Название объекта: TCP от 192.0.2.34 на 192.0.2.46:41698
Дополнительно: 192.0.2.46
Дата выпуска баз: 26.01.2024 22:45:00
Пользователь: EXAMPOLE.COM\User (Активный пользователь)
Компонент: Защита от сетевых угроз
Описание результата: Запрещено
Название: Scan.Generic.PortScan.TCP
Объект: TCP от 192.0.2.34 на 192.0.2.46:41698 Тип объекта: Сетевой пакет Название объекта: TCP от 192.0.2.34 на 192.0.2.46:41698
Дополнительно: 192.0.2.46
Дата выпуска баз: 26.01.2024 22:45:00
- Обнаружение сетевой угрозы Scan.Generic.UDP.
Событие "Обнаружена сетевая атака" произошло на устройстве COMPUTER в Windows-домене EXAMPLE.COM 28 января 2024 г. 7:52:31 (GMT+03:00)
Пользователь: EXAMPOLE.COM\User (Активный пользователь)
Компонент: Защита от сетевых угроз
Описание результата: Запрещено
Название: Scan.Generic.PortScan.UDP
Объект: UDP от 192.0.2.45 на 198.51.100.148:53855 Тип объекта: Сетевой пакет Название объекта: UDP от 192.0.2.45 на 198.51.100.148:53855
Дополнительно: 198.51.100.148
Дата выпуска баз: 28.01.2024 4:06:00
Пользователь: EXAMPOLE.COM\User (Активный пользователь)
Компонент: Защита от сетевых угроз
Описание результата: Запрещено
Название: Scan.Generic.PortScan.UDP
Объект: UDP от 192.0.2.45 на 198.51.100.148:53855 Тип объекта: Сетевой пакет Название объекта: UDP от 192.0.2.45 на 198.51.100.148:53855
Дополнительно: 198.51.100.148
Дата выпуска баз: 28.01.2024 4:06:00
- Обнаружение сетевой угрозы DoS.Generic.Flood.TCPSYN.
Событие "Обнаружена сетевая атака" произошло на устройстве COMPUTER в Windows-домене EXAMPLE.COM 11 марта 2024 г. 12:14:05 (GMT+03:00)
Пользователь: NT AUTHORITY\SYSTEM (Системный пользователь)
Компонент: Защита от сетевых угроз
Описание результата: Запрещено
Название: DoS.Generic.Flood.TCPSYN
Объект: TCP от 192.0.2.247 на 192.0.2.19:84
Тип объекта: Сетевой пакет
Название объекта: TCP от 192.0.2.247 на 192.0.2.19:84
Дополнительно: 192.0.2.19
Дата выпуска баз: 03.04.2024 5:03:00
Пользователь: NT AUTHORITY\SYSTEM (Системный пользователь)
Компонент: Защита от сетевых угроз
Описание результата: Запрещено
Название: DoS.Generic.Flood.TCPSYN
Объект: TCP от 192.0.2.247 на 192.0.2.19:84
Тип объекта: Сетевой пакет
Название объекта: TCP от 192.0.2.247 на 192.0.2.19:84
Дополнительно: 192.0.2.19
Дата выпуска баз: 03.04.2024 5:03:00
Общее описание данных типов угроз вы можете посмотреть в Kaspersky Threats:
Причина
События блокировки могут возникать по следующим причинам:
- неправильно настроены маршрутизаторы, коммутаторы, межсетевые экраны;
- проводятся DDoS-атаки на защищаемое устройство;
- проводятся атаки на уязвимые службы или протоколы;
- не учтены особенности эксплуатируемых приложений или оборудования, например МФУ;
- используется устаревшая версия Kaspersky Endpoint Security для Windows или устаревшие антивирусные базы.
Решение
- Проверьте актуальность антивирусных баз на проблемном устройстве.
- Установите последнюю актуальную версию Kaspersky Endpoint Security для Windows с доступным кумулятивным исправлением.
Если вам удалось определить источник проблемы и вы уверены, что данный источник не представляет угрозы, вы можете добавить его в исключения компонента Защита от сетевых угроз:
- Откройте на Сервере администрирования свойства политики Kaspersky Endpoint Security для Windows.
- Перейдите в Базовая защита → Защита от сетевых угроз → Настройка защиты от сетевых угроз.
- Выберите Исключения.
- Добавьте в список исключений удаленный адрес источника, локальный порт и протокол подключения.
Убедиться в легитимности поведения стороннего ПО или оборудования, на которое срабатывает защита антивируса, вы можете через обращение в техническую поддержку производителя данного ПО или оборудования.
Что делать, если решение не помогло
Для локализации источника проблемы, воспользуйтесь подсказками и создайте запрос в техническую поддержку «Лаборатории Касперского» через Kaspersky CompanyAccount.
