Настройка параметров контроля сетевой активности виртуальных машин

Функция обнаружения подозрительной сетевой активности доступна, только если вы используете программу по расширенной коммерческой лицензии.

Чтобы настроить параметры контроля сетевой активности защищенных виртуальных машин, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выполните одно из следующих действий:
   • Если вы хотите настроить параметры работы SVM одного кластера KSC, в папке Управляемые устройства дерева консоли выберите группу администрирования, содержащую кластер KSC.
   • Если вы хотите настроить параметры работы SVM всех кластеров KSC, выберите папку Управляемые устройства.
3. В рабочей области выберите закладку Политики.
4. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
5. В окне свойств политики выберите раздел Защита от вторжений и нажмите на кнопку Настройка.

   Откроется окно Параметры контроля сетевой активности.

6. Укажите категории программ, признаки сетевой активности которых должна обнаруживать программа Kaspersky Security:
   • Рекламные программы
     

     Включение / выключение обнаружения сетевой активности, характерной для рекламных программ.

     Рекламные программы предназначены для показа пользователю рекламной информации, перенаправления запросов поиска на рекламные веб-сайты и передачи своему разработчику маркетинговой информации о пользователе. В отличие от троянских программ-шпионов рекламные программы передают эту информацию с разрешения пользователя.

     Если флажок установлен, Kaspersky Security обнаруживает в трафике защищенных виртуальных машин активность, характерную для рекламных программ.

     Если флажок снят, обнаружение активности, характерной для рекламных программ, выключено.

     По умолчанию флажок снят.

   • Другие программы
     

     Включение / выключение обнаружения сетевой активности, характерной для легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда виртуальной машине или данным пользователя.

     Среди таких программ находятся программы для загрузки файлов, программы удаленного администрирования, программы для отслеживания действий пользователя. Эти программы используются в легальных целях, но если злоумышленники получат доступ к таким программам, они могут использовать некоторые их функции для нанесения вреда виртуальной машине или данным пользователя.

     Если флажок установлен, Kaspersky Security обнаруживает в трафике защищенных виртуальных машин активность, характерную для легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда виртуальной машине или данным пользователя.

     Если флажок снят, обнаружение активности, характерной для таких программ, выключено.

     По умолчанию флажок снят.

   Kaspersky Security всегда обнаруживает в трафике защищенных виртуальных машин сетевую активность, характерную для таких вредоносных программ, как вирусы, черви и троянские программы.

7. Если Kaspersky Security выявляет сетевую активность, которая, по вашему мнению, не является признаком вторжения в защищаемую инфраструктуру, вы можете настроить список правил, которые Kaspersky Security не будет применять для выявления подозрительной сетевой активности в трафике защищенных виртуальных машин.

   Чтобы добавить в список правило, в соответствии с которым обнаруживается сетевая активность, нажмите на кнопку Добавить, расположенную над списком, и введите в строке списка идентификатор правила в следующем формате: <число>:<число>:<число>.

   Информацию о примененном правиле вы можете посмотреть в тексте события, отправленного в Kaspersky Security Center во время обнаружения подозрительной сетевой активности.

8. Нажмите на кнопку ОК в окне Параметры контроля сетевой активности.
9. Выберите действие в списке Действие при обнаружении подозрительной активности.
   

   Действие, которое выполняет Kaspersky Security при обнаружении подозрительной сетевой активности в трафике защищенных виртуальных машин. Вы можете выбрать один из следующих вариантов:

   • Выбирать действие автоматически. Kaspersky Security выполняет действие, заданное специалистами "Лаборатории Касперского" по умолчанию. Если сетевая защита развернута в стандартном режиме, автоматически выбирается действие Прерывать соединение. Если сетевая защита развернута в режиме мониторинга, автоматически выбирается действие Игнорировать.

     Этот вариант выбран по умолчанию.

   • Игнорировать. Kaspersky Security не выполняет никаких действий в отношении виртуальных машин, проявляющих подозрительную сетевую активность.
   • Прерывать соединение. Kaspersky Security прерывает соединение между защищенной виртуальной машиной, которая проявляет подозрительную сетевую активность, и другими виртуальными машинами.
   • Прерывать соединение и блокировать трафик с IP-адреса отправителя. Kaspersky Security прерывает соединение между защищенной виртуальной машиной, которая проявляет подозрительную сетевую активность, и другими виртуальными машинами, а также блокирует трафик с IP-адреса, который является источником подозрительной сетевой активности. Трафик блокируется в той виртуальной локальной сети, в которой была обнаружена подозрительная сетевая активность. Продолжительность блокировки трафика настраивается в поле При обнаружении сетевой атаки или подозрительной сетевой активности блокировать трафик с IP-адреса на N минут.

   Информация об обнаружении подозрительной сетевой активности и выполненных действиях отправляется в Kaspersky Security Center.

   Выбор действия доступен, если установлен флажок Контролировать сетевую активность виртуальных машин.

   Если сетевая защита развернута в режиме мониторинга, при обнаружении подозрительной сетевой активности применяется действие Игнорировать, независимо от выбранного варианта действия.

10. Если требуется, измените значение параметра При обнаружении сетевой атаки или подозрительной сетевой активности блокировать трафик с IP-адреса на N минут.
    

    Продолжительность блокировки трафика с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности. При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.

    По умолчанию продолжительность блокировки составляет 60 минут.

11. Если требуется, настройте правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик с определенных IP-адресов или применяет особые действия при обработке этого трафика.
12. Нажмите на кнопку ОК в окне Свойства: <Название политики>.