Защита виртуальных машин от файловых угроз

Под SVM в этом разделе понимается SVM с компонентом Защита от файловых угроз.

SVM с компонентом Защита от файловых угроз обеспечивает защиту виртуальных машин на гипервизоре VMware ESXi. Kaspersky Security защищает только включенные виртуальные машины, для которых выполняются все условия защиты виртуальных машин.

Если на SVM программа не активирована или отсутствуют базы программы, Kaspersky Security не защищает виртуальные машины.

Kaspersky Security начинает защищать виртуальные машины только после того, как вы включили защиту с помощью политики. В политике задаются параметры, которые SVM применяют во время защиты виртуальных машин от файловых угроз.

Защита виртуальных машин от файловых угроз включена, если этим виртуальным машинами назначен профиль защиты. Вы можете назначить основной профиль защиты, который формируется автоматически при создании политики, или создать и назначить дополнительные профили защиты, если вы хотите использовать разные параметры защиты для разных объектов виртуальной инфраструктуры.

Вы можете назначать профили защиты непосредственно виртуальным машинам и другим объектам виртуальной инфраструктуры. В политике, которая определяет параметры защиты виртуальной инфраструктуры под управлением одного сервера VMware vCenter Server, вы также можете назначать профили защиты виртуальным машинам путем установки соответствия между профилями защиты и шаблонами поставщика службы NSX (Vendor Templates) или конфигурациями профилей NSX (Profile Configurations) (в зависимости от того, какой тип VMware NSX Manager вы используете: VMware NSX-T Manager или VMware NSX-V Manager).

Когда пользователь или программа обращается к файлу виртуальной машины, Kaspersky Security проверяет этот файл.

• Если в файле не обнаружены вирусы или другие вредоносные программы, Kaspersky Security разрешает доступ к этому файлу.
• Если в файле обнаружены вирусы или другие вредоносные программы, Kaspersky Security присваивает файлу статус Зараженный. Если в результате проверки невозможно однозначно определить, заражен файл или нет (возможно, в файле присутствует последовательность кода, свойственная вирусам или другим вредоносным программам, или модифицированный код известного вируса), Kaspersky Security также присваивает файлу статус Зараженный.

  После этого Kaspersky Security выполняет над файлом то действие, которое указано в профиле защиты этой виртуальной машины, например лечит или блокирует файл.

Если на виртуальной машине установлена программа, выполняющая сбор и отправку информации на обработку, Kaspersky Security может классифицировать такую программу как вредоносную. Чтобы избежать этого, вы можете исключить программу из защиты. Список исключений настраивается в параметрах профилей защиты.

Во время защиты виртуальных машин используется метод проверки Сигнатурный анализ и машинное обучение. Защита с использованием сигнатурного анализа и машинного обучения обеспечивает минимально допустимый уровень безопасности. Kaspersky Security использует базы программы, содержащие информацию об известных угрозах и о методах их устранения. В соответствии с рекомендациями специалистов "Лаборатории Касперского" метод проверки Сигнатурный анализ и машинное обучение всегда включен.

Также во время защиты виртуальных машин используется эвристический анализ – это технология обнаружения угроз, которые невозможно определить с помощью баз программ "Лаборатории Касперского". Эвристический анализ позволяет находить файлы, которые, возможно, содержат вредоносную программу, не указанную в базах, или новую модификацию известного вируса. Файлам, в которых во время эвристического анализа обнаружена угроза, присваивается статус Зараженный.

Уровень эвристического анализа зависит от выбранного уровня безопасности:

• Если установлен уровень безопасности Низкий, применяется поверхностный уровень эвристического анализа. Эвристический анализатор выполняет не все инструкции исполняемых файлов во время проверки исполняемых файлов на наличие вредоносного кода. При таком уровне эвристического анализа вероятность обнаружить угрозу снижена по сравнению со средним уровнем эвристического анализа. Проверка требует меньше ресурсов SVM и проходит быстрее.
• Если установлен уровень безопасности Рекомендуемый, Высокий или Пользовательский, применяется средний уровень эвристического анализа. Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет то количество инструкций в исполняемых файлах, которое рекомендовано специалистами "Лаборатории Касперского".

Информация обо всех событиях, произошедших во время защиты виртуальных машин, записывается в отчет.

Рекомендуется периодически просматривать список файлов, заблокированных в результате защиты виртуальных машин, и выполнять действия с этими файлами. Например, вы можете сохранить копии файлов в недоступном для пользователя виртуальной машины месте и удалить файлы. Информацию о заблокированных файлах вы можете просмотреть в отчете об угрозах или в выборке событий по событию Файл заблокирован (см. в документации Kaspersky Security Center).

Чтобы получить доступ к файлам, заблокированным в результате защиты виртуальных машин, требуется исключить эти файлы из защиты в параметрах профиля защиты, назначенного виртуальным машинам, или временно выключить защиту этих виртуальных машин.