Предотвращение вторжений
10 января 2024
ID 60068
В ходе защиты виртуальных машин от вторжений Kaspersky Security может выполнять следующие действия:
- Обнаруживать сетевые атаки на защищенные виртуальные машины.
Если обнаружение сетевых атак включено, при обнаружении попытки сетевой атаки на защищенную виртуальную машину Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение между виртуальной машиной и IP-адресом, с которого произведена сетевая атака, или прервать соединение и заблокировать трафик с этого IP-адреса, чтобы автоматически защитить виртуальную машину от возможных будущих сетевых атак с этого IP-адреса.
- Обнаруживать в трафике защищенных виртуальных машин подозрительную сетевую активность. Наличие в трафике защищенной виртуальной машины подозрительной сетевой активности может быть признаком вторжения в защищаемую инфраструктуру. При анализе трафика виртуальных машин применяются правила выявления подозрительной сетевой активности, которые содержатся в базах программы Kaspersky Security.
Если контроль сетевой активности включен, при обнаружении подозрительной сетевой активности Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение с IP-адресом, который проявляет подозрительную сетевую активность, или прервать соединение и заблокировать трафик с этого IP-адреса.
Если в соответствии с настроенными параметрами Kaspersky Security блокирует трафик с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности, то продолжительность блокировки по умолчанию составляет 60 минут. Вы можете изменить продолжительность блокировки трафика. По истечении указанного времени трафик автоматически разблокируется.
При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.
Список источников сетевых угроз, заблокированных в результате работы каждой SVM с компонентом Защита от сетевых угроз, отображается в свойствах программы, установленной на этой SVM. По истечении времени блокировки, заданного в параметрах программы, источник сетевых угроз автоматически удаляется из списка. При необходимости вы можете отменить блокировку трафика с выбранных IP-адресов, не дожидаясь автоматической разблокировки.
Вы можете настроить правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик определенных IP-адресов или применяет особые действия при обработке этого трафика.
В инфраструктуре под управлением VMware NSX-V Manager при обнаружении сетевой атаки или подозрительной сетевой активности Kaspersky Security назначает тег безопасности IDS_IPS.threat=high виртуальной машине, в трафике которой обнаружена активность, характерная для сетевых атак, или подозрительная сетевая активность.
