Настройка параметров контроля сетевой активности виртуальных машин

Функция обнаружения подозрительной сетевой активности доступна, только если вы используете программу по расширенной лицензии.

Чтобы настроить параметры контроля сетевой активности защищенных виртуальных машин, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Предотвращение вторжений.
3. Установите флажок Контролировать сетевую активность виртуальных машин, если контроль сетевой активности виртуальных машин выключен.
4. Нажмите на кнопку Настройка.

   Откроется окно Параметры контроля сетевой активности.

5. Укажите категории программ, признаки сетевой активности которых должна обнаруживать программа Kaspersky Security:
   • Рекламные программы

     Включение / выключение обнаружения сетевой активности, характерной для рекламных программ.

     Рекламные программы предназначены для показа пользователю рекламной информации, перенаправления запросов поиска на рекламные веб-сайты и передачи своему разработчику маркетинговой информации о пользователе. В отличие от троянских программ-шпионов рекламные программы передают эту информацию с разрешения пользователя.

     Если флажок установлен, Kaspersky Security обнаруживает в трафике защищенных виртуальных машин активность, характерную для рекламных программ.

     Если флажок снят, обнаружение активности, характерной для рекламных программ, выключено.

     По умолчанию флажок снят.

   • Другие программы

     Включение / выключение обнаружения сетевой активности, характерной для легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда виртуальной машине или данным пользователя.

     Среди таких программ находятся программы для загрузки файлов, программы удаленного администрирования, программы для отслеживания действий пользователя, программы для работы с паролями. Эти программы используются в легальных целях, но если злоумышленники получат доступ к таким программам, они могут использовать некоторые их функции для нанесения вреда виртуальной машине или данным пользователя.

     Если флажок установлен, Kaspersky Security обнаруживает в трафике защищенных виртуальных машин активность, характерную для легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда виртуальной машине или данным пользователя.

     Если флажок снят, обнаружение активности, характерной для таких программ, выключено.

     По умолчанию флажок снят.

   Kaspersky Security всегда обнаруживает в трафике защищенных виртуальных машин сетевую активность, характерную для таких вредоносных программ, как вирусы, черви и троянские программы.

6. Если Kaspersky Security выявляет сетевую активность, которая, по вашему мнению, не является признаком вторжения в защищаемую инфраструктуру, вы можете добавить в список исключений правило, в соответствии с которым выявлена эта активность. Правила, перечисленные в списке, Kaspersky Security не будет применять для выявления подозрительной сетевой активности в трафике защищенных виртуальных машин.

   Информацию о примененном правиле вы можете посмотреть в тексте события, отправленного в Kaspersky Security Center во время обнаружения подозрительной сетевой активности.

   Чтобы добавить правило в список, нажмите на кнопку Добавить, расположенную над списком, и введите в строке списка идентификатор правила в следующем формате: <число>:<число>:<число>.

7. Нажмите на кнопку ОК в окне Параметры контроля сетевой активности.
8. Выберите действие в раскрывающемся списке Действие при обнаружении подозрительной активности, если сетевая защита работает в стандартном режиме.

   Раскрывающийся список содержит действия, которые может выполнять Kaspersky Security при обнаружении подозрительной сетевой активности в трафике защищенных виртуальных машин, если сетевая защита работает в стандартном режиме. Вы можете выбрать один из следующих вариантов:

   • Игнорировать. Kaspersky Security не выполняет никаких действий в отношении виртуальных машин, проявляющих подозрительную сетевую активность.
   • Прерывать соединение. Kaspersky Security прерывает соединение между защищенной виртуальной машиной, которая проявляет подозрительную сетевую активность, и другими виртуальными машинами.

     Это действие выбрано по умолчанию.

   • Прерывать соединение и блокировать трафик с IP-адреса отправителя. Kaspersky Security прерывает соединение между защищенной виртуальной машиной, которая проявляет подозрительную сетевую активность, и другими виртуальными машинами, а также блокирует трафик с IP-адреса, который является источником подозрительной сетевой активности. Трафик блокируется в той виртуальной локальной сети, в которой была обнаружена подозрительная сетевая активность. Продолжительность блокировки трафика настраивается в поле При обнаружении угрозы блокировать трафик на N минут.

   Информация об обнаружении подозрительной сетевой активности и выполненных действиях отправляется в Kaspersky Security Center.

   Выбор действия доступен, если установлен флажок Контролировать сетевую активность виртуальных машин.

   Если сетевая защита работает в режиме мониторинга, при обнаружении подозрительной сетевой активности Kaspersky Security выполняет действие Игнорировать.

9. Если требуется, измените значение параметра При обнаружении угрозы блокировать трафик на N минут.

   Продолжительность блокировки трафика с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности. При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.

   По умолчанию продолжительность блокировки составляет 60 минут.

10. Если требуется, настройте правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик с определенных IP-адресов или применяет особые действия при обработке этого трафика.
11. Нажмите на кнопку ОК в окне Свойства: <Название политики>.