Tâche de protection contre les menaces réseaux (Network_Threat_Protection, ID:17)

Alors que la tâche Protection contre les menaces réseaux est en cours, l'application analyse le trafic réseau entrant à la recherche de toute activité typique d'une attaque réseau. L'application analyse le trafic entrant pour les ports TCP dont Kaspersky Endpoint Security obtient le numéro dans les bases de l'application à jour. Lorsque la tâche est lancée, les connexions en cours pour les ports TCP interceptés seront abandonnées.

Pour vérifier le trafic réseau, la tâche de protection contre les menaces réseaux accepte les connexions sur tous les ports dont les numéros lui sont communiqués par les bases de données de l'application. Lors du contrôle du réseau, un port peut sembler ouvert sur l'appareil, même si aucune application du système ne l'écoute. Il est recommandé de fermer les ports non utilisés à l'aide d'un pare-feu.

Lors de la détection d'une tentative d'attaque réseau ciblant votre périphérique, l'application bloque l'activité réseau du périphérique attaquant et enregistre un événement à ce sujet dans le journal. L'application bloque le trafic réseau du périphérique attaquant pendant une heure. Vous pouvez modifier la durée du blocage dans les paramètres de la tâche.

Kaspersky Endpoint Security ajoute à la liste de la table mangle des utilitaires iptables et ip6tables une chaîne d'autorisation spéciale de règles kesl_bypass qui vous permet d'exclure le trafic de l'analyse réalisée par l'application. Si des règles d'exclusion de trafic sont configurées dans la chaîne, elles affectent le fonctionnement de la tâche Protection contre les menaces réseaux.

Le tableau décrit toutes les valeurs disponibles et les valeurs par défaut pour tous les paramètres que vous pouvez définir pour la tâche Protection contre les menaces réseaux.

Paramètres de la tâche de protection contre les menaces réseaux

Paramètre

Description

Valeurs

ActionOnDetect

Actions à entreprendre en cas de détection d'une activité réseau caractéristique des attaques réseau.

Notify : autorise l'activité réseau, consigne dans le journal les informations sur l'activité réseau détectée.

Block (valeur par défaut) : bloque l'activité réseau et consigne dans le journal les informations la concernant.

BlockAttackingHosts

Blocage de l'activité réseau à partir des périphériques attaquants.

Yes (valeur par défaut) : bloque l'activité réseau en provenance du périphérique attaquant.

No : autorise l'activité réseau en provenance du périphérique attaquant.

BlockDurationMinutes

Spécifie la durée de blocage des attaques contre les périphériques (en minutes).

1–32768

Valeur par défaut : 60.

UseExcludeIPs

Utilisation d'une liste d'adresses IP dont l'activité réseau ne sera pas bloquée en cas de détection d'une attaque réseau. L'application enregistrera dans le journal uniquement les informations sur les activités malveillante de ces périphériques.

Vous pouvez ajouter des adresses IP à la liste d'exclusion à l'aide du paramètre ExcludeIPs.item_#. Par défaut, la liste est vide.

Yes : utilise une liste d'exclusion d'adresses IP.

No : (valeur par défaut) : n'utilise pas de liste d'exclusion d'adresses IP.

ExcludeIPs.item_#

Spécifie une adresse IP dont l'activité réseau ne sera pas bloquée par l'application.

d.d.d.d : adresse IPv4 où d est un nombre décimal compris entre 0 et 255.

d.d.d.d/p : sous-réseau d'adresses IPv4, où p est un nombre compris entre 0 et 32.

x:x:x:x:x:x:x:x : adresses IPv6, où x est un nombre hexadécimal compris entre 0 et ffff.

x:x:x:x::0/p : sous-réseau d'adresses IPv6 où p est un nombre compris entre 0 et 64.

La valeur par défaut n'est pas définie.

Haut de page