ネットワーク脅威対策は、受信ネットワークトラフィックにネットワーク攻撃に特有の動作が含まれていないかどうかスキャンします。
この機能は、KESL コンテナではサポートされていません。
Kaspersky Endpoint Security は、現在の定義データベースから TCP ポートの番号を取得し、これらのポートの受信トラフィックをスキャンします。
ネットワークトラフィックをスキャンするために、ネットワーク脅威対策タスクは定義データベースからポート番号を取得し、これらすべてのポートを経由する接続を受け入れます。ネットワークスキャンプロセス中に、システム上のアプリケーションがこのポートをリッスンしていなかったとしても、デバイスのポートが開いているように見える場合があります。未使用のポートはファイアウォールで閉じておくことを推奨します。
ネットワーク脅威対策が有効になっている場合、インターセプトされた TCP ポートの現在の接続はリセットされます。
ネットワーク脅威対策が有効になっている場合、保護対象デバイスに対するネットワーク攻撃の試みが検知されると、アプリケーションは攻撃デバイスからのネットワークアクティビティをブロックし、ネットワーク攻撃検知イベントを作成します。イベントには、攻撃デバイスに関する情報が含まれています。
既定では、攻撃デバイスからのネットワークトラフィックは 1 時間ブロックされます。ブロック時間が経過すると、アプリケーションはデバイスのブロックを解除します。
ネットワーク脅威対策は、デバイス上のネットワーク脅威対策設定がポリシーで定義されている場合に、既定で有効になっています。ローカルで構成された設定がデバイスに適用されている場合、ネットワーク脅威対策は既定で無効になります。
ネットワーク脅威対策を有効または無効にしたり、次の保護設定を行うことができます:
コマンドラインでブロックされたデバイスを管理するコマンドを使用して、ブロックされたデバイスのリストを表示し、これらのデバイスのブロックを手動で解除することができます。Kaspersky Security Center には、ネットワーク攻撃が検知されたイベントを除き、ブロックされたデバイスを監視および管理するためのツールはありません。
Kaspersky Endpoint Security は、許可ルール(kesl_bypass)の特別なチェーンを、iptables および ip6tables ユーティリティの mangle テーブルのリストに追加します。この許可ルールのチェーンにより、製品のスキャンからトラフィックを除外できます。トラフィック除外ルールがチェーンに設定されている場合、ネットワーク脅威対策タスクの動作に影響を与えます。たとえば、送信 HTTP トラフィックを除外するには、コマンド iptables -t mangle -I kesl_bypass -m tcp -p tcp --dport http -j ACCEPT を追加する必要があります。