Au cours de la protection des machines virtuelles contre les intrusions, Kaspersky Security peut exécuter les actions suivantes :
Si la détection des attaques réseau est activée, lors de la détection d'une tentative d'attaque réseau sur la machine virtuelle protégée, Kaspersky Security exécute l'action spécifiée dans les paramètres de la stratégie. Par exemple, l'application peut interrompre la connexion avec l'adresse IP à l'origine de l'attaque réseau ou interrompre la connexion et bloquer le trafic en provenance de cette adresse IP pour automatiquement protéger la machine virtuelle contre les futures attaques réseau possibles à partir de cette adresse IP.
Si l'analyseur de l'activité réseau est activé, lors de la détection d'une activité réseau suspecte, Kaspersky Security exécute l'action spécifiée dans les paramètres de la stratégie. Par exemple, l'application peut interrompre la connexion avec l'adresse IP qui manifeste l'activité réseau suspecte ou interrompre la connexion et bloquer le trafic en provenance de cette adresse IP.
Si conformément aux paramètres définis Kaspersky Security bloque le trafic depuis l'adresse IP qui est à la source de l'attaque réseau ou de l'activité réseau suspecte, la durée de blocage est de 60 minutes par défaut. Vous pouvez modifier la durée de blocage du trafic.
La détermination de la source de l'attaque réseau ou de l'activité réseau suspect tient compte de l'appartenance du trafic au réseau local virtuel (VLAN). Kaspersky Security bloque le trafic de l'adresse IP seulement dans le réseau local virtuel où l'attaque réseau ou l'activité réseau suspecte a été détectée.
Vous pouvez configurer les règles d'exclusion de la protection contre les menaces réseau selon lesquelles Kaspersky Security exclut de l'analyse le trafic en provenance d'adresses IP définies ou applique des actions spéciales au traitement de ce trafic.
En cas de détection de l'attaque réseau ou d'une activité réseau suspecte, Kaspersky Security attribue le tag de sécurité IDS_IPS.threat=high à la machine virtuelle dans le trafic de laquelle une activité caractéristique des attaques réseau ou une activité réseau suspecte est détectée.