Prévention des intrusions

Au cours de la protection des machines virtuelles contre les intrusions, Kaspersky Security peut exécuter les actions suivantes :

• Détecter les attaques réseau sur les machines virtuelles protégées.

  Si la détection des attaques réseau est activée, lors de la détection d'une tentative d'attaque réseau sur la machine virtuelle protégée, Kaspersky Security exécute l'action spécifiée dans les paramètres de la stratégie. Par exemple, l'application peut interrompre la connexion avec l'adresse IP à l'origine de l'attaque réseau ou interrompre la connexion et bloquer le trafic en provenance de cette adresse IP pour automatiquement protéger la machine virtuelle contre les futures attaques réseau possibles à partir de cette adresse IP.

• Détecter l'activité réseau suspecte dans le trafic des machines virtuelles protégées. La présence d'une activité réseau suspecte dans le trafic de la machine virtuelle protégée peut être le signe d'une intrusion dans l'infrastructure protégée. Lors de l'analyse du trafic des machines virtuelles, les règles de la révélation de l'activité réseau suspecte sont appliquées. Elles se trouvent dans les bases de l'application Kaspersky Security.

  Si l'analyseur de l'activité réseau est activé, lors de la détection d'une activité réseau suspecte, Kaspersky Security exécute l'action spécifiée dans les paramètres de la stratégie. Par exemple, l'application peut interrompre la connexion avec l'adresse IP qui manifeste l'activité réseau suspecte ou interrompre la connexion et bloquer le trafic en provenance de cette adresse IP.

Si conformément aux paramètres définis Kaspersky Security bloque le trafic depuis l'adresse IP qui est à la source de l'attaque réseau ou de l'activité réseau suspecte, la durée de blocage est de 60 minutes par défaut. Vous pouvez modifier la durée de blocage du trafic.

La détermination de la source de l'attaque réseau ou de l'activité réseau suspect tient compte de l'appartenance du trafic au réseau local virtuel (VLAN). Kaspersky Security bloque le trafic de l'adresse IP seulement dans le réseau local virtuel où l'attaque réseau ou l'activité réseau suspecte a été détectée.

Vous pouvez configurer les règles d'exclusion de la protection contre les menaces réseau selon lesquelles Kaspersky Security exclut de l'analyse le trafic en provenance d'adresses IP définies ou applique des actions spéciales au traitement de ce trafic.

En cas de détection de l'attaque réseau ou d'une activité réseau suspecte, Kaspersky Security attribue le tag de sécurité IDS_IPS.threat=high à la machine virtuelle dans le trafic de laquelle une activité caractéristique des attaques réseau ou une activité réseau suspecte est détectée.

Dans cette section Activation et désactivation de la fonction de détection des attaques réseau Configuration des paramètres de détection des attaques réseau Activation et le désactivation de l'analyseur de l'activité réseau des machines virtuelles Configuration des paramètres de l'analyseur de l'activité réseau des machines virtuelles

Haut de page