Configuration des paramètres de détection des attaques réseau
Pour configurer les paramètres de détection des attaques réseau, procédez comme suit :
Ouvrez la Console d'administration Kaspersky Security Center.
Dans l'arborescence de la console, exécutez l'une des actions suivantes :
Si vous voulez configurer les paramètres de fonctionnement des SVM d'un seul cluster KSC, dans le dossier Appareils administrés de l'arborescence de la console, choisissez le groupe d'administration contenant le cluster KSC.
Si vous voulez configurer les paramètres de fonctionnement des SVM de tous les clusters KSC, choisissez le dossier Appareils administrés.
Dans l'espace de travail, choisissez l'onglet Stratégies.
Dans la liste, sélectionnez une stratégie et double-cliquez sur celle-ci pour ouvrir la fenêtre Propriétés : <Nom de la stratégie>.
Dans la fenêtre des propriétés de la stratégie, sélectionnez la section Prévention des intrusions.
Action que Kaspersky Security exécute en cas de détection d'une attaque réseau sur la machine virtuelle protégée. Vous avez le choix entre les options suivantes :
Sélectionner l'action automatiquement. Kaspersky Security exécute l'action définie par défaut par les experts de Kaspersky Lab. Si la protection réseau est déployée en mode standard, l'action Interrompre la connexion et bloquer le trafic depuis l'adresse IP de l'expéditeur est sélectionnée automatiquement. Si la protection réseau est déployée en mode de surveillance, l'action Ignorer est sélectionnée automatiquement.
Cette option est sélectionnée par défaut.
Ignorer. Kaspersky Security n'exécute aucune action de prévention de l'attaque réseau.
Interrompre la connexion. Kaspersky Security interrompt la connexion entre la machine virtuelle protégée et l'adresse IP à l'origine de l'attaque réseau.
Interrompre la connexion et bloquer le trafic depuis l'adresse IP de l'expéditeur. Kaspersky Security interrompt la connexion entre la machine virtuelle protégée et l'adresse IP à l'origine de l'attaque réseau, et bloque également le trafic en provenance de cette adresse IP. Le trafic est bloqué dans le réseau local virtuel où la tentative d'attaque réseau a été détectée. La durée du blocage du trafic est configurée dans le champ En cas de détection d'une attaque réseau ou d'une activité réseau suspecte, bloquer le trafic depuis l'adresse IP pendant X minutes.
Les informations sur la détection des attaques réseau et les actions exécutées sont envoyées à Kaspersky Security Center.
Le bouton est accessible si la case Détecter les attaques réseau est cochée.
Si la protection réseau est déployée en mode de surveillance, l'action Ignorer est appliquée en cas de détection d'une attaque réseau, quelle que soit l'option choisie.
Durée du blocage du trafic de l'adresse IP à l'origine de l'attaque réseau ou de l'activité réseau suspecte. La détermination de la source de l'attaque réseau ou de l'activité réseau suspect tient compte de l'appartenance du trafic au réseau local virtuel (VLAN). Kaspersky Security bloque le trafic de l'adresse IP seulement dans le réseau local virtuel où l'attaque réseau ou l'activité réseau suspecte a été détectée.
Par défaut, la durée du blocage est de 60 minutes.
Le cas échéant, configurez les règles d'exclusion de la protection contre les menaces réseau selon lesquelles Kaspersky Security exclut de l'analyse le trafic en provenance d'adresses IP définies ou applique des actions spéciales au traitement de ce trafic.
Cliquez sur le bouton OK dans la fenêtre Propriétés : <Nom de la stratégie>.