Während des Schutzes der virtuellen Maschinen vor Eindringen kann Kaspersky Security folgende Aktionen ausführen:
Wenn das Erkennen von Netzwerkangriffen aktiviert ist, führt Kaspersky Security beim Entdecken eines versuchten Netzwerkangriffs auf die geschützte virtuelle Maschine die Aktion aus, die in den Einstellungen die Richtlinien festgelegt ist. Beispielsweise kann das Programm die Verbindung zwischen der virtuellen Maschine und der IP-Adresse, von der der Netzwerkangriff erfolgt ist, unterbrechen bzw. die Verbindung unterbrechen und den Datenverkehr von dieser IP-Adresse blockieren, um die virtuelle Maschine automatisch vor möglichen zukünftigen Netzwerkangriffen von dieser IP-Adresse aus zu schützen.
Wenn die Kontrolle der Netzwerkaktivität aktiviert ist, führt Kaspersky Security beim Entdecken der verdächtigen Netzwerkaktivität die Aktion aus, die in den Einstellungen die Richtlinien festgelegt ist. Beispielsweise kann das Programm die Verbindung zu einer IP-Adresse unterbrechen, die verdächtige Netzwerkaktivität zeigt, oder die Verbindung unterbrechen und den Datenverkehr von dieser IP-Adresse blockieren.
Wenn Kaspersky Security gemäß den angepassten Einstellungen den Datenverkehr von einer IP-Adresse blockiert, die die Quelle eines Netzwerkangriffs oder verdächtiger Netzwerkaktivität ist, entspricht die Dauer der Blockierung standardmäßig 60 Minuten. Sie können die Dauer der Blockierung des Datenverkehres ändern. Nach Ablauf der angegebenen Zeitspanne wird der Datenverkehr automatisch blockiert.
Bei Bestimmen der Quelle des Netzwerkangriffs oder der verdächtigen Netzwerkaktivität wird die Zugehörigkeit des Datenverkehres zum virtuellen lokalen Netzwerk (VLAN) berücksichtigt. Kaspersky Security sperrt den Datenverkehr von der IP-Adresse nur in dem virtuellen lokalen Netzwerk, in dem der Netzwerkangriff oder die verdächtige Netzwerkaktivität erkannt wurde.
Die Liste der Quellen von Netzwerkbedrohungen, die nach Ausführung jeder SVM mit der Komponenten "Schutz vor Netzwerkbedrohungen" blockiert wurden, wird in den Eigenschaften des auf der jeweiligen SVM installierten Programms angezeigt. Nach Ablauf der in den Programmeinstellungen angegebenen Zeitspanne für die Blockierung wird die Quelle von Netzwerkbedrohungen automatisch aus der Liste gelöscht. Sie können die Blockierung des Datenverkehrs von ausgewählten IP-Adressen erforderlichenfalls ändern, ohne das Ende der automatischen Blockierung abzuwarten.
Sie können die Regeln der Ausnahme aus dem Schutz vor Netzwerkbedrohungen anpassen, gemäß denen Kaspersky Security den Datenverkehr von bestimmten IP-Adressen von der Untersuchung ausschließt oder bestimmte Aktionen bei der Verarbeitung dieses Datenverkehrs ausführt.
Beim Entdecken eines Netzwerkangriffs oder einer verdächtigen Netzwerkaktivität weist Kaspersky Security den Sicherheitstag IDS_IPS.threat=high der virtuellen Maschine zu, in deren Datenverkehr eine für Netzwerkangriffe typische Aktivität oder eine verdächtige Netzwerkaktivität gefunden wurde.