Intrusion Prevention
25. März 2022
ID 60068
Während des Schutzes der virtuellen Maschinen vor Eindringen kann Kaspersky Security folgende Aktionen ausführen:
- Netzwerkangriffe auf die geschützten virtuellen Maschinen erkennen.
Wenn das Erkennen von Netzwerkangriffen aktiviert ist, führt Kaspersky Security beim Entdecken eines versuchten Netzwerkangriffs auf die geschützte virtuelle Maschine die Aktion aus, die in den Einstellungen die Richtlinien festgelegt ist. Beispielsweise kann das Programm die Verbindung mit der IP-Adresse unterbrechen, von der der Netzwerkangriff erfolgt ist, oder die Verbindung unterbrechen und den Datenverkehr von dieser IP-Adresse blockieren, um die virtuelle Maschine automatisch vor möglichen zukünftigen Netzwerkangriffen von dieser IP-Adresse aus zu schützen.
- Im Datenverkehr der geschützten virtuellen Maschinen die verdächtige Netzwerkaktivität entdecken. Das Vorhandensein der verdächtigen Netzwerkaktivität im Datenverkehr der geschützten virtuellen Maschine kann ein Merkmal für das Eindringen in die geschützte Infrastruktur sein. Bei der Analyse des Datenverkehrs der virtuellen Maschinen werden die Regeln für das Entdecken der verdächtigen Netzwerkaktivität verwendet, die in den Programm-Datenbanken von Kaspersky Security enthalten sind.
Wenn die Kontrolle der Netzwerkaktivität aktiviert ist, führt Kaspersky Security beim Entdecken der verdächtigen Netzwerkaktivität die Aktion aus, die in den Einstellungen die Richtlinien festgelegt ist. Beispielsweise kann das Programm die Verbindung zu einer IP-Adresse unterbrechen, die verdächtige Netzwerkaktivität zeigt, oder die Verbindung unterbrechen und den Datenverkehr von dieser IP-Adresse blockieren.
Wenn Kaspersky Security gemäß den angepassten Einstellungen den Datenverkehr von einer IP-Adresse blockiert, die die Quelle eines Netzwerkangriffs oder verdächtiger Netzwerkaktivität ist, entspricht die Dauer der Blockierung standardmäßig 60 Minuten. Sie können die Dauer der Blockierung des Datenverkehres ändern.
Bei der Bestimmung der Quelle eines Netzwerkangriffs oder einer verdächtigen Netzwerkaktivität wird die Zugehörigkeit des Datenverkehrs zum virtuellen lokalen Netzwerk (VLAN) berücksichtigt. Kaspersky Security blockiert den Datenverkehr von einer IP-Adresse nur in dem virtuellen lokalen Netzwerk, in dem der Netzwerkangriff oder die verdächtige Netzwerkaktivität erkannt wurde.
Sie können die Regeln der Ausnahme aus dem Schutz vor Netzwerkbedrohungen anpassen, gemäß denen Kaspersky Security den Datenverkehr von bestimmten IP-Adressen von der Untersuchung ausschließt oder bestimmte Aktionen bei der Verarbeitung dieses Datenverkehrs ausführt.
Beim Entdecken eines Netzwerkangriffs oder einer verdächtigen Netzwerkaktivität weist Kaspersky Security den Sicherheitstag IDS_IPS.threat=high der virtuellen Maschine zu, in deren Datenverkehr eine für Netzwerkangriffe typische Aktivität oder eine verdächtige Netzwerkaktivität gefunden wurde.