Intrusion Prevention
13. Dezember 2023
ID 60068
Während des Schutzes der virtuellen Maschinen vor Eindringen kann Kaspersky Security folgende Aktionen ausführen:
- Netzwerkangriffe auf die geschützten virtuellen Maschinen erkennen.
Wenn das Erkennen von Netzwerkangriffen aktiviert ist, führt Kaspersky Security beim Entdecken eines versuchten Netzwerkangriffs auf die geschützte virtuelle Maschine die Aktion aus, die in den Einstellungen die Richtlinien festgelegt ist. Beispielsweise kann das Programm die Verbindung zwischen der virtuellen Maschine und der IP-Adresse, von der der Netzwerkangriff erfolgt ist, unterbrechen bzw. die Verbindung unterbrechen und den Datenverkehr von dieser IP-Adresse blockieren, um die virtuelle Maschine automatisch vor möglichen zukünftigen Netzwerkangriffen von dieser IP-Adresse aus zu schützen.
- Im Datenverkehr der geschützten virtuellen Maschinen die verdächtige Netzwerkaktivität entdecken. Das Vorhandensein der verdächtigen Netzwerkaktivität im Datenverkehr der geschützten virtuellen Maschine kann ein Merkmal für das Eindringen in die geschützte Infrastruktur sein. Bei der Analyse des Datenverkehrs der virtuellen Maschinen werden die Regeln für das Entdecken der verdächtigen Netzwerkaktivität verwendet, die in den Programm-Datenbanken von Kaspersky Security enthalten sind.
Wenn die Kontrolle der Netzwerkaktivität aktiviert ist, führt Kaspersky Security beim Entdecken der verdächtigen Netzwerkaktivität die Aktion aus, die in den Einstellungen die Richtlinien festgelegt ist. Beispielsweise kann das Programm die Verbindung zu einer IP-Adresse unterbrechen, die verdächtige Netzwerkaktivität zeigt, oder die Verbindung unterbrechen und den Datenverkehr von dieser IP-Adresse blockieren.
Wenn Kaspersky Security gemäß den angepassten Einstellungen den Datenverkehr von einer IP-Adresse blockiert, die die Quelle eines Netzwerkangriffs oder verdächtiger Netzwerkaktivität ist, entspricht die Dauer der Blockierung standardmäßig 60 Minuten. Sie können die Dauer der Blockierung des Datenverkehres ändern. Nach Ablauf der angegebenen Zeitspanne wird der Datenverkehr automatisch blockiert.
Bei Bestimmen der Quelle des Netzwerkangriffs oder der verdächtigen Netzwerkaktivität wird die Zugehörigkeit des Datenverkehres zum virtuellen lokalen Netzwerk (VLAN) berücksichtigt. Kaspersky Security sperrt den Datenverkehr von der IP-Adresse nur in dem virtuellen lokalen Netzwerk, in dem der Netzwerkangriff oder die verdächtige Netzwerkaktivität erkannt wurde.
Die Liste der Quellen von Netzwerkbedrohungen, die nach Ausführung jeder SVM mit der Komponenten "Schutz vor Netzwerkbedrohungen" blockiert wurden, wird in den Eigenschaften des auf der jeweiligen SVM installierten Programms angezeigt. Nach Ablauf der in den Programmeinstellungen angegebenen Zeitspanne für die Blockierung wird die Quelle von Netzwerkbedrohungen automatisch aus der Liste gelöscht. Sie können die Blockierung des Datenverkehrs von ausgewählten IP-Adressen erforderlichenfalls ändern, ohne das Ende der automatischen Blockierung abzuwarten.
Sie können die Regeln der Ausnahme aus dem Schutz vor Netzwerkbedrohungen anpassen, gemäß denen Kaspersky Security den Datenverkehr von bestimmten IP-Adressen von der Untersuchung ausschließt oder bestimmte Aktionen bei der Verarbeitung dieses Datenverkehrs ausführt.
In einer von VMware NSX-V Manager verwalteten Infrastruktur weist Kaspersky Security beim Erkennen eines Netzwerkangriffs oder einer verdächtigen Netzwerkaktivität der virtuellen Maschine, in deren Datenverkehr die für Netzwerkangriffe typische Aktivität oder die verdächtige Netzwerkaktivität gefunden wurde, das Sicherheitstag IDS_IPS.threat=high zu.