Événements Scan.Generic.PortScan et DoS.Generic.Flood dans Kaspersky Endpoint Security for Windows
Dernière mise à jour : 4 juin 2024
Article ID : 16054
Afficher les applications et les versions auxquelles ces informations s'appliquent
- Kaspersky Endpoint Security 12.5 for Windows (version 12.5.0.539),
- Kaspersky Endpoint Security 12.4 for Windows (version 12.4.0.467),
- Kaspersky Endpoint Security 12.3.0 for Windows (version 12.3.0.493),
- Kaspersky Endpoint Security 12.2 for Windows (version 12.2.0.462),
- Kaspersky Endpoint Security 12.1 for Windows (version 12.1.0.506),
- Kaspersky Endpoint Security 12.0 for Windows (version 12.0.0.465),
- Kaspersky Endpoint Security 11.11 for Windows (version 11.11.0.452),
- Kaspersky Endpoint Security 11.10 for Windows (version 11.10.0.399),
- Kaspersky Endpoint Security 11.9 for Windows (version 11.9.0.351),
- Kaspersky Endpoint Security 11.8 for Windows (version 11.8.0.384),
- Kaspersky Endpoint Security 11.7 for Windows (version 11.7.0.669).
Problème
Lors de l’utilisation de Kaspersky Endpoint Security for Windows des événements notifiant sur les objets et attaques bloqués créés par le module Protection contre les menaces réseau peuvent survenir.
Exemples des événements :
- Menace réseau détectée Scan.Generic.TCP
L’événement « Une attaque réseau a été détectée » est survenu sur l’appareil <nom de l’appareil> dans le domaine Windows <nom du domaine> le 4 juin 2024 à 12:03:18 (GMT+01:00)
Utilisateur : exemple.com\Utilisateur (Utilisateur active)
Module : Protection contre les menaces réseau
Description du résultat : Interdit
Nom : Scan.Generic.PortScan.TCP
Objet : TCP de 192.0.2.34 à 192.0.2.46:41698
Type d'objet : Paquet réseau
Nom de l'objet : TCP de 192.0.2.34 à 192.0.2.46:41698
Supplémentaire : 192.0.2.46
Date d'édition des bases : 02.06.2024 22:45:00
Utilisateur : exemple.com\Utilisateur (Utilisateur active)
Module : Protection contre les menaces réseau
Description du résultat : Interdit
Nom : Scan.Generic.PortScan.TCP
Objet : TCP de 192.0.2.34 à 192.0.2.46:41698
Type d'objet : Paquet réseau
Nom de l'objet : TCP de 192.0.2.34 à 192.0.2.46:41698
Supplémentaire : 192.0.2.46
Date d'édition des bases : 02.06.2024 22:45:00
- Menace réseau détectée Scan.Generic.UDP
L’événement « Une attaque réseau a été détectée » est survenu sur l’appareil <nom de l’appareil> dans le domaine Windows <nom du domaine> le 4 juin 2024 à 12:12:18 (GMT+01:00)
Utilisateur : exemple.com\Utilisateur (Utilisateur active)
Module : Protection contre les menaces réseau
Description du résultat : Interdit
Nom : Scan.Generic.PortScan.UDP
Objet : UDP de 192.0.2.45 à 198.51.100.148:53855
Type d'objet : Paquet réseau
Nom de l'objet : UDP de 192.0.2.45 à 198.51.100.148:53855
Supplémentaire : 198.51.100.148
Date d'édition des bases : 02.06.2024 22:45:00
Utilisateur : exemple.com\Utilisateur (Utilisateur active)
Module : Protection contre les menaces réseau
Description du résultat : Interdit
Nom : Scan.Generic.PortScan.UDP
Objet : UDP de 192.0.2.45 à 198.51.100.148:53855
Type d'objet : Paquet réseau
Nom de l'objet : UDP de 192.0.2.45 à 198.51.100.148:53855
Supplémentaire : 198.51.100.148
Date d'édition des bases : 02.06.2024 22:45:00
- Menace réseau détectée DoS.Generic.Flood.TCPSYN
L’événement « Une attaque réseau a été détectée » est survenu sur l’appareil <nom de l’appareil> dans le domaine Windows <nom du domaine> le 4 juin 2024 à 12:16:18 (GMT+01:00)
Utilisateur : NT AUTHORITY\SYSTEM (Utilisateur système)
Module : Protection contre les menaces réseau
Description du résultat : Interdit
Nom : DoS.Generic.Flood.TCPSYN
Objet : TCP de 192.0.2.247 à 192.0.2.19:84
Type d'objet : Paquet réseau
Nom de l'objet : TCP de 192.0.2.247 à 192.0.2.19:84
Supplémentaire : 192.0.2.19
Date d'édition des bases : 02.06.2024 22:45:00
Utilisateur : NT AUTHORITY\SYSTEM (Utilisateur système)
Module : Protection contre les menaces réseau
Description du résultat : Interdit
Nom : DoS.Generic.Flood.TCPSYN
Objet : TCP de 192.0.2.247 à 192.0.2.19:84
Type d'objet : Paquet réseau
Nom de l'objet : TCP de 192.0.2.247 à 192.0.2.19:84
Supplémentaire : 192.0.2.19
Date d'édition des bases : 02.06.2024 22:45:00
Vous pouvez consulter la description de ces types de menace sur Kaspersky Threats :
Cause
Ces événements peuvent survenir dans les cas suivants :
- une mauvaise configuration des routeurs, des commutateurs et des pare-feu,
- des attaques DDoS sur l’appareil protégé,
- des attaques sur les services ou protocoles vulnérables,
- une configuration spéciale requise pour les applications ou le matériel utilisés, par exemple, pour les multicopieurs,
- une version obsolète de Kaspersky Endpoint Security for Windows ou les bases de données obsolètes.
Solution
- Vérifiez que les bases de données sont à jour sur l’appareil en question.
- Installez la dernière version de Kaspersky Endpoint Security for Windows et le dernier correctif cumulatif disponible.
Si vous avez identifié la cause du problème et que vous êtes sûr que cet objet n’est pas dangereux, vous pouvez l’ajouter aux exclusions du module Protection contre les menaces réseau :
- Sur le Serveur d'administration, ouvrez les propriétés de la stratégie de Kaspersky Endpoint Security for Windows.
- Accédez à Protection principale → Protection contre les menaces réseau → Paramètres de la Protection contre les menaces réseau.
- Cliquez sur Exclusions.
- Ajoutez à la liste des exclusions l’adresse distante de l’objet, son port local et le protocole de connexion.
Pour vérifier que le comportement du logiciel tiers ou du matériel causant ces événements n’est pas dangereux, contactez l’assistance de l’éditeur du logiciel ou du fournisseur du matériel.
Que faire si le problème persiste
Pour obtenir de l’aide pour identifier la cause du problème, collectez les informations de diagnostic et déposez une demande auprès du support technique de Kaspersky via Kaspersky CompanyAccount.