Détection des menaces réseau
25 mars 2022
ID 66794
Le terme SVM dans cette section désigne une SVM dotée du composant Détection des menaces réseau.
Le composant Kaspersky Security Détection des menaces réseau exerce les fonctions suivantes :
- Prévention des intrusions. Kaspersky Security permet de détecter dans le trafic des machines virtuelles protégées l'activité caractéristique des attaques réseau, et l'activité réseau suspecte qui peut être un signe d'intrusion dans l'infrastructure protégée.
Kaspersky Security peut analyser le trafic au format IPv4 et IPv6.
- Analyse des adresses Internet. Kaspersky Security permet d'analyser les adresses Internet sollicitées par l'utilisateur sur la base des adresses internet malveillantes et de phishing.
Les paramètres de fonctionnement du composant Détection des menaces réseau dépendent du mode du traitement du trafic choisi à l'enregistrement du service de protection du réseau :
- Si vous avez choisi l'option Mode standard, lors de la détection de signes d'intrusions ou d'une tentative d'accès à des adresses Internet malveillantes, Kaspersky Security exécute l'action indiquée dans les paramètres de la stratégie, et transmet des informations sur les événements sur le serveur d'administration de Kaspersky Security Center.
- Si vous avez choisi Mode de surveillance, lors de la détection de signes d'intrusions ou d'une tentative d'accès à des adresses Internet malveillantes, Kaspersky Security n'entreprend pas d'actions de prévention des menaces, et transmet uniquement les informations sur les événements au serveur d'administration de Kaspersky Security Center.
Vous pouvez choisir le mode du traitement du trafic seulement lors de l'enregistrement du service de protection du réseau (Kaspersky Network Protection).
Kaspersky Security protège contre les menaces réseau seulement les machines virtuelles pour lesquelles toutes les conditions de la protection des machines virtuelles sont remplies.
Si vous voulez protéger les machines virtuelles contre les menaces réseau, après l'installation du composant Détection des menaces réseau, vous devez configurer les paramètres de protection contre les menaces réseau dans la stratégie active. Par défaut, Kaspersky Security ne protège pas les machines virtuelles contre les intrusions et n'analyse pas les adresses Internet.
Vous pouvez configurer les exclusions de la protection contre les menaces réseau par les moyens suivants :
- Exclure de l'analyse le trafic entrant ou sortant de toutes les machines virtuelles auxquelles une seule stratégie de sécurité de NSX (NSX Security Policy). Vous pouvez indiquer le trafic à analyser dans la stratégie de sécurité de NSX dans laquelle l'utilisation du service de protection du réseau (Kaspersky Network Protection) est configurée. La configuration de la stratégie de sécurité de NSX (NSX Security Policy) s'effectue dans la console VMware vSphere Web Client.
- Composer les règles d'exclusion de la protection contre les menaces réseau selon lesquelles Kaspersky Security exclut de l'analyse le trafic en provenance d'adresses IP définies ou applique des actions spéciales au traitement de ce trafic.
Les informations relatives aux événements survenus pendant la protection des machines virtuelles contre les menaces réseau sont transmises au Serveur d'administration de Kaspersky Security Center et consignées dans un rapport.
Les descriptions des types d'attaque réseau connus à ce jour et des signes d'intrusions, ainsi que les bases des adresses Internet malveillantes et de phishing figurent dans les bases de l'application qui sont enrichies lors de la mise à jour des bases de l'application.