Prévention des intrusions
13 décembre 2023
ID 60068
Au cours de la protection des machines virtuelles contre les intrusions, Kaspersky Security peut exécuter les actions suivantes :
- Détecter les attaques réseau sur les machines virtuelles protégées.
Si la détection des attaques réseau est activée, lors de la détection d'une tentative d'attaque réseau sur la machine virtuelle protégée, Kaspersky Security exécute l'action spécifiée dans les paramètres de la stratégie. Par exemple, l'application peut interrompre la connexion entre la machine virtuelle et l'adresse IP à l'origine de l'attaque réseau ou interrompre la connexion et bloquer le trafic en provenance de cette adresse IP pour automatiquement protéger la machine virtuelle contre les futures attaques réseau possibles à partir de cette adresse IP.
- Détecter l'activité réseau suspecte dans le trafic des machines virtuelles protégées. La présence d'une activité réseau suspecte dans le trafic de la machine virtuelle protégée peut être le signe d'une intrusion dans l'infrastructure protégée. Lors de l'analyse du trafic des machines virtuelles, les règles de la révélation de l'activité réseau suspecte sont appliquées. Elles se trouvent dans les bases de l'application Kaspersky Security.
Si l'analyseur de l'activité réseau est activé, lors de la détection d'une activité réseau suspecte, Kaspersky Security exécute l'action spécifiée dans les paramètres de la stratégie. Par exemple, l'application peut interrompre la connexion avec l'adresse IP qui manifeste l'activité réseau suspecte ou interrompre la connexion et bloquer le trafic en provenance de cette adresse IP.
Si conformément aux paramètres définis Kaspersky Security bloque le trafic depuis l'adresse IP qui est à la source de l'attaque réseau ou de l'activité réseau suspecte, la durée de blocage est de 60 minutes par défaut. Vous pouvez modifier la durée de blocage du trafic. Une fois cette période écoulé, le trafic est automatiquement débloqué.
La détermination de la source de l'attaque réseau ou de l'activité réseau suspect tient compte de l'appartenance du trafic au réseau local virtuel (VLAN). Kaspersky Security bloque le trafic de l'adresse IP seulement dans le réseau local virtuel où l'attaque réseau ou l'activité réseau suspecte a été détectée.
La liste des sources de menaces réseau bloquées suite au fonctionnement de chaque SVM avec le composant Protection contre les menaces réseau s'affiche dans les propriétés de l'application installée sur cette SVM. Une fois la durée de blocage défini dans les paramètres de l'application écoulée, la source des menaces de réseau est automatiquement supprimée de la liste. Si nécessaire, vous pouvez annuler le blocage du trafic à partir des adresses IP sélectionnées, sans attendre le déblocage automatique.
Vous pouvez configurer les règles d'exclusion de la protection contre les menaces réseau selon lesquelles Kaspersky Security exclut de l'analyse le trafic en provenance d'adresses IP définies ou applique des actions spéciales au traitement de ce trafic.
Dans une infrastructure virtuelle administrée par VMware NSX-V Manager, en cas de détection d'une attaque réseau ou d'une activité réseau suspecte, Kaspersky Security attribue le tag de sécurité IDS_IPS.threat=high à la machine virtuelle dans le trafic de laquelle une activité caractéristique des attaques réseau ou une activité réseau suspecte est détectée.