ネットワーク脅威対策タスク(Network_Threat_Protection、ID:17)

ネットワーク脅威対策タスクの実行中、受信ネットワークトラフィックにネットワーク攻撃に特有の動作が含まれていないかどうかスキャンされます。Kaspersky Endpoint Security は、現在の定義データベースから TCP ポートの番号を取得し、これらのポートの受信トラフィックをスキャンします。タスクの開始時に、インターセプトされた TCP ポートの現在の接続がリセットされます。

ネットワークトラフィックをスキャンするために、ネットワーク脅威対策タスクは定義データベースからポート番号を取得し、これらすべてのポートを経由する接続を受け入れます。ネットワークスキャンプロセス中に、システム上のアプリケーションがこのポートをリッスンしていなかったとしても、デバイスのポートが開いているように見える場合があります。未使用のポートはファイアウォールで閉じておくことを推奨します。

デバイスを標的にしたネットワーク攻撃の試行が検知されると、攻撃元デバイスのネットワーク活動がブロックされ、その動作に対応するイベントがログに記録されます。攻撃元デバイスからのネットワークトラフィックをブロックする期間は 1 時間です。ブロックする期間はタスクの設定で変更できます。

Kaspersky Endpoint Security は、許可ルール(kesl_bypass)の特別なチェーンを、iptables および ip6tables ユーティリティの mangle テーブルのリストに追加します。この許可ルールのチェーンにより、製品のスキャンからトラフィックを除外できます。トラフィック除外ルールがチェーンに設定されている場合、ネットワーク脅威対策タスクの動作に影響を与えます。

この表では、ネットワーク脅威対策タスクで指定できるすべての設定と、その設定で使用可能なすべての値と既定値を説明します。

ネットワーク脅威対策タスクの設定

設定

説明

ActionOnDetect

ネットワーク攻撃に典型的なネットワーク活動の検知時に実行する処理。

Notify - ネットワーク活動を許可し、検知したネットワーク活動の情報をログに記録します。

Block(既定値) - ネットワーク活動をブロックし、その情報をログに記録します。

BlockAttackingHosts

攻撃元デバイスのネットワーク活動をブロックします。

Yes(既定値) - 攻撃元デバイスのネットワーク活動をブロックします。

No - 攻撃元デバイスのネットワーク活動を許可します。

BlockDurationMinutes

攻撃元デバイスをブロックする期間を指定します(分)。

1~32768

既定値:60

UseExcludeIPs

ネットワーク攻撃の検知時にネットワーク活動をブロックしない IP アドレスのリストの使用。本製品が危険な動作の情報を記録する対象は、これらのデバイスのみです。

ExcludeIPs.item_# 設定を使用して、IP アドレスを除外リストに追加できます。既定では、このリストは空です。

Yes – 除外された IP アドレスのリストを使用します。

No(既定値) – 除外された IP アドレスのリストを使用しません。

ExcludeIPs.item_#

本製品がそのネットワーク活動をブロックしない IP アドレスを指定します。

d.d.d.d - IPv4 アドレス、d は 10 進数の 0 - 255。

d.d.d.d/p – IPv4 のサブネットアドレス、p は数値 0 – 32。

x:x:x:x:x:x:x:x – IPv6 アドレス、x は 16 進数の 0 – ffff。

x:x:x:x::0/p – IPv6 のサブネットアドレス、p は数値 0 - 64。

既定値は定義されていません。

ページのトップに戻る