Configurarea componentei Network Threat Protection în funcție de tip
Kaspersky Endpoint Security lvă permite să gestionați protecția împotriva următoarelor tipuri de atacuri de rețea:
Supraîncărcare rețea este un atac asupra resurselor rețelei unei organizații (cum ar fi serverele web). Acest atac constă în trimiterea unui număr mare de soliciăr pentru a supraîncărca lățimea de bandă a resurselor rețelei. Când se întâmplă acest lucru, utilizatorii nu mai pot accesa resursele rețelei organizației.
Un atac de tip Scanare port constă în scanarea porturilor UDP, TCP și a serviciilor de rețea de pe computer. Acest atac permite atacatorului să identifice gradul de vulnerabilitate al computerului înainte să efectueze tipuri mai periculoase de atacuri de rețea. De asemenea, atacul de tip Scanare port permite atacatorului să identifice sistemul de operare de pe computer și să selecteze atacurile de rețea corespunzătoare pentru acest sistem de operare.
Un atac de falsificare a adresei MAC constă în schimbarea adresei MAC a unui dispozitiv de rețea (placă de rețea). Drept urmare, un atacator poate redirecționa datele trimise către un dispozitiv către un alt dispozitiv și poate avea acces la aceste date. Kaspersky Endpoint Security vă permite să blocați atacurile de falsificare a adresei MAC și să primiți notificări despre atacuri.
Puteți dezactiva detectarea acestor tipuri de atacuri în cazul în care unele dintre aplicațiile permise efectuează operații tipice pentru aceste tipuri de atacuri. Acest lucru va ajuta la evita alarmelor false.
În mod implicit, Kaspersky Endpoint Security nu monitorizează atacurile de tip Supraîncărcare rețea, Scanare port și Falsificare adresă MAC.
Nu îți recomandăm să activezi protecția împotriva falsificării MAC pe mașinile virtuale din infrastructura Microsoft Hyper-V. Datorită specificului platformei Microsoft Hyper-V, Kaspersky Industrial CyberSecurity for Nodes poate bloca hypervisorul din cauza rezultatelor fals pozitive.
Utilizați caseta de selectare Tratează scanarea porturilor și supraîncărcarea rețelei ca atacuri pentru a activa sau dezactiva detectarea acestor atacuri.
Dacă această funcționalitate este activată, Kaspersky Endpoint Security monitorizează traficul de rețea pentru scanarea porturilor și inundarea rețelei. Dacă este detectat un astfel de comportament, aplicația notifică utilizatorul și trimite evenimentul corespunzător către Kaspersky Security Center. Aplicația furnizează informații despre computerul care face solicitările. Aceste informații sunt necesare pentru un răspuns în timp util. Cu toate acestea, Kaspersky Endpoint Security nu blochează computerul care face solicitările, deoarece un astfel de trafic poate fi un eveniment normal în rețeaua companiei.
În blocul Modul Protecție împotriva falsificării adresei MAC, selectați una dintre următoarele opțiuni:
Nu se urmăresc încercările de falsificare a adresei MAC.
În fereastra principală a Web Console, selectați Assets (Devices) → Policies & profiles.
Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
Selectați fila Application settings.
Accesați Communication & Web Protection → Network Threat Protection.
Utilizați caseta de selectare Treat port scanning and network flooding as attacks pentru a activa sau dezactiva detectarea acestor atacuri.
Dacă această funcționalitate este activată, Kaspersky Endpoint Security monitorizează traficul de rețea pentru scanarea porturilor și inundarea rețelei. Dacă este detectat un astfel de comportament, aplicația notifică utilizatorul și trimite evenimentul corespunzător către Kaspersky Security Center. Aplicația furnizează informații despre computerul care face solicitările. Aceste informații sunt necesare pentru un răspuns în timp util. Cu toate acestea, Kaspersky Endpoint Security nu blochează computerul care face solicitările, deoarece un astfel de trafic poate fi un eveniment normal în rețeaua companiei.
Utilizați comutatorul Network Threat Protection ENABLED pentru a activa sau dezactiva detectarea acestor atacuri. Selectați una dintre următoarele opțiuni:
În fereastra cu setările aplicației, selectați Essential Threat Protection → Network Threat Protection.
Setări Network Threat Protection
Uilizați comutatorul Tratează scanarea porturilor și supraîncărcarea rețelei ca atacuri pentru a activa sau dezactiva detectarea acestor atacuri.
Dacă această funcționalitate este activată, Kaspersky Endpoint Security monitorizează traficul de rețea pentru scanarea porturilor și inundarea rețelei. Dacă este detectat un astfel de comportament, aplicația notifică utilizatorul și trimite evenimentul corespunzător către Kaspersky Security Center. Aplicația furnizează informații despre computerul care face solicitările. Aceste informații sunt necesare pentru un răspuns în timp util. Cu toate acestea, Kaspersky Endpoint Security nu blochează computerul care face solicitările, deoarece un astfel de trafic poate fi un eveniment normal în rețeaua companiei.
Uilizați comutatorul Protecție falsificare MAC pentru a activa sau dezactiva detectarea acestor atacuri.
În blocul Acțiune la detectarea unui atac de falsificare a adresei MAC, selectați una dintre următoarele opțiuni:
.