ネットワーク脅威対策

ネットワーク脅威対策コンポーネント(侵入検知システムとも呼ばれます)は、ネットワーク攻撃に特徴的な活動がないか受信ネットワークトラフィックを監視します。Kaspersky Endpoint Security は、ユーザーのコンピューターへのネットワーク攻撃の試行を検知すると、攻撃しているコンピューターとのネットワーク接続をブロックします。現在知られているタイプのネットワーク攻撃の説明とそれらに対抗する方法は、Kaspersky Endpoint Security データベースで提供されています。ネットワーク脅威対策が検知するネットワーク攻撃のリストは、定義データベースと製品機能のアップデート時にアップデートされます。

ネットワーク脅威対策の設定

パラメータ

説明

ポートのスキャンおよびネットワークフラッディングを攻撃として扱う

ネットワークフラッディングとは、Web サーバーなど、企業のネットワークリソースに対する攻撃を意味します。これは、大量のリクエストを送信し、ネットワークリソースの帯域幅をオーバーロードさせる攻撃です。攻撃されると、ユーザーは企業のネットワークリソースにアクセスできなくなります。

ポートのスキャンとは、コンピューターの UDP ポート、TCP ポート、ネットワークサービスをスキャンする攻撃を意味します。これにより、攻撃者がコンピューターの脆弱性を把握して、より悪質な攻撃を仕掛けることができるようになります。また、コンピューターのオペレーティングシステムを識別し、そのオペレーティングシステムに適したネットワーク攻撃を行うためにポートがスキャンされることもあります。

このチェックボックスをオンにすると、Kaspersky Endpoint Security はこれらの攻撃を検知するためネットワークトラフィックを監視します。攻撃が検知されると、ユーザーへの通知に加え、対応するイベントが Kaspersky Security Center に送信されます。また、脅威の対応処理を迅速に行うために必要な、攻撃元のコンピューターに関する情報が提供されます。

一部の許可されるアプリケーションがこのような攻撃と似た動作を行う場合は、これらの検知機能を無効にすることができます。これにより誤検知を減らすことができます。

攻撃元の端末をブロックする時間

このオプションを有効にすると、ネットワーク脅威対策は攻撃コンピューターをブロックリストに追加します。つまり、ネットワーク脅威対策は、最初のネットワーク攻撃が試行された後、攻撃コンピューターとのネットワーク接続を一定の時間ブロックします。これにより、同じアドレスからの以降のネットワーク攻撃の可能性に対して、ユーザーのコンピューターが自動的に保護されます。ブロックリストに追加された攻撃元コンピューターをブロックする時間の最小値は 1 分です。最大値は 999 分です。

ブロックのリストはネットワークモニターツールウィンドウで表示できます。

Kaspersky Endpoint Security は、アプリケーションが再起動されたときとネットワーク脅威対策の設定が変更されたときにブロックリストを消去します。

除外リスト

IP アドレスのリストです。ネットワーク脅威対策は、このリストに掲載される IP アドレスからのネットワーク攻撃をブロックしません。

ポートおよびプロトコルを指定した IP アドレスを追加することができます。

除外リストに含まれる IP アドレスからのネットワーク攻撃に関する情報は、ログに記録されません。

MAC スプーフィング対策

MAC スプーフィング攻撃では、ネットワークデバイス(ネットワークカード)の MAC アドレスを変更します。その結果、攻撃者はデバイスに送信されたデータを別のデバイスにリダイレクトし、このデータにアクセスすることができます。Kaspersky Endpoint Security で MAC スプーフィング攻撃をブロックし、攻撃に関する通知を管理者に送信できます。

参照:製品のローカルインターフェイスを使用した管理

ネットワーク脅威対策の有効化と無効化

攻撃元コンピューターのブロック

ブロックから除外するアドレスの設定

ネットワーク攻撃の種別に対応した保護を設定する

ページのトップに戻る