Configuration des paramètres de détection des attaques réseau
Pour configurer les paramètres de détection des attaques réseau, procédez comme suit :
Dans la Console d'administration Kaspersky Security Center, ouvrez les propriétés de la stratégie dont la zone d'action contient les machines virtuelles dont vous avez besoin :
Dans l'espace de travail, choisissez l'onglet Stratégies.
Dans la liste, sélectionnez une stratégie et double-cliquez sur celle-ci pour ouvrir la fenêtre Propriétés : <Nom de la stratégie>.
Dans la fenêtre des propriétés de la stratégie dans la section Protection contre les menaces réseau, sélectionnez la sous-section Prévention des intrusions.
Cochez la case Détecter les attaques réseau si la fonction de détection des attaques réseau est désactivée.
La liste déroulante contient les actions que Kaspersky Security peut effectuer lorsqu'une attaque réseau est détectée sur une machine virtuelle protégée, si la protection réseau fonctionne en mode standard. Vous avez le choix entre les options suivantes :
Ignorer. Kaspersky Security n'exécute aucune action de prévention de l'attaque réseau.
Interrompre la connexion. Kaspersky Security interrompt la connexion entre la machine virtuelle protégée et l'adresse IP à l'origine de l'attaque réseau.
Interrompre la connexion et bloquer le trafic depuis l'adresse IP de l'expéditeur. Kaspersky Security interrompt la connexion entre la machine virtuelle protégée et l'adresse IP à l'origine de l'attaque réseau, et bloque également le trafic en provenance de cette adresse IP. Le trafic est bloqué dans le réseau local virtuel où la tentative d'attaque réseau a été détectée. La durée du blocage du trafic est configurée dans le champ En cas de détection d'une menace, bloquer le trafic pour X minutes.
Cette option est sélectionnée par défaut.
Les informations sur la détection des attaques réseau et les actions exécutées sont envoyées à Kaspersky Security Center.
Le bouton est accessible si la case Détecter les attaques réseau est cochée.
Si la protection réseau est déployée en mode de surveillance, en cas de détection d'une attaque réseau, Kaspersky Security exécute l'action Ignorer.
Durée du blocage du trafic de l'adresse IP à l'origine de l'attaque réseau ou de l'activité réseau suspecte. La détermination de la source de l'attaque réseau ou de l'activité réseau suspect tient compte de l'appartenance du trafic au réseau local virtuel (VLAN). Kaspersky Security bloque le trafic de l'adresse IP seulement dans le réseau local virtuel où l'attaque réseau ou l'activité réseau suspecte a été détectée.
Par défaut, la durée du blocage est de 60 minutes.
Le cas échéant, configurez les règles d'exclusion de la protection contre les menaces réseau selon lesquelles Kaspersky Security exclut de l'analyse le trafic en provenance d'adresses IP définies ou applique des actions spéciales au traitement de ce trafic.
Cliquez sur le bouton OK dans la fenêtre Propriétés : <Nom de la stratégie>.