请在 Web 浏览器中启用 JavaScript!
配置虚拟机的网络活动扫描
只有在按企业授权许可使用应用程序时, 可疑网络活动检测功能 才可用。
要配置受保护虚拟机的网络活动扫描设置,请执行以下操作:
在 Kaspersky Security Center 管理控制台中,打开范围 包括相关虚拟机的策略的属性:在控制台树中,选择在其中创建策略 的文件夹或管理组。 在工作区中,选择策略 选项卡。 在策略列表中选择策略,然后双击此策略打开属性:<策略名称> 窗口。 在策略属性窗口的“网络威胁防护 ”区域中,选择“入侵防御 ”子区域。 如果虚拟机网络活动扫描仪被禁用,请选择“监控虚拟机网络活动 ”复选框。 单击设置 按钮。“网络活动扫描参数 ”窗口将打开。
指定 Kaspersky Security 应检测其网络活动迹象的应用程序类别:广告软件 启用/禁用检测广告软件的典型网络活动。
广告软件用于向用户显示广告信息,将搜索查询重定向到广告网站,并向广告软件开发者发送与该用户相关的营销信息。与间谍木马类型的程序不同,广告软件会在传输此信息之前征得用户许可。
如果选中该复选框,Kaspersky Security 将在受保护的虚拟机的流量中检测广告软件的典型活动。
如果清除该复选框,将禁用检测广告软件的典型活动。
默认情况下取消选中该复选框。
其他程序 启用/禁用检测可能会被犯罪分子利用以危害虚拟机或用户数据的合法软件的典型网络活动。
这些应用程序包括文件下载程序、远程管理程序、用户活动监控程序和密码管理应用程序。这些程序通常用于合法用途。不过,如果犯罪分子获得了对此类程序的访问权限,他们可能会利用程序的某些功能来危害虚拟机或用户数据。
如果选中该复选框,Kaspersky Security 将在受保护的虚拟机的流量中检测可能会被犯罪分子利用以危害虚拟机或用户数据的合法软件的典型活动。
如果清除该复选框,将禁用检测此类程序的典型活动。
默认情况下取消选中该复选框。
Kaspersky Security 将始终在受保护虚拟机的流量中检测此类恶意软件(例如,病毒、蠕虫和木马)的典型网络活动。
如果您认为 Kaspersky Security 检测到的网络活动不是入侵受保护基础架构的迹象,可以将检测到此活动的规则添加到排除列表中。Kaspersky Security 将不会应用其中列出的规则来检测受保护虚拟机流量中的可疑网络活动。当 Kaspersky Security Center 检测到可疑网络活动时,您可以在发送到 Kaspersky Security Center 的事件文本中查看已应用的规则的相关信息。
要向该列表添加规则,请单击位于列表上方的添加 按钮,然后在新添加的行中输入以下格式的规则 ID:<number>:<number>:<number>。
在“网络活动扫描参数 ”窗口中,单击“确定 ”。 在如果网络保护在标准模式下运行,检测到可疑活动时的操作 此下拉列表包含了 Kaspersky Security 在受保护虚拟机的流量中检测到可疑网络活动时可以执行的操作(如果在标准模式下启用网络保护)。您可以选择以下选项之一:
忽略 。Kaspersky Security 不会对显示有可疑网络活动的虚拟机执行任何操作。终止连接 。Kaspersky Security 将终止显示有可疑网络活动的受保护的虚拟机与其他虚拟机之间的连接。默认选定该操作。
终止连接并阻止来自发送方 IP 地址的流量 。Kaspersky Security 将终止显示有可疑网络活动的受保护的虚拟机与其他虚拟机之间的连接,并阻止来自发起可疑网络活动的 IP 地址的流量。在其中检测到网络攻击或可疑网络活动的指定 VLAN 中的流量被阻止。可在“在检测到威胁时,阻止流量 N 分钟 ”字段中配置阻止流量的持续时间。有关可疑网络活动检测和和采取的操作的信息将被发送到 Kaspersky Security Center。
如果选中“监控虚拟机网络活动 ”复选框,则可以选择一项操作。
如果网络保护在监控模式 下工作,当 Kaspersky Security 检测到可疑的网络活动时,它会执行“忽略 ”操作。
必要时更改设置检测到威胁时,阻止流量 N 分钟 阻止发起网络攻击或可疑网络活动的 IP 地址的流量的持续时间。当确定网络攻击或可疑网络活动的来源时,应用程序将考虑流量是否来自虚拟 LAN (VLAN)。Kaspersky Security 仅在检测到网络攻击或可疑网络活动的 VLAN 中阻止来自 IP 地址的流量。
默认阻止持续时间为 60 分钟。
必要的话,配置 Kaspersky Security 将用来把特定 IP 地址的流量排除在扫描之外或处理此类流量时应用特殊操作的网络威胁防护排除规则 。 在属性:<策略名称> 窗口中,单击确定 。 页面顶部