ネットワーク脅威対策は、受信ネットワークトラフィックにネットワーク攻撃に特有の動作が含まれていないかどうかスキャンします。
Kaspersky Endpoint Security は、現在の定義データベースから TCP ポートの番号を取得し、これらのポートの受信トラフィックをスキャンします。
ネットワークトラフィックをスキャンするために、ネットワーク脅威対策タスクは定義データベースからポート番号を取得し、これらすべてのポートを経由する接続を受け入れます。ネットワークスキャンプロセス中に、システム上のアプリケーションがこのポートをリッスンしていなかったとしても、デバイスのポートが開いているように見える場合があります。未使用のポートはファイアウォールで閉じておくことを推奨します。
ネットワーク脅威対策が有効になっている場合、読み取られた TCP ポートの現在の接続はリセットされます。
ネットワーク脅威対策が有効になっている場合、保護対象デバイスに対するネットワーク攻撃の試みが検知されると、アプリケーションは攻撃デバイスからのネットワークアクティビティをブロックし、ネットワーク攻撃検知イベントを作成します。イベントには、攻撃デバイスに関する情報が含まれています。既定では、攻撃デバイスからのネットワークトラフィックは 1 時間ブロックされます。ブロック時間が経過すると、アプリケーションはデバイスのブロックを解除します。
既定では、ネットワーク脅威保護は無効になっています。
ネットワーク脅威対策を有効または無効にしたり、次の保護設定を行うことができます:
コマンドラインでブロックされたデバイスを管理するコマンドを使用して、ブロックされたデバイスのリストを表示し、これらのデバイスのブロックを手動で解除することができます。Kaspersky Security Center には、ネットワーク攻撃が検知されたイベントを除き、ブロックされたデバイスを監視および管理するためのツールはありません。
Kaspersky Endpoint Security のトラフィック読み取りの除外リストを設定している場合、ネットワーク脅威対策に影響します。