仮想マシンを侵入から保護するときに、Kaspersky Security は次の処理を実行できます:
ネットワーク攻撃防御が有効の場合、保護対象の仮想マシンでネットワーク攻撃の試行を検知すると、ポリシーの設定で定義された処理を実行します。たとえば、仮想マシンからネットワーク攻撃元の IP アドレスとの接続を終了したり、この IP アドレスとの接続を終了してそこからのトラフィックをブロックし、この IP アドレスから今後受ける可能性のあるネットワーク攻撃から仮想マシンを自動的に保護できます。
ネットワーク動作スキャナーが有効の場合、疑わしいネットワーク動作を検知すると、ポリシーの設定で定義された処理を実行します。たとえば、疑わしいネットワーク動作を示す IP アドレスとの接続を終了したり、この IP アドレスの接続を終了してそこからのトラフィックをブロックすることができます。
ネットワーク攻撃または疑わしいネットワーク動作の発生源となった IP アドレスからのトラフィックをブロックするように Kaspersky Security が設定されている場合、既定のブロック期間は 60 分です。トラフィックをブロックする期間は変更できます。指定した時間が経過すると、トラフィックは自動的にブロック解除されます。
ネットワーク攻撃または疑わしいネットワーク動作の発生源の判断には、トラフィックが VLAN からのものであるかが考慮されます。Kaspersky Security は、ネットワーク攻撃または疑わしいネットワーク動作が検知された VLAN でのみ IP アドレスからのトラフィックをブロックします。
ネットワーク脅威対策が稼働する各 SVM によってブロック対象のネットワーク脅威の発生源のリストは、この SVM にインストールされたアプリケーションのプロパティに表示されます。製品の設定で定義されたブロック時間が経過すると、ネットワークの脅威の発生源がリストから自動的に削除されます。必要に応じて、選択した IP アドレスが自動的にブロック解除されるのを待たずに、選択した IP アドレスからのトラフィックのブロックを解除できます。
Kaspersky Security でネットワークの脅威からの保護の除外ルールを設定して、特定の IP アドレスのトラフィックをスキャンから除外したり、これらのトラフィックの処理時に特別な処理を適用できます。
ネットワーク攻撃、または疑わしいネットワーク動作を検知した場合、ネットワーク攻撃特有の動作や疑わしいネットワーク動作を示したトラフィックの仮想マシンに、セキュリティタグ IDS_IPS.threat=high を割り当てます。