仮想マシンのネットワーク活動スキャナーの設定

疑わしいネットワーク活動の検知機能は、Enterprise ライセンスで本製品を利用している場合にのみ使用できます。

保護対象仮想マシンに対して、ネットワーク活動スキャナーを設定するには：

1. Kaspersky Security Center 管理コンソールで、関連する仮想マシンを範囲に含むポリシーのプロパティを開きます：
   1. コンソールツリーで、ポリシーが作成されたフォルダーまたは管理グループを選択します。
   2. 作業領域で、［ポリシー］タブを選択します。
   3. ポリシーのリストでポリシーを選択し、ポリシーをダブルクリックすると、ポリシーのプロパティウィンドウが開きます。
2. ポリシーのプロパティウィンドウの［ネットワーク脅威対策］セクションで、［侵入防止］サブセクションを選択します。
3. 仮想マシンのネットワーク活動スキャナーが無効になっている場合は、［仮想マシンのネットワーク活動の監視］をオンにします。
4. ［設定］をクリックします。

   ［ネットワーク活動スキャナーのパラメータ］ウィンドウが表示されます。

5. Kaspersky Security により、ネットワークの動作の兆候を検知すべきアプリケーションのカテゴリが指定されます：
   • アドウェア

     アドウェアに特有のネットワーク活動の検知を有効または無効にします。

     アドウェアは、ユーザーに広告情報を表示し、検索内容を広告サイトに転送して、ユーザーに関するマーケティング情報をアドウェアの開発者に送信するよう設計されています。スパイウェア型のトロイの木馬とは異なり、アドウェアは、このような情報をユーザーの同意を得てから転送します。

     このチェックボックスをオンにすると、Kaspersky Security は保護対象仮想マシンのトラフィックでアドウェアに特有の動作を検知します。

     このチェックボックスをオフにすると、アドウェアに特有の動作の検知が無効になります。

     既定では、このチェックボックスはオフです。

   • その他のプログラム

     仮想マシンやユーザーデータへの攻撃に使用される可能性がある、正規のソフトウェア特有のネットワーク活動の検知を有効または無効にします。

     対象となるアプリケーションは、たとえば、ファイルダウンロードプログラム、リモート管理プログラム、ユーザーアクティビティモニター、パスワード管理アプリケーションなどです。これらのプログラムは通常、合法の目的で使用されます。ただし、犯罪者がこれらのプログラムへのアクセス権を取得すると、プログラムの機能の一部を利用して、仮想マシンやユーザーデータに損害を与える場合があります。

     このチェックボックスをオンにすると、Kaspersky Security は保護対象仮想マシンのトラフィックで、仮想マシンやユーザーのデータに損害を与える目的で使用される可能性がある正規のソフトウェア特有の動作を検知します。

     このチェックボックスをオフにすると、それらのプログラムに特有の動作の検知が無効になります。

     既定では、このチェックボックスはオフです。

   Kaspersky Security は、保護対象仮想マシンのトラフィックでウイルス、ワーム、トロイの木馬などのマルウェアに特有のネットワークの動作を常に検知します。

6. 検知されたネットワーク活動が、保護対象インフラストラクチャへの侵入の兆候ではないことを確認できる場合は、その動作を検知するルールを除外リストに追加できます。リストに追加されたルールは、保護対象仮想マシンのトラフィックで疑わしいネットワーク活動を検知するために適用されません。

   適用されたルールに関する情報は、疑わしいネットワーク活動の検知時に Kaspersky Security Center に送信されたイベントのテキストで確認できます。

   リストにルールを追加するには、リストの上部にある［追加］をクリックし、新しく追加された行にルール ID を入力します。ルール ID は、「<数値>:<数値>:<数値>」の形式で入力します。

7. ［ネットワーク活動スキャナーのパラメータ］ウィンドウで、［OK］をクリックします。
8. ［疑わしい動作の検知時の処理（ネットワーク保護が標準モードで動作している場合）］をドロップダウンリストで選択します。

   このドロップダウンリストには、ネットワーク保護が標準モードで有効になっている場合、保護対象仮想マシンのトラフィックで疑わしいネットワーク活動を検知した時に Kaspersky Security が実行できる処理が含まれます。次の中からいずれかを選択できます：

   • 無視する：疑わしいネットワーク活動を示す仮想マシンに関して、処理が実行されません。
   • 接続を終了する：疑わしいネットワーク活動を示す保護対象仮想マシンと他の仮想マシンとの間の接続を終了します。

     既定では、この処理が選択されています。

   • 接続を終了し、送信元 IP アドレスからのトラフィックをブロックする：疑わしいネットワーク活動を示す保護対象仮想マシンと他の仮想マシンとの間の接続を終了し、疑わしいネットワーク活動の発生源となっている IP アドレスからのトラフィックをブロックします。ネットワーク攻撃または疑わしいネットワーク活動が検知された VLAN でトラフィックがブロックされます。トラフィックのブロック時間は［脅威の検知時にトラフィックを N 分間ブロックする］フィールドで設定されます。

   疑わしいネットワーク活動の検知に関する情報が Kaspersky Security Center に送信されます。

   ［仮想マシンのネットワーク活動の監視］がオンの場合は、処理を選択できます。

   ネットワーク保護が監視モードで動作している場合、疑わしいネットワーク活動を検知すると、［無視する］の処理が実行されます。

9. 必要に応じて、［脅威の検知時にトラフィックを N 分間ブロックする］の設定の値を変更します。

   ネットワーク攻撃または疑わしいネットワーク活動の発生源となっている IP アドレスからのトラフィックをブロックする期間。ネットワーク攻撃または疑わしいネットワーク活動の発生源の判断には、トラフィックが VLAN からのものであるかが考慮されます。Kaspersky Security は、ネットワーク攻撃または疑わしいネットワーク活動が検知された VLAN でのみ IP アドレスからのトラフィックをブロックします。

   既定のブロック期間は 60 分です。

10. 必要に応じて、Kaspersky Security でネットワークの脅威からの保護の除外ルールを設定して、特定の IP アドレスのトラフィックをスキャンから除外したり、これらのトラフィックの処理時に特別な処理を適用します。
11. ポリシーのプロパティウィンドウで［OK］をクリックします。

ページのトップに戻る