ホスト侵入防止
2022年3月25日
ID 60068
仮想マシンを侵入から保護するときに、Kaspersky Security は次の処理を実行できます:
- 保護対象の仮想マシンでのネットワーク攻撃を検知します。
ネットワーク攻撃防御が有効の場合、保護対象の仮想マシンでネットワーク攻撃の試行を検知すると、ポリシーの設定で定義された処理を実行します。たとえば、ネットワーク攻撃元の IP アドレスとの接続を終了したり、この IP アドレスとの接続を終了してそこからのトラフィックをブロックし、この IP アドレスから今後受ける可能性のあるネットワーク攻撃から仮想マシンを自動的に保護できます。
- 保護対象の仮想マシンのトラフィックで疑わしいネットワーク動作を検知します。保護対象の仮想マシンのトラフィックで疑わしいネットワーク動作があった場合、保護対象のインフラストラクチャへの侵入の兆候である可能性があります。仮想マシンのトラフィックの分析により、Kaspersky Security の定義データベースに含まれる疑わしいネットワーク動作の識別ルールを適用します。
ネットワーク動作スキャナーが有効の場合、疑わしいネットワーク動作を検知すると、ポリシーの設定で定義された処理を実行します。たとえば、疑わしいネットワーク動作を示す IP アドレスとの接続を終了したり、この IP アドレスの接続を終了してそこからのトラフィックをブロックすることができます。
ネットワーク攻撃または疑わしいネットワーク動作の発生源となった IP アドレスからのトラフィックをブロックするように Kaspersky Security が設定されている場合、既定のブロック期間は 60 分です。トラフィックをブロックする期間は変更できます。
ネットワーク攻撃または疑わしいネットワーク動作の発生源の判断には、トラフィックが VLAN からのものであるかが考慮されます。Kaspersky Security は、ネットワーク攻撃または疑わしいネットワーク動作が検知された VLAN でのみ IP アドレスからのトラフィックをブロックします。
Kaspersky Security でネットワークの脅威からの保護の除外ルールを設定して、特定の IP アドレスのトラフィックをスキャンから除外したり、これらのトラフィックの処理時に特別な処理を適用できます。
ネットワーク攻撃、または疑わしいネットワーク動作を検知した場合、ネットワーク攻撃特有の動作や疑わしいネットワーク動作を示したトラフィックの仮想マシンに、セキュリティタグ IDS_IPS.threat=high を割り当てます。