侵入防止
2023年12月13日
ID 60068
仮想マシンを侵入から保護する時に、Kaspersky Security は次の処理を実行できます:
- 保護対象仮想マシンでのネットワーク攻撃を検知します。
ネットワーク攻撃防御が有効の場合、保護対象仮想マシンでネットワーク攻撃の試行を検知すると、ポリシーの設定で定義された処理を実行します。たとえば、仮想マシンからネットワーク攻撃元の IP アドレスとの接続を終了したり、この IP アドレスとの接続を終了してそこからのトラフィックをブロックし、この IP アドレスから今後受ける可能性のあるネットワーク攻撃から仮想マシンを自動的に保護できます。
- 保護対象仮想マシンのトラフィックで疑わしいネットワーク活動を検知します。保護対象仮想マシンのトラフィックで疑わしいネットワーク活動があった場合、保護対象インフラストラクチャへの侵入の兆候である可能性があります。仮想マシンのトラフィックの分析により、Kaspersky Security の定義データベースに含まれる疑わしいネットワーク活動の識別ルールを適用します。
ネットワーク活動スキャナーが有効の場合、疑わしいネットワーク活動を検知すると、ポリシーの設定で定義された処理を実行します。たとえば、疑わしいネットワーク活動を示す IP アドレスとの接続を終了したり、この IP アドレスの接続を終了してそこからのトラフィックをブロックすることができます。
ネットワーク攻撃または疑わしいネットワーク活動の発生源となった IP アドレスからのトラフィックをブロックするように Kaspersky Security が設定されている場合、既定のブロック期間は 60 分です。トラフィックをブロックする期間は変更できます。指定した時間が経過すると、トラフィックは自動的にブロック解除されます。
ネットワーク攻撃または疑わしいネットワーク活動の発生源の判断には、トラフィックが VLAN からのものであるかが考慮されます。Kaspersky Security は、ネットワーク攻撃または疑わしいネットワーク活動が検知された VLAN でのみ IP アドレスからのトラフィックをブロックします。
ネットワーク脅威対策が稼働する各 SVM によってブロック対象のネットワーク脅威の発生源のリストは、この SVM にインストールされたアプリケーションのプロパティに表示されます。製品の設定で定義されたブロック時間が経過すると、ネットワークの脅威の発生源がリストから自動的に削除されます。必要に応じて、選択した IP アドレスが自動的にブロック解除されるのを待たずに、選択した IP アドレスからのトラフィックのブロックを解除できます。
Kaspersky Security でネットワークの脅威からの保護の除外ルールを設定して、特定の IP アドレスのトラフィックをスキャンから除外したり、これらのトラフィックの処理時に特別な処理を適用できます。
VMware NSX-V Manager によって管理されるインフラストラクチャでは、ネットワーク攻撃、または疑わしいネットワーク活動を検知した場合、ネットワーク攻撃特有の動作や疑わしいネットワーク活動を示したトラフィックの仮想マシンに、セキュリティタグ IDS_IPS.threat=high を割り当てます。