Configuration des paramètres de l'analyseur de l'activité réseau des machines virtuelles
La fonction de détection d'une activité réseau suspecte est accessible uniquement si vous utilisez l'application avec une licence d'entreprise.
Pour configurer les paramètres de l'analyseur de l'activité réseau des machines virtuelles protégées, procédez comme suit :
Ouvrez la Console d'administration Kaspersky Security Center.
Dans l'arborescence de la console, exécutez l'une des actions suivantes :
Si vous voulez configurer les paramètres de fonctionnement des SVM d'un seul cluster KSC, dans le dossier Appareils administrés de l'arborescence de la console, choisissez le groupe d'administration contenant le cluster KSC.
Si vous voulez configurer les paramètres de fonctionnement des SVM de tous les clusters KSC, choisissez le dossier Appareils administrés.
Dans l'espace de travail, choisissez l'onglet Stratégies.
Dans la liste, sélectionnez une stratégie et double-cliquez sur celle-ci pour ouvrir la fenêtre Propriétés : <Nom de la stratégie>.
Dans la fenêtre des propriétés de la stratégie, sélectionnez la section Prévention des intrusions, puis cliquez sur le bouton Configuration.
La fenêtre Paramètres de l'analyseur de l'activité réseau s'ouvre.
Indiquez les catégories d'applications dont l'application Kaspersky Security doit détecter les signes d'activité réseau :
Activation / désactivation de l'activité réseau caractéristique des applications publicitaires.
Les applications publicitaires sont destinées à montrer à l'utilisateur des informations publicitaires, à rediriger les demandes de recherche sur les sites Internet publicitaires et à transmettre au développeur des informations de marketing sur l'utilisateur. A la différence des chevaux de Troie espions, les applications publicitaires transmettent ces informations avec l'autorisation de l'utilisateur.
Si la case est cochée, Kaspersky Security détecte dans le trafic réseau des machines virtuelles protégées l'activité caractéristique des applications publicitaires.
Si la case est décochée, la détection de l'activité caractéristique des applications publicitaires est désactivée.
Activation/désactivation de la détection des attaques réseau des applications légitimes qui peuvent être utilisées par des individus malintentionnés pour nuire à la machine virtuelle ou aux données de l'utilisateur.
Parmi ces applications figurent les applications de téléchargement de fichiers, les applications d'administration à distance, les applications de surveillance des actions de l'utilisateur. Ces applications sont utilisées dans des buts légitimes, mais si des individus malintentionnés ont accès à ces applications, ils peuvent utiliser certaines de leurs fonctions pour nuire au fonctionnement de la machine virtuelle ou des données de l'utilisateur.
Si la case est cochée, Kaspersky Security détecte dans le trafic des machines virtuelles protégées l'activité caractéristique des applications légitimes qui peuvent être utilisées par les individus malintentionnés pour nuire au fonctionnement de la machine virtuelle ou des données de l'utilisateur.
Si la case est décochée, la détection de l'activité caractéristique de ces programmes est désactivée.
La case est décochée par défaut.
Kaspersky Security détecte toujours dans le trafic des machines virtuelles protégées l'activité réseau caractéristique des applications malveillantes comme les virus, les vers et les Chevaux de Troie.
Si Kaspersky Security identifie une activité réseau qui n'est pas à votre avis un signe d'intrusion dans l'infrastructure protégée, vous pouvez configurer la liste des règles que Kaspersky Security n'applique pas pour l'identification d'une activité réseau suspecte dans le trafic des machines virtuelles protégées.
Pour ajouter à la liste la règle conformément à laquelle une activité réseau est détectée, cliquez sur le bouton Ajouter au-dessus de la liste et saisissez dans la ligne de la liste l'identificateur de la règle au format suivant : <nombre>:<nombre>:<nombre>.
Vous pouvez regarder les informations sur la règle appliquée dans le texte de l'événement expédié à Kaspersky Security Center pendant la détection d'une activité réseau suspecte.
Cliquez sur le bouton OK dans la fenêtre Paramètres de l'analyseur de l'activité réseau.
Action que Kaspersky Security exécute en cas de détection d'une activité réseau suspecte dans le trafic des machines virtuelles protégées. Vous avez le choix entre les options suivantes :
Sélectionner l'action automatiquement. Kaspersky Security exécute l'action définie par défaut par les experts de Kaspersky Lab. Si la protection réseau est déployée en mode standard, l'action Interrompre la connexion est sélectionnée automatiquement. Si la protection réseau est déployée en mode de surveillance, l'action Ignorer est sélectionnée automatiquement.
Cette option est sélectionnée par défaut.
Ignorer. Kaspersky Security n'exécute aucune action sur les machines virtuelles manifestant une activité réseau suspecte.
Interrompre la connexion. Kaspersky Security interrompt la connexion entre la machine virtuelle protégée qui manifeste une activité réseau suspecte, et d'autres machines virtuelles.
Interrompre la connexion et bloquer le trafic depuis l'adresse IP de l'expéditeur. Kaspersky Security interrompt la connexion entre la machine virtuelle protégée qui manifeste une activité réseau suspecte, et d'autres machines virtuelles, et bloque le trafic depuis l'adresse IP à l'origine de l'activité réseau suspecte. Le trafic est bloqué dans le réseau local virtuel où l'activité réseau suspecte a été détectée. La durée du blocage du trafic est configurée dans le champ En cas de détection d'une attaque réseau ou d'une activité réseau suspecte, bloquer le trafic depuis l'adresse IP pendant X minutes.
Les informations sur la détection d'une activité réseau suspecte et les actions exécutées sont envoyées à Kaspersky Security Center.
La sélection de l'action est accessible si la case Contrôler l'activité réseau des machines virtuelles est cochée.
Si la protection réseau est déployée en mode de surveillance, l'action Ignorer est appliquée en cas de détection d'une activité réseau suspecte, quelle que soit l'option choisie.
Durée du blocage du trafic de l'adresse IP à l'origine de l'attaque réseau ou de l'activité réseau suspecte. La détermination de la source de l'attaque réseau ou de l'activité réseau suspect tient compte de l'appartenance du trafic au réseau local virtuel (VLAN). Kaspersky Security bloque le trafic de l'adresse IP seulement dans le réseau local virtuel où l'attaque réseau ou l'activité réseau suspecte a été détectée.
Par défaut, la durée du blocage est de 60 minutes.
Le cas échéant, configurez les règles d'exclusion de la protection contre les menaces réseau selon lesquelles Kaspersky Security exclut de l'analyse le trafic en provenance d'adresses IP définies ou applique des actions spéciales au traitement de ce trafic.
Cliquez sur le bouton OK dans la fenêtre Propriétés : <Nom de la stratégie>.