Netzwerkisolation

Bei einer Integration mit Detection and Response-Lösungen kann ein Gerät im Rahmen einer Reaktionsmaßnahme auf eine Bedrohung vom Netzwerk isoliert werden.

Besonderheiten bei Ausführung der Netzwerkisolation

Sobald die Netzwerkisolation aktiviert ist, unterbricht die Anwendung auf dem Gerät sämtliche aktive TCP/IP-Netzwerkverbindungen und blockiert das Herstellen neuer TCP/IP-Verbindungen, mit folgenden Ausnahmen:

• Verbindungen, die in den Ausnahmen für die Netzwerkisolation angegeben sind.
• Verbindungen, die durch die Dienste von Kaspersky Endpoint Security initiiert werden.
• Verbindungen, die durch den Kaspersky Security Center Administrationsagent initiiert werden.
• Verbindungen mit SVMs und Integrationsserver, wenn die Anwendung im Light Agent-Modus verwendet wird.
• Verbindungen zu KSN (bei Integration mit Kaspersky Managed Detection and Response).

Die Netzwerkisolation kann angewendet werden, wenn eine der folgenden Bedingungen erfüllt ist:

• Die Integration der Anwendung "Kaspersky Endpoint Security" mit der Lösung "Kaspersky Endpoint Detection and Response Optimum" ist aktiviert und die Komponente "EDR Optimum" ist aktiviert.
• Die Integration der Anwendung "Kaspersky Endpoint Security" mit der Komponente "Kaspersky Endpoint Detection and Response (KATA)" ist aktiviert und die Lösung "Kaspersky Anti Targeted Attack Platform" ist aktiviert.
• Die Integration der Anwendung "Kaspersky Endpoint Security" mit der Lösung "Kaspersky Managed Detection and Response" ist aktiviert und die MDR-Komponente ist aktiviert.

Bei einer Integration mit Kaspersky Endpoint Detection and Response (KATA) oder Kaspersky Managed Detection and Response wird die Aktivierung und Deaktivierung der Netzwerkisolation des Geräts sowie die Konfiguration der Ausnahmen von der Netzwerkisolation in der entsprechenden Detection and Response-Lösung durchgeführt. Weitere Informationen finden Sie in der Hilfe zur Kaspersky Anti Targeted Attack Platform oder in der Hilfe zu Kaspersky Managed Detection and Response. Bei Bedarf können Sie die Netzwerkisolation eines Geräts manuell deaktivieren:

• In den Geräteeigenschaften in der Web Console (nur bei Integration mit Kaspersky Endpoint Detection and Response (KATA))
• Über die Befehlszeile

Das manuelle Deaktivieren der Netzwerkisolation ist unabhängig davon möglich, ob die Integration mit Detection and Response-Lösungen aktiviert ist und ob das Gerät durch eine Richtlinie abgedeckt ist.

Bei Integration mit Kaspersky Endpoint Detection and Response Optimum kann die Netzwerkisolation in einem der folgenden Modi angewendet werden:

• Automatischer Modus der Netzwerkisolation. Das Gerät kann aufgrund der Erkennung eines Kompromittierungsindikators (IOC) automatisch vom Netzwerk isoliert werden. Wenn Sie beim Erstellen und Konfigurieren der Aufgabenparameter für die IOC-Untersuchung im Block Aktionen beim Erkennen von IOCs die Kontrollkästchen Bei Erkennung eines IOCs folgende Reaktion anwenden und Gerät vom Netzwerk isolieren aktivieren, wird die Netzwerkisolation automatisch aktiviert, sobald die Anwendung Kompromittierungsindikatoren erkennt.

  Im automatischen Modus können Sie die folgenden Parameter der Netzwerkisolation konfigurieren:

  • Den Zeitraum ändern, nach dem die Netzwerkisolation automatisch deaktiviert wird.
  • Für automatisch isolierte Geräte Ausnahmen aus der Netzwerkisolation konfigurieren.

  Wenn ein automatisch isoliertes Gerät von einer Richtlinie abgedeckt wird, werden die in der Richtlinie angegebenen Einstellungen angewendet. Wenn keine Richtlinie angewendet wird, werden die in den Geräteeigenschaften angegebenen Parameter angewendet.

• Manueller Modus der Netzwerkisolation. Das Gerät kann vom Netzwerk isoliert werden, während die erkannte Bedrohung untersucht wird. Sie können die Netzwerkisolation für ein Gerät im Fenster mit den Alarmdetails und in den Geräteeigenschaften in der Web Console manuell aktivieren.

  Im manuellen Modus können Sie die folgenden Parameter der Netzwerkisolation konfigurieren:

  • Den Zeitraum ändern, nach dem die Netzwerkisolation automatisch deaktiviert wird.
  • Für manuell isolierte Geräte Ausnahmen aus der Netzwerkisolation konfigurieren.

Bei einer Integration mit Kaspersky Endpoint Detection and Response Optimum können Sie die Netzwerkisolation eines Geräts in den Geräteeigenschaften in der Web Console und über die Befehlszeile manuell deaktivieren.

Den Status der Netzwerkisolation des Geräts können Sie über die Befehlszeile überprüfen.

Ein isoliertes Gerät bekommt automatisch das Tag ISOLATED FROM NETWORK zugewiesen. Nachdem deaktivieren der Netzwerkisolation wird dieses Tag automatisch entfernt.

Allgemeine Informationen zum Abrufen einer Liste isolierter Geräte mittels Tag finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.

Einschränkungen der Netzwerkisolation

Bei Verwendung der Netzwerkisolation wird dringend empfohlen, dass Sie sich mit den unten beschriebenen Einschränkungen vertraut machen.

Damit die Netzwerkisolation funktioniert, muss Kaspersky Endpoint Security ausgeführt werden. Bei einem Ausfall von Kaspersky Endpoint Security (d. h., wenn die Anwendung wird nicht ausgeführt) ist die Blockierung des Datenverkehrs bei aktivierter Netzwerkisolation durch Kaspersky Anti Targeted Attack Platform oder Kaspersky Endpoint Detection and Response Optimum nicht garantiert.

DHCP und DNS werden nicht automatisch zu den Ausnahmen der Netzwerkisolation hinzugefügt. Wenn also die Netzwerkadresse einer Ressource während der Netzwerkisolation geändert wurde, kann Kaspersky Endpoint Security nicht darauf zugreifen. Gleiches gilt für die Knoten eines fehlertoleranten KATA-Servers. Es wird nicht empfohlen, ihre Adressen zu ändern, damit Kaspersky Endpoint Security die Verbindung zu ihnen nicht verliert.

Proxyserver werden nicht automatisch zu den Ausnahmen für die Netzwerkisolation hinzugefügt. Damit Kaspersky Endpoint Security die Verbindung zum KATA-Server nicht verliert, müssen Sie daher einen Proxyserver manuell zu den Ausnahmen hinzufügen.

Um Prozesse nach Namen von der Netzwerkisolation auszuschließen, benötigen die Geräte die Kernelversionen von 4.18 bis 6.6 mit Unterstützung von eBPF mit BTF.

Wenn Kaspersky Endpoint Security im Standard-Modus ausgeführt wird, werden bei Verwendung der Netzwerkisolation folgende Maßnahmen empfohlen:

• Verwendung des KSN-Proxyservers, um mit Kaspersky Security Network zu interagieren.
• Verwendung von Kaspersky Security Center als Proxyserver, um die Anwendung zu aktivieren.

  Wenn es nicht möglich ist, Kaspersky Security Center als Proxyserver zu verwenden, müssen die erforderlichen Parameter des Proxyservers konfiguriert und dieser zu den Ausnahmen hinzugefügt werden.

• Verwendung von Kaspersky Security Center als Quelle für die Datenbankaktualisierungen.

Diese Empfehlungen gelten nicht, wenn Kaspersky Endpoint Security im Light Agent-Modus verwendet wird.

In diesem Abschnitt Netzwerkisolation eines Geräts manuell in der Web Console aktivieren und deaktivieren Dauer der Netzwerkisolation im automatischen Modus konfigurieren Parameter der Netzwerkisolation manuell einrichten Ausnahmen von der Netzwerkisolation in der Web Console konfigurieren Netzwerkisolation eines Geräts über die Befehlszeile verwalten

Nach oben