與 Detection and Response 解決方案整合時,裝置可以作為威脅回應動作的一部分與網路隔離。
與網路隔離相關的特殊注意事項
啟用網路隔離後,應用程式將切斷裝置上的所有活動網路連線並阻止所有新的 TCP/IP 網路連線,但以下列出的連線例外:
滿足以下條件之一時,可以套用網路隔離:
與 Kaspersky Endpoint Detection and Response (KATA) 和 Kaspersky Managed Detection and Response 整合時,可以啟用或停用網路隔離,並在 Detection and Response 解決方案端設定網路隔離排除項目。有關詳細資訊,請參閱 Kaspersky Anti Targeted Attack Platform 說明或 Kaspersky Managed Detection and Response 說明。如果需要,您可以手動停用裝置的網路隔離:
無論與 Detection and Response 解決方案的整合是否已啟用,也無論是否將政策套用至裝置,都可以手動停用網路隔離。
與 Kaspersky Endpoint Detection and Response Optimum 整合時,可以採用下列模式之一來套用網路隔離:
您可以管理以下自動網路隔離設定:
如果被自動隔離的裝置符合某項政策,則會套用該政策中指定的設定。如果未套用政策,則會套用裝置內容中指定的設定。
您可以管理以下手動網路隔離設定:
與 Kaspersky Endpoint Detection and Response Optimum 整合時,您可以在網頁主控台中的裝置內容中和命令列上手動停用裝置的網路隔離。
您可以在命令列中檢查裝置的網路隔離狀態。
隔離裝置會被自動分配被從網路隔離標籤。當網路隔離停用時,此標籤會被自動刪除。
有關按標籤獲取隔離裝置清單的一般資訊,請參閱Kaspersky Endpoint Detection and Response Optimum 說明。
網路隔離限制
當您使用網路隔離時,我們強烈建議您熟悉相關的限制。
為了使網路隔離發揮作用,Kaspersky Endpoint Security 必須執行。如果 Kaspersky Endpoint Security 出現故障(且應用程式未執行),則當 Kaspersky Anti Targeted Attack Platform 或 Kaspersky Endpoint Detection and Response Optimum 啟用網路隔離時,無法保證流量封鎖。
DHCP 和 DNS 不會被自動新增至網路隔離排除項目中,因此如果資源的網路位址在網路隔離期間變更,Kaspersky Endpoint Security 將無法存取它。容錯 KATA 伺服器的節點也是如此。我們建議不要變更他們的位址,以便 Kaspersky Endpoint Security 不會與他們失去聯絡。
代理伺服器不會自動新被增至網路隔離排除項目中,因此您需要手動將其新增至排除項目中,以便 Kaspersky Endpoint Security 不會與 KATA 伺服器失去聯絡。
在支援帶有 BTF 的 eBPF 的內核版本 4.18 至 6.6 的裝置上,透過名稱將處理程序從網路隔離中排除受支援。
如果在標準模式下使用 Kaspersky Endpoint Security,我們建議在使用網路隔離時執行以下操作:
如果無法使用卡巴斯基安全管理中心作為代理伺服器,則必須設定要使用的代理伺服器並將其新增至排除項目。
如果在Light Agent 模式下使用 Kaspersky Endpoint Security,則這些建議不適用。