Aislamiento de la red informática
El aislamiento de la red informática permite aislar automáticamente un equipo de la red en respuesta a la detección de un indicador de peligro (IOC); este es el modo automático. Puede activar el aislamiento de la red manualmente mientras investiga la amenaza detectada; este es el modo manual.
Cuando el aislamiento de la red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones de red TCP/IP nuevas en el equipo, excepto las siguientes conexiones:
- Conexiones que figuran en Exclusiones del aislamiento de la red.
- Conexiones iniciadas por los servicios de Kaspersky Endpoint Security.
- Conexiones iniciadas por el Agente de red de Kaspersky Security Center.
Importante: Puede definir la configuración del componente solo en Web Console.
Modo automático de aislamiento de la red
Puede configurar el aislamiento de la red para que se active automáticamente en respuesta a la detección de un IOC. Puede configurar el modo automático de aislamiento de la red con una directiva de grupo.
Cómo configurar el aislamiento de la red para que se active automáticamente en respuesta a la detección de un IOC
- En la ventana principal de Web Console, seleccione Dispositivos > Tareas.
- Se abre la lista de tareas.
- Haga clic en la tarea Análisis de IOC de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la tarea.
Si es necesario, cree la tarea Análisis de IOC.
- Seleccione la pestaña Configuración de la aplicación.
- En el bloque Acción al detectar un IOC, seleccione la opción Alertar y tomar medidas de respuesta después de que se encuentra un IOC y luego la casilla Aislar el equipo de la red (8 horas).
- Guarde los cambios.
- Como resultado, cuando se detecta un IOC, la aplicación aísla el equipo de la red para evitar la propagación de la amenaza.
Puede configurar el aislamiento de la red para que se desactive automáticamente después de que transcurra un período específico. De manera predeterminada, la aplicación desactiva el aislamiento de la red una vez que hayan transcurrido 8 horas desde el momento en que se activó. También puede desactivarlo manualmente (consulte las instrucciones a continuación). Después de desactivar el aislamiento de la red, el equipo puede usar la red sin restricciones.
Cómo configurar la demora en desactivar el aislamiento de red de un equipo en modo automático
- En la ventana principal de Web Console, seleccione Dispositivos > Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la pestaña Configuración de la aplicación.
- Vaya a Detection and Response > Endpoint Detection and Response.
- En el bloque Aislamiento de la red, haga clic en Establezca la configuración del desbloqueo del equipo.
- En la ventana que se abre, seleccione la casilla Desbloquear automáticamente el equipo aislado en e ingrese la demora en desactivar automáticamente el aislamiento de la red.
- Guarde los cambios.
Modo manual de aislamiento de la red
Puede activar y desactivar manualmente el aislamiento de la red. Puede configurar el modo de Aislamiento de la red manual mediante las propiedades del equipo en la consola de Kaspersky Security Center.
Puede activar el aislamiento de la red:
- En Detalles de alerta (solo para EDR Optimum).
Detalles de alerta es una herramienta que permite ver toda la información que se recopiló sobre una amenaza detectada. Por ejemplo, Detalles de alerta incluye el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de las alertas, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.
- Con la configuración de la aplicación local.
Cómo activar el aislamiento de la red de un equipo manualmente
- En la ventana principal de Web Console, seleccione Dispositivos > Dispositivos administrados.
- Seleccione el equipo para el que desee definir la configuración de la aplicación local.
Se abren las propiedades del equipo.
- Seleccione la pestaña Aplicaciones.
- Haga clic en Kaspersky Endpoint Security for Mac.
Se abre la configuración de la aplicación local.
- Seleccione la pestaña Configuración de la aplicación.
- Vaya a Detection and Response > Endpoint Detection and Response.
- En el bloque Aislamiento de la red, haga clic en Aislar el equipo de la red.
Puede configurar el aislamiento de la red para que se desactive automáticamente después de que transcurra un período específico. De manera predeterminada, la aplicación desactiva el aislamiento de la red una vez que hayan transcurrido 8 horas desde el momento en que se activó. Después de desactivar el aislamiento de la red, el equipo puede usar la red sin restricciones.
Cómo configurar la demora en desactivar el aislamiento de red de un equipo en modo manual
- En la ventana principal de Web Console, seleccione Dispositivos > Dispositivos administrados.
- Seleccione el equipo para el que desee definir la configuración de la aplicación local.
Se abren las propiedades del equipo.
- Seleccione la pestaña Tareas.
Se muestra la lista de tareas disponibles en el equipo.
- Seleccione la tarea Aislamiento de la red.
- Seleccione la pestaña Configuración de la aplicación.
- En la ventana que se abre, seleccione la demora en desactivar el aislamiento de la red.
- Guarde los cambios.
Cómo desactivar el aislamiento de la red de un equipo manualmente
- En la ventana principal de Web Console, seleccione Dispositivos > Dispositivos administrados.
- Seleccione el equipo para el que desee definir la configuración de la aplicación local.
- Se abren las propiedades del equipo.
- Seleccione la pestaña Aplicaciones.
- Haga clic en Kaspersky Endpoint Security for Mac.
- Se abre la configuración de la aplicación local.
- Seleccione la pestaña Configuración de la aplicación.
- Vaya a Detection and Response > Endpoint Detection and Response.
- En el bloque de aislamiento de la red, haga clic en Desbloquear el equipo aislado de la red.
También puede deshabilitar el aislamiento de la red localmente con la línea de comandos.
Exclusiones del aislamiento de la red
Puede configurar exclusiones del aislamiento de la red. Las conexiones de red que coinciden con las reglas no se bloquean en el equipo cuando el aislamiento de la red está activado.
Para configurar las exclusiones del aislamiento de la red, puede usar una lista de perfiles de red estándar. De manera predeterminada, las exclusiones incluyen perfiles de red con reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles de cliente DNS/DHCP. También puede modificar la configuración de los perfiles de red estándar o definir exclusiones manualmente (consulte las instrucciones a continuación).
Importante: Las exclusiones especificadas en las propiedades de la directiva se aplican solo si Aislamiento de la red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si Aislamiento de la red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center.
Nota: Una directiva activa no impide aplicar las exclusiones del aislamiento de la red configuradas en las propiedades del equipo, ya que estos parámetros tienen diferentes escenarios de uso.
Cómo agregar una exclusión de aislamiento de la red en modo automático
- En la ventana principal de Web Console, seleccione Dispositivos > Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
- Se abre la ventana de propiedades de la directiva.
- Seleccione la pestaña Configuración de la aplicación.
- Vaya a Detection and Response > Endpoint Detection and Response.
- En el bloque Exclusiones de aislamiento de la red, haga clic en Exclusiones.
- Se abre una ventana. Allí haga clic en Agregar del perfil y seleccione los perfiles de red estándar para configurar las exclusiones.
- Las exclusiones de aislamiento de la red del perfil se agregan a la lista de exclusiones de aislamiento de la red. Puede ver las propiedades de las conexiones de red. Si es necesario, puede modificar la configuración de la conexión de red.
- Si es necesario, agregue una exclusión de aislamiento de la red manualmente. Para hacerlo, en la ventana con la lista de exclusiones, haga clic en Agregar y edite manualmente la configuración de la conexión de red.
- Guarde los cambios.
Cómo agregar una exclusión de aislamiento de red en modo manual
- En la ventana principal de Web Console, seleccione Dispositivos > Dispositivos administrados.
- Seleccione el equipo para el que desee definir la configuración de la aplicación local.
- Se abren las propiedades del equipo.
- Seleccione la pestaña Tareas.
- Se muestra la lista de tareas disponibles en el equipo.
- Seleccione la tarea Aislamiento de la red.
- Seleccione la pestaña Configuración de la aplicación.
- En la ventana que se abre, haga clic en Exclusiones.
- En la siguiente ventana, haga clic en Agregar del perfil y seleccione los perfiles de red estándar para configurar las exclusiones.
- Las exclusiones de aislamiento de la red del perfil se agregan a la lista de exclusiones de aislamiento de la red. Puede ver las propiedades de las conexiones de red. Si es necesario, puede modificar la configuración de la conexión de red.
- Si es necesario, agregue una exclusión de aislamiento de la red manualmente. Para hacerlo, en la ventana con la lista de exclusiones, haga clic en Agregar y edite manualmente la configuración de la conexión de red.
- Guarde los cambios.
También puede ver la lista de exclusiones de aislamiento de la red localmente mediante la línea de comandos. En este caso, el equipo debe estar aislado.
Principio de página