Сетевая изоляция компьютера
Развернуть всё | Свернуть всё
Сетевая изоляция позволяет автоматически изолировать компьютеры от сети, в результате реагирования на обнаружение индикатора компрометации (IOC) – автоматический режим. Также вы можете включить Сетевую изоляцию вручную на время исследования обнаруженной угрозы – ручной режим.
После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:
- соединения, указанные в исключениях из Сетевой изоляции;
- соединения, инициированные службами Kaspersky Endpoint Security;
- соединения, инициированные Агентом администрирования Kaspersky Security Center.
Важно! Вы можете настроить параметры компонента только в Web Console.
Автоматический режим Сетевой изоляции
Вы можете настроить автоматическое включение Сетевой изоляции, в результате реагирования на обнаружение IOC. Для настройки автоматического режима Сетевой изоляции предназначена групповая политика.
Как настроить автоматическое включение Сетевой изоляции компьютера при обнаружении IOC
- В главном окне Web Console выберите Устройства → Задачи.
- Откроется список задач.
- Нажмите на задачу Kaspersky Endpoint Security Поиск IOC.
Откроется окно свойств задачи.
Если требуется, создайте задачу Поиск IOC.
- Выберите вкладку Параметры программы.
- В блоке Действие при обнаружении IOC установите флажки Предупреждать и применять действия по реагированию при обнаружении IOC и Изолировать компьютер от сети (на 8 часов).
- Сохраните внесенные изменения.
- В результате при обнаружении IOC приложение изолирует компьютер от сети, чтобы предотвратить распространение угрозы.
Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. Также вы можете выключить Сетевую изоляцию вручную (см. инструкцию ниже). После выключения Сетевой изоляции компьютер может работать в сети без ограничений.
Как задать период выключения Сетевой изоляции компьютера в автоматическом режиме
- В главном окне Web Console выберите Устройства → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
- Выберите вкладку Параметры программы.
- Перейдите в раздел Detection and Response → Endpoint Detection and Response.
- В блоке Сетевая изоляция нажмите Настроить разблокировку компьютера.
- В открывшемся окне установите флажок Разблокировать автоматически изолированный компьютер через и задайте период времени, по истечении которого Сетевая изоляция должна быть выключена.
- Сохраните внесенные изменения.
Ручной режим Сетевой изоляции
Вы можете включать или выключать Сетевую изоляцию вручную. Для настройки ручного режима Сетевой изоляции предназначены свойства компьютера в консоли Kaspersky Security Center.
Вы можете включить Сетевую изоляцию следующими способами:
- В деталях алерта (только для EDR Optimum).
Детали алерта – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали алерта содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями алерта см. в справке Kaspersky Endpoint Detection and Response Optimum.
- С помощью локальных параметров приложения.
Как вручную включить Сетевую изоляцию компьютера
- В главном окне Web Console выберите Устройства → Управляемые устройства.
- Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.
Откроются свойства компьютера.
- Выберите вкладку Программы.
- Нажмите на Kaspersky Endpoint Security для Mac.
Откроются локальные параметры приложения.
- Выберите вкладку Параметры программы.
- Перейдите в раздел Detection and Response → Endpoint Detection and Response.
- В блоке параметров Сетевая изоляция нажмите на кнопку Изолировать компьютер от сети.
Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. После выключения Сетевой изоляции компьютер может работать в сети без ограничений.
Как задать период выключения Сетевой изоляции компьютера в ручном режиме
- В главном окне Web Console выберите Устройства → Управляемые устройства.
- Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.
Откроются свойства компьютера.
- Выберите вкладку Задачи.
Откроется список задач, доступных на компьютере.
- Выберите задачу Сетевая изоляция.
- Выберите вкладку Параметры программы.
- В открывшемся окне задайте период времени, по истечении которого Сетевая изоляция должна быть выключена.
- Сохраните внесенные изменения.
Как вручную выключить Сетевую изоляцию компьютера
- В главном окне Web Console выберите Устройства → Управляемые устройства.
- Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.
- Откроются свойства компьютера.
- Выберите вкладку Программы.
- Нажмите на Kaspersky Endpoint Security для Mac.
- Откроются локальные параметры приложения.
- Выберите вкладку Параметры программы.
- Перейдите в раздел Detection and Response → Endpoint Detection and Response.
- В блоке параметров Сетевая изоляция нажмите на кнопку Разблокировать изолированный от сети компьютер.
Вы также можете выключить Сетевую изоляцию локально с помощью командной строки.
Исключения из Сетевой изоляции
Вы можете задать исключения из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютере после включения Сетевой изоляции.
Для настройки исключений из Сетевой изоляции в приложении доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP‑сервер и DNS/DHCP‑клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную (см. инструкцию ниже).
Важно! Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена приложением автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center.
Примечание. Активная политика не блокирует применение исключений из Сетевой изоляции, заданных в свойствах компьютера, так как сценарии применения этих параметров разные.
Как добавить исключение из Сетевой изоляции в автоматическом режиме
- В главном окне Web Console выберите Устройства → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
- Откроется окно свойств политики.
- Выберите вкладку Параметры программы.
- Перейдите в раздел Detection and Response → Endpoint Detection and Response.
- В блоке Исключения из сетевой изоляции нажмите Исключения.
- В открывшемся окне нажмите на кнопку Добавить из профиля и выберите стандартные сетевые профили для настройки исключений.
- Сетевые соединения из профиля будут добавлены в список исключений из Сетевой изоляции. Вы можете просмотреть свойства сетевых соединений. При необходимости, вы можете изменить параметры сетевого соединения.
- Если требуется, добавьте исключение из Сетевой изоляции вручную. Для этого в окне со списком исключений нажмите на кнопку Добавить и задайте параметры сетевого соединения вручную.
- Сохраните внесенные изменения.
Как добавить исключение из Сетевой изоляции в ручном режиме
- В главном окне Web Console выберите Устройства → Управляемые устройства.
- Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.
- Откроются свойства компьютера.
- Выберите вкладку Задачи.
- Откроется список задач, доступных на компьютере.
- Выберите задачу Сетевая изоляция.
- Выберите вкладку Параметры программы.
- В открывшемся окне нажмите Исключения.
- В открывшемся окне нажмите на кнопку Добавить из профиля и выберите стандартные сетевые профили для настройки исключений.
- Сетевые соединения из профиля будут добавлены в список исключений из Сетевой изоляции. Вы можете просмотреть свойства сетевых соединений. При необходимости, вы можете изменить параметры сетевого соединения.
- Если требуется, добавьте исключение из Сетевой изоляции вручную. Для этого в окне со списком исключений нажмите на кнопку Добавить и задайте параметры сетевого соединения вручную.
- Сохраните внесенные изменения.
Вы также можете просмотреть список исключений из Сетевой изоляции локально из командной строки. При этом компьютер должен быть изолирован.
В начало