Aislamiento de equipos de la red
El aislamiento de red del ordenador permite aislar automáticamente un ordenador de la red en respuesta a la detección de un indicador de compromiso (IOC).
Cuando el Aislamiento de red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones de red TCP/IP nuevas en el equipo, excepto las siguientes conexiones:
- Conexiones enumeradas en exclusiones de aislamiento de red.
- Conexiones iniciadas por los servicios de Kaspersky Endpoint Security.
- Conexiones iniciadas por el agente de administración de Kaspersky Security Center.
Administrar el aislamiento de red
Puede configurar los ajustes del componente solo en Web Console.
Puede configurar el Aislamiento de red para que se encienda de manera automática en respuesta a una detección de IOC. También puede encender y apagar el Aislamiento de red de forma manual.
Puede encender el Aislamiento de red de la siguiente manera:
- En los detalles de la alerta.
Detalles de la alerta es una herramienta para ver la totalidad de la información recolectada sobre una amenaza detectada y administrar las acciones de respuesta. Detalles de la alerta incluye, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.
- Uso de los ajustes locales de la aplicación.
Cómo configurar el Aislamiento de red para que se encienda de forma automática en respuesta a una detección de IOC
- En la ventana principal de Web Console, seleccione Dispositivos → Tareas.
Se abre la lista de tareas.
- Seleccione la tarea Análisis de IOC de Kaspersky Endpoint Security.
Se abre la ventana propiedades de la tarea.
De ser necesario, cree una tarea de Análisis de IOC.
- Seleccione la ficha Configuración de la aplicación.
- Debajo de Acción al detectar una IOC, seleccione las casillas de verificación Tomar medidas de respuesta después de encontrar un IOC y Aísle el equipo de la red.
- Guarde los cambios.
Como resultado, cuando se detecta un IOC, la aplicación aísla el ordenador de la red para prevenir que la amenaza se propague.
Cómo encender el Aislamiento de red de un ordenador de forma manual
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la ficha Aplicaciones.
- Haga clic en Kaspersky Endpoint Security para Windows.
Se abre la configuración local de la aplicación.
- Seleccione la ficha Configuración de la aplicación.
- Seleccione Detection and Response → Endpoint Detection and Response.
- Debajo de Aislamiento de red, haga clic en Aísle el equipo de la red.
- Guarde los cambios.
Puede configurar el Aislamiento de red para que se apague de forma automática cuando se cumpla un límite de tiempo especificado. De manera predeterminada, la aplicación apaga el Aislamiento de red cuando transcurren 5 horas desde que se encendió. También puede apagar el Aislamiento de red de forma manual. Después de apagar el Aislamiento de red, el ordenador puede usar la red sin restricciones.
Cómo configurar el plazo para apagar el Aislamiento de red de un ordenador de forma automática
- En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Seleccione Detection and Response → Endpoint Detection and Response.
- Debajo de Aislamiento de red, haga clic en Configure los ajustes de desbloqueo de equipos.
- Esto abre una ventana: aquí debe seleccionar la casilla de verificación Desbloquear automáticamente el ordenador aislado en N horas e introducir el plazo para apagar el Aislamiento de red de forma automática.
- Guarde los cambios.
Cómo apagar el Aislamiento de red de un ordenador de forma manual
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la ficha Aplicaciones.
- Haga clic en Kaspersky Endpoint Security para Windows.
Se abre la configuración local de la aplicación.
- Seleccione la ficha Configuración de la aplicación.
- Seleccione Detection and Response → Endpoint Detection and Response.
- Debajo de Aislamiento de red, haga clic en Desbloquee el aislamiento del equipo de la red.
- Guarde los cambios.
También puede desactivar el Aislamiento de red de forma local mediante la línea de comandos.
Exclusiones de aislamiento de red
Puede configurar Exclusiones de aislamiento de red. Las conexiones de red que coinciden con las reglas no se bloquean en el ordenador cuando el aislamiento de red está activado.
Para configurar las Exclusiones de aislamiento de red, puede usar una lista de perfiles de red estándar. De forma predeterminada, las exclusiones incluyen perfiles de red con reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles de cliente DNS/DHCP. También puede modificar la configuración de los perfiles de red estándar o definir exclusiones de forma manual (ver las instrucciones a continuación).
Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si el aislamiento de red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center.
Una directiva activa no evita que se apliquen exclusiones al Aislamiento de red configurado en las propiedades del ordenador, porque estos parámetros tienen situaciones de uso diferentes.
Cómo añadir una Exclusión de aislamiento de red
- En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Seleccione Detection and Response → Endpoint Detection and Response.
- Debajo de Exclusiones de aislamiento de red, haga clic en Exclusiones.
- Esto abre una ventana: aquí debe hacer clic en Añadir desde el perfil y seleccionar los perfiles de red estándar para configurar las exclusiones.
Las exclusiones del aislamiento de red desde el perfil se añaden a la lista de Exclusiones de aislamiento de red. Puede ver las propiedades de las conexiones de red. Si es necesario, puede modificar la configuración de conexiones de red.
- Si es necesario, añada una Exclusión de aislamiento de red de forma manual. Para hacerlo, en la ventana de la lista de exclusiones, haga clic en Añadir y modifique la configuración de conexiones de red de forma manual.
- Guarde los cambios.
También puede ver la lista de Exclusiones de aislamiento de red de forma local mediante la línea de comandos.
Inicio de página