Aislamiento de la red del equipo
El aislamiento de la red del equipo permite aislar automáticamente un equipo de la red en respuesta a la detección de un indicador de compromiso (IOC).
Cuando el aislamiento de la red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones de red TCP/IP nuevas en el equipo, a excepción de las siguientes conexiones.
- Conexiones enumeradas en Exclusiones de aislamiento de la red.
- Conexiones iniciadas por los servicios de Kaspersky Endpoint Security.
- Conexiones iniciadas por el agente de administración de Kaspersky Security Center.
Administrar el aislamiento de la red
La configuración de los componentes solo se puede modificar en Web Console.
Puede configurar el aislamiento de la red para que se active automáticamente en respuesta a una detección de IOC. Además, puede activar o desactivar manualmente el aislamiento de la red.
Puede activar el aislamiento de la red:
- En detalles de la alerta.
Detalles de la alerta es una herramienta para ver la totalidad de la información recopilada sobre una amenaza detectada y administrar las acciones de respuesta. Los detalles de la alerta incluyen, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.
- Mediante la configuración local de la aplicación.
Cómo configurar el aislamiento de la red para que se active automáticamente en respuesta a una detección de IOC
- En la ventana principal de Web Console, seleccione Dispositivos → Tareas.
Se abre la lista de tareas.
- Seleccione la tarea Análisis de IOC de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la tarea.
Si es necesario, cree la tarea Análisis de IOC.
- Seleccione la ficha Configuración de la aplicación.
- En Acción al detectar un IOC, seleccione las casillas Tomar medidas de respuesta después de que se encuentra un IOC y Aislar el equipo de la red.
- Guarde los cambios.
Como resultado, cuando se detecta un IOC, la aplicación aísla el equipo de la red para evitar que la amenaza se propague.
Cómo activar manualmente el aislamiento de red de un equipo
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la ficha Aplicaciones.
- Haga clic en Kaspersky Endpoint Security para Windows.
Se abre la configuración local de la aplicación.
- Seleccione la ficha Configuración de la aplicación.
- Seleccione Detection and Response → Endpoint Detection and Response.
- En Aislamiento de la red, haga clic en Aislar el equipo de la red.
- Guarde los cambios.
Puede configurar el aislamiento de red para que se desactive automáticamente una vez transcurrido un tiempo especificado. De forma predeterminada, la aplicación desactiva el aislamiento de la red una vez transcurridas 5 horas desde su activación. También puede desactivar manualmente el aislamiento de la red. Después de desactivar el aislamiento de red, el equipo puede utilizar la red sin restricciones.
Cómo configurar la demora en la desactivación automática del aislamiento de la red de un equipo
- En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Seleccione Detection and Response → Endpoint Detection and Response.
- En Aislamiento de la red, haga clic en Establezca la configuración del desbloqueo del equipo.
- Esto abre una ventana; en esta ventana, seleccione la casilla Desbloquear automáticamente el equipo aislado en N horas e ingrese la demora para desactivar automáticamente el aislamiento de la red.
- Guarde los cambios.
Cómo desactivar manualmente el aislamiento de red de un equipo
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la ficha Aplicaciones.
- Haga clic en Kaspersky Endpoint Security para Windows.
Se abre la configuración local de la aplicación.
- Seleccione la ficha Configuración de la aplicación.
- Seleccione Detection and Response → Endpoint Detection and Response.
- En Aislamiento de la red, haga clic en Desbloquear el equipo aislado de la red.
- Guarde los cambios.
También puede deshabilitar el aislamiento de la red localmente mediante el uso de la línea de comandos.
Exclusiones de aislamiento de la red
Puede configurar las exclusiones de aislamiento de la red. Las conexiones de red que coinciden con las reglas no se bloquean en el equipo cuando el aislamiento de la red está activado.
Para configurar las exclusiones de aislamiento de la red, puede utilizar una lista de perfiles de la red estándar. De forma predeterminada, las exclusiones incluyen perfiles de red que contienen reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles del cliente DNS/DHCP. También puede modificar la configuración de los perfiles de la red estándar o definir las exclusiones manualmente (vea las instrucciones más abajo).
Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de la red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si el aislamiento de la red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center.
Una directiva activa no impide aplicar las exclusiones del aislamiento de la red configurado en las propiedades del equipo porque estos parámetros tienen situaciones de uso diferentes.
Cómo agregar una exclusión de aislamiento de la red
- En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Seleccione Detection and Response → Endpoint Detection and Response.
- En Exclusiones de aislamiento de la red, haga clic en Exclusiones.
- Esto abre una ventana; en esta ventana, haga clic en Agregar del perfil y seleccione los perfiles de la red estándar para configurar las exclusiones.
Las exclusiones de aislamiento de la red del perfil se agregan a la lista de exclusiones de aislamiento de la red. Puede ver las propiedades de las conexiones de red. Si es necesario, puede modificar la configuración de la conexión de la red.
- Si es necesario, agregue una exclusión de aislamiento de la red manualmente. Para hacerlo, en la ventana con la lista de exclusiones, haga clic en Agregar y manualmente edite la configuración de la conexión de la red.
- Guarde los cambios.
También puede ver la lista de exclusiones de aislamiento de la red localmente mediante el uso de la línea de comandos.
Inicio de página