Isolation du réseau pour l'ordinateur
L'isolation de l'ordinateur du réseau permet d'isoler l'ordinateur du réseau automatiquement suite à la détection d'un indicateur de compromission (IOC).
Lorsque l'isolation du réseau est activée, l'application coupe toutes les connexions actives et bloque toutes les nouvelles connexions réseau TCP/IP sur l'ordinateur, à l'exception des connexions suivantes :
- Les connexions indiquées dans Exclusions de l'isolation du réseau.
- Les connexions amorcées par les services de Kaspersky Endpoint Security.
- Les connexions amorcées par l'Agent d'administration de Kaspersky Security Center.
Administration de l'isolation du réseau
Vous pouvez configurer les paramètres du module uniquement dans Web Console.
Vous pouvez configurer l'activation automatique de l'isolation du réseau suite à une détection IOC. Vous pouvez activer ou désactiver manuellement l'isolation du réseau.
Vous pouvez activer l'isolation du réseau :
- Dans les détails de l'alerte.
Les Détails de l'alerte sont un outil permettant de visualiser l'ensemble des informations collectées sur une menace détectée et de gérer les actions de réponse. Les détails de l'alerte reprennent par exemple l'histoire des fichiers qui apparaissent sur l'ordinateur. Pour en savoir plus sur la gestion des détails de la détection, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum.
- Utilisation des paramètres locaux de l'application.
Comment configurer l'activation automatique de l'isolation du réseau suite à une détection IOC
- Dans la fenêtre principale de Web Console, choisissez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur la tâche Analyse IOC de Kaspersky Endpoint Security.
La fenêtre des propriétés de la tâche s'ouvre.
Si nécessaire, créez une tâche Analyse IOC.
- Choisissez l'onglet Paramètres des applications.
- Sous Action en cas de détection IOC, cochez les cases Prendre des mesures de réaction après qu'un IOC a été trouvé et Isoler l'ordinateur du réseau.
- Enregistrez vos modifications.
Ainsi, suite à une détection IOC, l'application isole l'ordinateur du réseau afin d'éviter la propagation de la menace.
Comment activer manuellement l'isolation du réseau d'un ordinateur
- Dans la fenêtre principale de Web Console, choisissez Appareils → Appareils administrés.
- Cliquez sur le nom de l'ordinateur sur lequel vous voulez configurer les paramètres locaux de l'application.
Les propriétés de l'ordinateur s'ouvrent.
- Choisissez l'onglet Applications.
- Cliquez sur Kaspersky Endpoint Security for Windows.
La fenêtre des paramètres locaux de l'application s'ouvre.
- Choisissez l'onglet Paramètres des applications.
- Sélectionnez Detection and Response → Endpoint Detection and Response.
- Sous Isolation du réseau, cliquez sur Isoler l'ordinateur du réseau.
- Enregistrez vos modifications.
Vous pouvez configurer la désactivation automatique de l'isolation du réseau à l'issue d'une période déterminée. Par défaut, l'application désactiver l'isolation du réseau 5 heures après son activation. Vous pouvez également désactiver l'isolation du réseau manuellement. Quand l'isolation du réseau est désactivée, l'ordinateur peut utiliser le réseau sans restriction.
Comment configurer le délai de désactivation automatique de l'isolation du réseau d'un ordinateur
- Dans la fenêtre principale de Web Console, sélectionnez la section Appareils → Stratégies et profils.
- Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
La fenêtre des propriétés de la stratégie s'ouvre.
- Choisissez l'onglet Paramètres des applications.
- Sélectionnez Detection and Response → Endpoint Detection and Response.
- Sous Isolation du réseau, cliquez sur Configurer les paramètres de déverrouillage de l'ordinateur.
- Cela ouvre une fenêtre dans laquelle vous devrez cochez la case Déverrouiller automatiquement l'ordinateur isolé dans N heures et saisissez le nombre d'heures à l'issue desquelles l'isolation du réseau sera automatiquement désactivée.
- Enregistrez vos modifications.
Comment désactiver l'isolation du réseau d'un ordinateur manuellement
- Dans la fenêtre principale de Web Console, choisissez Appareils → Appareils administrés.
- Cliquez sur le nom de l'ordinateur sur lequel vous voulez configurer les paramètres locaux de l'application.
Les propriétés de l'ordinateur s'ouvrent.
- Choisissez l'onglet Applications.
- Cliquez sur Kaspersky Endpoint Security for Windows.
La fenêtre des paramètres locaux de l'application s'ouvre.
- Choisissez l'onglet Paramètres des applications.
- Sélectionnez Detection and Response → Endpoint Detection and Response.
- Sous Isolation du réseau, cliquez sur Débloquer l'ordinateur isolé du réseau.
- Enregistrez vos modifications.
Vous pouvez également activer ou désactiver l'isolation du réseau localement en utilisant la ligne de commande.
Exclusions d'isolation du réseau
Vous pouvez configurer des exclusions d'isolation du réseau. Les connexions réseau qui correspondent aux règles ne sont pas bloquées sur l'ordinateur lorsque l'isolation du réseau est activée.
Pour configurer les exclusions d'isolation du réseau, vous pouvez utiliser une liste de profils réseau standard. Par défaut, les exclusions comprennent les profils réseau contenant des règles qui assurent le fonctionnement ininterrompu des appareils avec les rôles de serveur DNS/DHCP et de client DNS/DHCP. Vous pouvez également modifier les paramètres des profils réseau standard ou définir des exclusions manuellement (cf. Instructions ci-dessous).
Les exclusions définies dans les propriétés de la stratégie sont appliquées uniquement si l'isolation du réseau est activée automatiquement en réponse à une menace détectée. Les exclusions définies dans les propriétés de l'ordinateur sont appliquées uniquement si l'isolation du réseau est activée manuellement dans les propriétés de l'ordinateur dans la console Kaspersky Security Center.
Une stratégie active n'empêche pas l'application d'exclusions de l'isolation du réseau configurées dans les propriétés de l'ordinateur, car ces paramètres s'utilisent dans des scénarios différents.
Comment ajouter une exclusion d'isolation du réseau
- Dans la fenêtre principale de Web Console, sélectionnez la section Appareils → Stratégies et profils.
- Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
La fenêtre des propriétés de la stratégie s'ouvre.
- Choisissez l'onglet Paramètres des applications.
- Sélectionnez Detection and Response → Endpoint Detection and Response.
- Sous Exclusions d'isolation du réseau, cliquez sur Exclusions.
- Dans la fenêtre qui s'ouvre, cliquez sur Ajouter à partir du profil et sélectionnez des profils réseau standard pour configurer les exclusions.
Les exclusions d'isolation du réseau du profil sont ajoutées à la liste Exclusions d'isolation du réseau. Vous pouvez consulter les propriétés des connexions réseau. Le cas échéant, vous pouvez modifier les paramètres de connexion réseau.
- Au besoin, ajoutez manuellement une exclusion d'isolation du réseau. Pour ce faire, dans la fenêtre reprenant la liste des exclusions, cliquez sur Ajouter et modifiez manuellement les paramètres de connexion réseau.
- Enregistrez vos modifications.
Vous pouvez également consulter la liste des exclusions d'isolation du réseau localement en utilisant la ligne de commande.
Haut de page