Isolamento di rete del computer
L'isolamento di rete del computer consente di isolare automaticamente un computer dalla rete in risposta al rilevamento di un indicatore di compromissione (IOC).
Quando l'opzione Isolamento della rete è attivata, l'applicazione interrompe tutte le connessioni attive e blocca tutte le nuove connessioni alle reti TCP/IP sul computer, ad eccezione delle seguenti connessioni:
- Connessioni elencate in Esclusioni dall'isolamento di rete.
- Connessioni avviate dai servizi di Kaspersky Endpoint Security.
- Connessioni avviate dall'agente di Kaspersky Security Center Administration.
Gestione dell'isolamento di rete
È possibile configurare le impostazioni del componente solo in Web Console.
È possibile configurare l'attivazione automatica di Isolamento di rete in risposta a un rilevamento di IOC. È inoltre possibile attivare e disattivare Isolamento di rete manualmente.
È possibile attivare Isolamento di rete:
- In Dettagli dell'avviso.
Dettagli dell'avviso è uno strumento che consente di visualizzare la totalità delle informazioni raccolte su una minaccia rilevata e gestire le azioni di risposta. Dettagli dell'avviso include, ad esempio, la cronologia dei file visualizzati nel computer. Per ulteriori informazioni sulla gestione di dettagli dell'avviso, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum.
- Utilizzo delle impostazioni locali dell'applicazione.
Come configurare l'attivazione automatica di Isolamento di rete in risposta a un rilevamento di IOC
- Nella finestra principale di Web Console selezionare Dispositivi → Attività.
Viene aperto l'elenco delle attività.
- Fare clic sull'attività Scansione IOC di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà dell'attività.
Se necessario, creare l'attività Scansione IOC.
- Selezionare la scheda Impostazioni applicazione.
- In Azione se viene rilevato un IOC, selezionare le caselle di controllo Intraprendi azioni di risposta in seguito al rilevamento di un IOC e Isola il computer dalla rete.
- Salvare le modifiche.
Di conseguenza, quando viene rilevato un IOC, l'applicazione isola il computer dalla rete per impedire la diffusione della minaccia.
Come attivare manualmente l'isolamento di rete di un computer
- Nella finestra principale di Web Console selezionare Dispositivi → Dispositivi gestiti.
- Selezionare il computer per cui si desidera configurare le impostazioni locali dell'applicazione.
Verranno visualizzate le proprietà del computer.
- Selezionare la scheda Applicazioni.
- Fare clic su Kaspersky Endpoint Security for Windows.
Verranno visualizzate le impostazioni locali dell'applicazione.
- Selezionare la scheda Impostazioni applicazione.
- Selezionare Detection and Response → Endpoint Detection and Response.
- In Isolamento di rete, fare clic su Isola il computer dalla rete.
- Salvare le modifiche.
È possibile configurare Isolamento di rete in modo che venga disattivato automaticamente dopo un determinato periodo di tempo. Per impostazione predefinita, l'applicazione disattiva Isolamento di rete dopo 5 ore dalla sua attivazione. È possibile disattivare Isolamento di rete anche manualmente. Dopo aver disattivato Isolamento di rete, il computer può utilizzare la rete senza limitazioni.
Come configurare il ritardo per la disattivazione automatica dell'isolamento di rete di un computer
- Nella finestra principale di Web Console selezionare Dispositivi → Criteri e profili.
- Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
- Selezionare la scheda Impostazioni applicazione.
- Selezionare Detection and Response → Endpoint Detection and Response.
- In Isolamento di rete, fare clic su Configura le impostazioni di sblocco del computer.
- Si apre una finestra; in questa finestra, selezionare la casella di controllo Sblocca automaticamente il computer isolato tra N ore e immettere il ritardo per la disattivazione automatica di Isolamento di rete.
- Salvare le modifiche.
Come disattivare manualmente l'isolamento di rete di un computer
- Nella finestra principale di Web Console selezionare Dispositivi → Dispositivi gestiti.
- Selezionare il computer per cui si desidera configurare le impostazioni locali dell'applicazione.
Verranno visualizzate le proprietà del computer.
- Selezionare la scheda Applicazioni.
- Fare clic su Kaspersky Endpoint Security for Windows.
Verranno visualizzate le impostazioni locali dell'applicazione.
- Selezionare la scheda Impostazioni applicazione.
- Selezionare Detection and Response → Endpoint Detection and Response.
- In Isolamento di rete, fare clic su Sbloccare il computer isolato dalla rete.
- Salvare le modifiche.
È inoltre possibile disabilitare Isolamento di rete in locale tramite la riga di comando.
Esclusioni dall'isolamento di rete
È possibile configurare le esclusioni dall'isolamento di rete. Le connessioni di rete che soddisfano le regole non vengono bloccate sul computer quando Isolamento di rete è attivato.
Per configurare le esclusioni dall'isolamento di rete, è possibile utilizzare un elenco di profili di rete standard. Per impostazione predefinita, le esclusioni includono i profili di rete che contengono regole che garantiscono il funzionamento costante dei dispositivi con il server DNS/DHCP e i ruoli client DNS/DHCP. È inoltre possibile modificare le impostazioni dei profili di rete standard o definire esclusioni manualmente (vedere le istruzioni riportate di seguito).
Le esclusioni specificate nelle proprietà dei criteri vengono applicate solo se Isolamento di rete viene attivato automaticamente in risposta a una minaccia rilevata. Le esclusioni specificate nelle proprietà del computer vengono applicate solo se Isolamento di rete è attivato manualmente nelle proprietà del computer in Kaspersky Security Center Console.
Un criterio attivo non impedisce l'applicazione delle esclusioni dall'isolamento di rete configurate nelle proprietà del computer poiché tali parametri presentano scenari di utilizzo diversi.
Come aggiungere un'esclusione dall'isolamento di rete
- Nella finestra principale di Web Console selezionare Dispositivi → Criteri e profili.
- Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
- Selezionare la scheda Impostazioni applicazione.
- Selezionare Detection and Response → Endpoint Detection and Response.
- In Esclusioni dall'isolamento di rete, fare clic su Esclusioni.
- Si apre una finestra; in questa finestra, fare clic su Aggiungi dal profilo e selezionare i profili di rete standard per la configurazione delle esclusioni.
Le esclusioni dall'isolamento di rete dal profilo vengono aggiunte all'elenco delle esclusioni dall'isolamento della rete. È possibile visualizzare le proprietà delle connessioni di rete. Se necessario, è possibile modificare le impostazioni delle connessioni di rete.
- Se necessario, aggiungere un'esclusione dall'isolamento di rete manualmente. A tale scopo, nella finestra con l'elenco delle esclusioni, fare clic su Aggiungi e modificare manualmente le impostazioni delle connessioni di rete.
- Salvare le modifiche.
È inoltre possibile visualizzare l'elenco delle esclusioni dall'isolamento di rete in locale tramite la riga di comando.
Inizio pagina