Isolamento do computador em relação à rede
O isolamento do computador em relação à rede permite isolar automaticamente um computador da rede em resposta à detecção de um indicador de compromisso (IOC).
Quando o isolamento de rede é ativado, o aplicativo corta todas as conexões ativas e bloqueia todas as novas conexões de rede TCP/IP no computador, exceto as seguintes conexões:
- Conexões listadas em exclusões de isolamento de rede.
- Conexões iniciadas pelos serviços do Kaspersky Endpoint Security.
- Conexões iniciadas pelo agente do Kaspersky Security Center Administration.
Gerenciando o isolamento de rede
O componente só pode ser configurado no Web Console.
É possível configurar o isolamento de rede para ser ligado automaticamente em resposta a uma detecção de IOC. Também é possível ligar e desligar manualmente o isolamento de rede.
É possível ligar o isolamento de rede:
- Em detalhes de alertas.
Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada e gerenciar as ações de resposta. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a ajuda do Kaspersky Endpoint Detection and Response Optimum.
- Uso das configurações locais do aplicativo.
Como configurar o isolamento de rede para ser ligado automaticamente em resposta a uma detecção de IOC
- Na janela principal do Web Console, selecione Dispositivos → Tarefas.
A lista de tarefas é aberta.
- Clique na tarefa verificação de IOC do Kaspersky Endpoint Security.
A janela de propriedades da tarefa é exibida.
Caso seja necessário, crie a tarefa de verificação de IOC.
- Selecione a guia Configurações do aplicativo.
- Em Ação ao detectar IOC, marque as caixas de seleção Adotar ações de resposta após um IOC ser encontrado e Isolar o computador da rede.
- Salvar alterações.
Consequentemente, quando um IOC for detectado, o aplicativo isola o computador em relação à rede para prevenir a difusão da ameaça.
Como ligar o isolamento de rede de um computador manualmente
- Na janela principal do Web Console, selecione Dispositivos → Dispositivos gerenciados.
- Selecione o computador para o qual você deseja definir as configurações locais do aplicativo.
Isso abre as propriedades do computador.
- Selecione a guia Aplicativos.
- Clique em Kaspersky Endpoint Security for Windows.
Isso abre as configurações locais do aplicativo.
- Selecione a guia Configurações do aplicativo.
- Selecione Detection and Response → Endpoint Detection and Response.
- Em Isolamento de rede, clique em Isolar o computador da rede.
- Salvar alterações.
É possível configurar o isolamento de rede para ser desligado automaticamente após o período específico decorrer. Por padrão, o aplicativo desliga o isolamento de rede após decorrer cinco horas em relação ao momento em que ele foi ligado. Também é possível desligar manualmente o isolamento de rede. Após desligar o isolamento de rede, o computador pode utilizar a rede sem restrições.
Como configurar o atraso para o desligamento automático do isolamento de rede de um computador
- Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
- Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
- Selecione a guia Configurações do aplicativo.
- Selecione Detection and Response → Endpoint Detection and Response.
- Em Isolamento de rede, clique em Definir as configurações de desbloqueio do computador.
- Uma janela é aberta; nesta janela, marque a caixa de seleção Desbloquear automaticamente o computador isolado em N horas e insira o atraso para desligar automaticamente o isolamento de rede.
- Salvar alterações.
Como desligar o isolamento de rede de um computador manualmente
- Na janela principal do Web Console, selecione Dispositivos → Dispositivos gerenciados.
- Selecione o computador para o qual você deseja definir as configurações locais do aplicativo.
Isso abre as propriedades do computador.
- Selecione a guia Aplicativos.
- Clique em Kaspersky Endpoint Security for Windows.
Isso abre as configurações locais do aplicativo.
- Selecione a guia Configurações do aplicativo.
- Selecione Detection and Response → Endpoint Detection and Response.
- Em Isolamento de rede, clique em Desbloquear o computador isolado da rede.
- Salvar alterações.
Também é possível desativar o isolamento de rede localmente usando a linha de comando.
Exclusões de isolamento de rede
É possível configurar as exclusões de isolamento de rede. As conexões de rede que correspondem às regras não são bloqueadas no computador quando o isolamento de rede é ativado.
Para configurar as exclusões de isolamento de rede, é possível utilizar a lista de perfis de rede padrão. Por padrão, as exclusões incluem os perfis de rede contendo as regras que garantem a operação ininterrupta de dispositivos com funções de servidor DNS/DHCP e cliente DNS/DHCP. Também é possível modificar as configurações dos perfis de rede padrão ou definir as exclusões manualmente (consulte as instruções abaixo).
As exclusões especificadas nas propriedades da política são aplicadas apenas se o isolamento de rede for ativado automaticamente em resposta a uma ameaça detectada. As exclusões especificadas nas propriedades do computador são aplicadas apenas se o isolamento de rede for ativado manualmente nas propriedades do computador no console do Kaspersky Security Center.
Uma política ativa não impede a aplicação de exclusões do isolamento de rede configurada nas propriedades do computador, uma vez que estes parâmetros possuem diferentes cenários de uso.
Como adicionar uma exclusão de isolamento de rede
- Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
- Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
- Selecione a guia Configurações do aplicativo.
- Selecione Detection and Response → Endpoint Detection and Response.
- Em Exclusões de isolamento de rede, clique em Exclusões.
- Uma janela é aberta; nesta janela, clique em Adicionar a partir do perfil e selecione os perfis de rede padrão para configurar as exclusões.
As exclusões de isolamento de rede a partir do perfil são adicionadas à lista de exclusões de isolamento de rede. É possível visualizar as propriedades das conexões de rede. Caso seja necessário, é possível modificar as configurações da conexão de rede.
- Caso seja necessário, adicione uma exclusão de isolamento de rede manualmente. Para fazer isso, na janela com a lista de exclusões, clique em Adicionar e edite manualmente as configurações de conexão de rede.
- Salvar alterações.
Também é possível visualizar a lista de exclusão de isolamento de rede utilizando a linha de comando.
Início da página