コンピューターのネットワーク分離
コンピューターのネットワーク分離を使用して、セキュリティ侵害インジケーター(IOC)の検知時の対応として、コンピューターを自動的にネットワークから分離できます。
ネットワーク分離がオンになると、本製品はすべてのアクティブな接続を切断し、コンピューターのすべての新規 TCP/IP 接続をブロックしますが、以下の接続は切断されません:
- ネットワーク分離の除外リストに追加されている接続。
- Kaspersky Endpoint Security サービスによって開始された接続。
- Kaspersky Security Center 管理エージェントによって開始された接続。
ネットワーク分離の管理
EDR Optimum のタスクは、Web コンソールおよび Cloud コンソールで設定できます。EDR Expert のタスク設定は Cloud コンソールのみで使用可能です。
IOC 検知時の対応として、ネットワーク分離を自動的にオンにするよう設定できます。手動でネットワーク分離をオンまたはオフにすることができます。
ネットワーク分離は次の方法でオンにできます:
IOC 検知時の対応として、ネットワーク分離を自動的に有効にするよう設定する方法
- Web コンソールのメインウィンドウで、[デバイス]→[タスク]の順に選択します。
タスクのリストが表示されます。
- Kaspersky Endpoint Security の[IOC スキャン]タスクを選択します。
タスクのプロパティウィンドウが表示されます。
必要に応じて、IOC スキャンタスクを作成します。
- [アプリケーション設定]タブを選択します。
- [IOC 検知時の処理]ブロックで、[IOC が見つかった後に応答処理を実行する]および[コンピューターをネットワークから分離する]を選択します。
- 変更内容を保存します。
この結果、IOC が検知されると、本製品は脅威の拡散を防ぐためにコンピューターをネットワークから分離します。
手動でコンピューターのネットワーク分離を有効にする方法
- Web コンソールのメインウィンドウで、[デバイス]→[管理対象デバイス]の順に選択します。
- ローカル環境用の製品設定を行うコンピューターを選択します。
コンピューターのプロパティが表示されます。
- [アプリケーション]タブを選択します。
- Kaspersky Endpoint Security for Windows をクリックします。
ローカルアプリケーション設定が表示されます。
- [アプリケーション設定]タブを選択します。
- [Detection and Response] → [Endpoint Detection and Response]の順に選択します。
- [ネットワーク分離]ブロックで、[コンピューターをネットワークから分離する]をクリックします。
指定した時間が経過した後にネットワーク分離を自動でオフにするよう設定することができます。既定では、ネットワーク分離がオンになってから 8 時間が経過すると、本製品はネットワーク分離をオフにします。手動でネットワーク分離をオフにすることもできます。ネットワーク分離をオフにした後は、コンピューターは制限されることなくネットワークを使用することができます。
コンピューターのネットワーク分離を自動でオフにする時間の遅延を設定する方法
- Web コンソールのメインウィンドウで[デバイス]→[ポリシーとプロファイル]の順に選択します。
- Kaspersky Endpoint Security のポリシーの名前をクリックします。
ポリシーのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [Detection and Response] → [Endpoint Detection and Response]の順に選択します。
- [ネットワーク分離]ブロックで、[コンピューターのロック解除を設定する]をクリックします。
- 表示されたウィンドウで、[分離されたコンピューターのロックを自動的に解除するまでの時間]を選択して、自動でネットワーク分離をオフにするまでの時間を入力します。
- 変更内容を保存します。
手動でコンピューターのネットワーク分離を無効にする方法
- Web コンソールのメインウィンドウで、[デバイス]→[管理対象デバイス]の順に選択します。
- ローカル環境用の製品設定を行うコンピューターを選択します。
コンピューターのプロパティが表示されます。
- [アプリケーション]タブを選択します。
- Kaspersky Endpoint Security for Windows をクリックします。
ローカルアプリケーション設定が表示されます。
- [アプリケーション設定]タブを選択します。
- [Detection and Response] → [Endpoint Detection and Response]の順に選択します。
- [ネットワーク分離]ブロックで、[ネットワークから分離されたコンピューターをブロック解除する]をクリックします。
ローカルでコマンドラインを使用してネットワーク分離を無効にすることもできます。
ネットワーク分離の除外リスト
ネットワーク分離の除外リストを設定できます。ネットワーク分離がオンになっても、ルールに一致するネットワーク接続はブロックされません。
標準のネットワークプロファイルのリストを使用してネットワーク分離の除外リストを設定できます。既定では、除外リストには DNS/DHCP サーバーおよび DNS/DHCP クライアントロールを持つデバイスの動作が妨げられないようにするルールを含むネットワークプロファイルが含まれています。標準のネットワークプロファイルまたは除外リストの設定は手動で変更できます(以下の手順を参照してください)。
ポリシーのプロパティで指定された除外リストは、脅威の検知時の対応としてネットワーク分離が自動的にオンになった場合にのみ適用されます。コンピューターのプロパティで指定された除外リストは、Kaspersky Security Center のコンソールのコンピューターのプロパティまたはアラートの詳細から手動でネットワーク分離をオンにした場合にのみ適用されます。
これらのパラメータは異なる使用シナリオを持つため、有効なポリシーはコンピューターのプロパティで設定されたネットワーク分離の除外リストの適用をブロックしません。
ネットワーク分離の除外リストを追加する方法
- Web コンソールのメインウィンドウで[デバイス]→[ポリシーとプロファイル]の順に選択します。
- Kaspersky Endpoint Security のポリシーの名前をクリックします。
ポリシーのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [Detection and Response] → [Endpoint Detection and Response]の順に選択します。
- [ネットワーク分離の除外リスト]ブロックで、[除外リスト]をクリックします。
- 表示されるウィンドウで、[プロファイルから追加]をクリックして例外を設定する標準ネットワークプロファイルを選択します。
プロファイルからネットワーク分離の除外リストがネットワーク分離の除外リストのリストに追加されます。ネットワーク接続のプロパティが表示されます。必要に応じて、ネットワーク接続設定を編集できます。
- 必要に応じて、ネットワーク分離の除外リストを手動で追加してください。ネットワーク分離の除外リストを手動で追加するには、除外リストのウィンドウで[追加]をクリックしてネットワーク接続設定を手動で編集してください。
- 変更内容を保存します。
ローカルでコマンドラインを使用してネットワーク分離の除外リストを表示することもできます。この場合、コンピューターは分離されている必要があります。
ページのトップに戻る