コンピューターのネットワーク分離
コンピューターのネットワーク分離を使用して、セキュリティ侵害インジケーター(IOC)の検知時の対応として、コンピューターを自動的にネットワークから分離できます。これは自動モードです。検知した脅威を調査している最中など、ネットワーク分離を手動でオンにできます。これは手動モードです。
ネットワーク分離がオンになると、本製品はすべてのアクティブな接続を切断し、コンピューターのすべての新規 TCP/IP 接続をブロックしますが、以下の接続は切断されません:
- ネットワーク分離の除外リストに追加されている接続。
- Kaspersky Endpoint Security サービスによって開始された接続。
- Kaspersky Security Center ネットワークエージェントによって開始された接続。
Web コンソールでのみこの機能を設定できます。
ネットワーク分離の自動モード
IOC 検知時の対応として、ネットワーク分離を自動的にオンにするよう設定できます。グループポリシーを使用してネットワーク分離の自動モードを設定できます。
IOC 検知時の対応として、ネットワーク分離を自動的に有効にするよう設定する方法
- Web コンソールのメインウィンドウで、[デバイス]→[タスク]の順に選択します。
タスクのリストが表示されます。
- Kaspersky Endpoint Security の IOC スキャンタスクを選択します。
タスクのプロパティウィンドウが表示されます。
必要に応じて、IOC スキャンタスクを作成します。
- [アプリケーション設定]タブを選択します。
- [IOC 検知時の処理]ブロックで、[IOC が見つかった後に応答処理を実行する]および[コンピューターをネットワークから分離する]を選択します。
- 変更内容を保存します。
この結果、IOC が検知されると、本製品は脅威の拡散を防ぐためにコンピューターをネットワークから分離します。
指定した時間が経過した後にネットワーク分離を自動でオフにするよう設定することができます。既定では、ネットワーク分離がオンになってから 8 時間が経過すると、本製品はネットワーク分離をオフにします。ネットワーク分離は手動でオフにすることもできます(以下の手順を参照)。ネットワーク分離をオフにした後は、コンピューターは制限されることなくネットワークを使用することができます。
コンピューターのネットワーク分離を自動モードでオフにする時間の遅延を設定する方法
- Web コンソールのメインウィンドウで、[デバイス]→[ポリシーとプロファイル]の順に選択します。
- Kaspersky Endpoint Security のポリシーの名前をクリックします。
ポリシーのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [Detection and Response]→[Endpoint Detection and Response]に移動します。
- [ネットワーク分離]ブロックで、[コンピューターのロック解除を設定する]をクリックします。
- 表示されたウィンドウで、[分離されたコンピューターのロックを自動的に解除するまでの時間]を選択して、自動でネットワーク分離をオフにするまでの時間を入力します。
- 変更内容を保存します。
ネットワーク分離の手動モード
手動でネットワーク分離をオンまたはオフにすることができます。Kaspersky Security Center コンソールで、コンピューターのプロパティを使用してネットワーク分離の手動モードを設定できます。
ネットワーク分離は次の方法でオンにできます:
手動でコンピューターのネットワーク分離を有効にする方法
- Web コンソールのメインウィンドウで、[デバイス]→[管理対象デバイス]の順に選択します。
- ローカル環境用の製品設定を行うコンピューターを選択します。
コンピューターのプロパティが表示されます。
- [アプリケーション]タブを選択します。
- Kaspersky Endpoint Security for Windows をクリックします。
ローカルアプリケーション設定が表示されます。
- [アプリケーション設定]タブを選択します。
- [Detection and Response]→[Endpoint Detection and Response]に移動します。
- [ネットワーク分離]ブロックで、[コンピューターをネットワークから分離する]をクリックします。
指定した時間が経過した後にネットワーク分離を自動でオフにするよう設定することができます。既定では、ネットワーク分離がオンになってから 8 時間が経過すると、本製品はネットワーク分離をオフにします。ネットワーク分離をオフにした後は、コンピューターは制限されることなくネットワークを使用することができます。
コンピューターのネットワーク分離を手動モードでオフにする時間の遅延を設定する方法
- Web コンソールのメインウィンドウで、[デバイス]→[管理対象デバイス]の順に選択します。
- ローカル環境用の製品設定を行うコンピューターを選択します。
コンピューターのプロパティが表示されます。
- [タスク]タブを選択します。
これにより、コンピューターで使用可能なタスクのリストが表示されます。
- [ネットワーク分離]タスクを選択します。
- [アプリケーション設定]タブを選択します。
- 表示されるウィンドウで、ネットワーク分離をオフにする時間の遅延を設定します。
- 変更内容を保存します。
手動でコンピューターのネットワーク分離を無効にする方法
- Web コンソールのメインウィンドウで、[デバイス]→[管理対象デバイス]の順に選択します。
- ローカル環境用の製品設定を行うコンピューターを選択します。
コンピューターのプロパティが表示されます。
- [アプリケーション]タブを選択します。
- Kaspersky Endpoint Security for Windows をクリックします。
ローカルアプリケーション設定が表示されます。
- [アプリケーション設定]タブを選択します。
- [Detection and Response]→[Endpoint Detection and Response]に移動します。
- [ネットワーク分離]ブロックで、[コンピューターの分離を解除する]をクリックします。
ローカルでコマンドラインを使用してネットワーク分離を無効にすることもできます。
ネットワーク分離の除外リスト
ネットワーク分離の除外リストを設定できます。ネットワーク分離がオンになっても、ルールに一致するネットワーク接続はブロックされません。
標準のネットワークプロファイルのリストを使用してネットワーク分離の除外リストを設定できます。既定では、除外リストには DNS/DHCP サーバーおよび DNS/DHCP クライアントロールを持つデバイスの動作が妨げられないようにするルールを含むネットワークプロファイルが含まれています。標準のネットワークプロファイルまたは除外リストの設定は手動で変更できます(以下の手順を参照してください)。
ポリシーのプロパティで指定された除外リストは、脅威の検知時の対応としてネットワーク分離が自動的にオンになった場合にのみ適用されます。コンピューターのプロパティで指定された除外リストは、Kaspersky Security Center のコンソールのコンピューターのプロパティまたはアラートの詳細から手動でネットワーク分離をオンにした場合にのみ適用されます。
これらのパラメータは異なる使用シナリオを持つため、有効なポリシーはコンピューターのプロパティで設定されたネットワーク分離の除外リストの適用をブロックしません。
自動モードでネットワーク分離の除外リストを追加する方法
- Web コンソールのメインウィンドウで、[デバイス]→[ポリシーとプロファイル]の順に選択します。
- Kaspersky Endpoint Security のポリシーの名前をクリックします。
ポリシーのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [Detection and Response]→[Endpoint Detection and Response]に移動します。
- [ネットワーク分離の除外リスト]ブロックで、[除外リスト]をクリックします。
- 表示されるウィンドウで、[プロファイルから追加]をクリックして例外を設定する標準ネットワークプロファイルを選択します。
プロファイルからネットワーク分離の除外リストがネットワーク分離の除外リストのリストに追加されます。ネットワーク接続のプロパティが表示されます。必要に応じて、ネットワーク接続設定を編集できます。
- 必要に応じて、ネットワーク分離の除外リストを手動で追加してください。ネットワーク分離の除外リストを手動で追加するには、除外リストのウィンドウで[追加]をクリックしてネットワーク接続設定を手動で編集してください。
- 変更内容を保存します。
手動モードでネットワーク分離の除外リストを追加する方法
- Web コンソールのメインウィンドウで、[デバイス]→[管理対象デバイス]の順に選択します。
- ローカル環境用の製品設定を行うコンピューターを選択します。
コンピューターのプロパティが表示されます。
- [タスク]タブを選択します。
これにより、コンピューターで使用可能なタスクのリストが表示されます。
- [ネットワーク分離]タスクを選択します。
- [アプリケーション設定]タブを選択します。
- 表示されるウィンドウで、[除外リスト]をクリックします。
- 表示されるウィンドウで、[プロファイルから追加]をクリックして例外を設定する標準ネットワークプロファイルを選択します。
プロファイルからネットワーク分離の除外リストがネットワーク分離の除外リストのリストに追加されます。ネットワーク接続のプロパティが表示されます。必要に応じて、ネットワーク接続設定を編集できます。
- 必要に応じて、ネットワーク分離の除外リストを手動で追加してください。ネットワーク分離の除外リストを手動で追加するには、除外リストのウィンドウで[追加]をクリックしてネットワーク接続設定を手動で編集してください。
- 変更内容を保存します。
ローカルでコマンドラインを使用してネットワーク分離の除外リストを表示することもできます。この場合、コンピューターは分離されている必要があります。
ページのトップに戻る