Aislamiento de equipos de la red
El aislamiento de red permite aislar de forma automática un equipo de la red en respuesta a la detección de un indicador de compromiso (IOC). Este es el modo automático. Puede encender el Aislamiento de red de forma manual mientras investiga la amenaza detectada. Este es el modo manual.
Cuando el Aislamiento de red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones de red TCP/IP nuevas en el equipo, excepto las siguientes conexiones:
- Conexiones enumeradas en exclusiones de aislamiento de red.
- Conexiones iniciadas por los servicios de Kaspersky Endpoint Security.
- Conexiones iniciadas por el Agente de red de Kaspersky Security Center.
Puede configurar los ajustes del componente solo en Web Console.
Modo de aislamiento de red automático
Puede configurar el Aislamiento de red para que se encienda de manera automática en respuesta a una detección de IOC. Puede configurar el modo de aislamiento de red automático con una directiva de grupo.
Cómo configurar el Aislamiento de red para que se encienda de forma automática en respuesta a una detección de IOC
- En la ventana principal de Web Console, seleccione Dispositivos → Tareas.
Se abre la lista de tareas.
- Seleccione la tarea Análisis de IOC de Kaspersky Endpoint Security.
Se abre la ventana propiedades de la tarea.
Si es necesario, cree la tarea de Análisis de IOC.
- Seleccione la ficha Configuración de la aplicación.
- En el bloque Acción al detectar una IOC, seleccione las casillas de verificación Tomar medidas de respuesta después de encontrar un IOC y Aislar el equipo de la red.
- Guarde los cambios.
Como resultado, cuando se detecta un IOC, la aplicación aísla el equipo de la red para prevenir que la amenaza se propague.
Puede configurar el Aislamiento de red para que se apague de forma automática cuando se cumpla un límite de tiempo especificado. De manera predeterminada, la aplicación apaga el Aislamiento de red cuando transcurren 8 horas desde que se encendió. También puede desactivar el aislamiento de red de forma manual (consulte las instrucciones a continuación). Después de apagar el Aislamiento de red, el equipo puede usar la red sin restricciones.
Cómo configurar el plazo para desactivar el aislamiento de red de un equipo en modo automático
- En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a Detection and Response → Endpoint Detection and Response.
- En el bloque Aislamiento de red, haga clic en Configure los ajustes de desbloqueo de equipos.
- Esto abre una ventana: aquí debe seleccionar la casilla de verificación Desbloquear automáticamente el equipo aislado en N horas e introducir el plazo para apagar el Aislamiento de red de forma automática.
- Guarde los cambios.
Modo de aislamiento de red manual
Puede encender y apagar el Aislamiento de red de forma manual. Puede configurar el modo de aislamiento de red manual mediante las propiedades del equipo en la consola de Kaspersky Security Center.
Puede encender el Aislamiento de red de la siguiente manera:
Cómo encender el Aislamiento de red de un equipo de forma manual
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la ficha Aplicaciones.
- Haga clic en Kaspersky Endpoint Security para Windows.
Se abre la configuración local de la aplicación.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a Detection and Response → Endpoint Detection and Response.
- En el bloque Aislamiento de red, haga clic en Aislar el equipo de la red.
Puede configurar el Aislamiento de red para que se apague de forma automática cuando se cumpla un límite de tiempo especificado. De manera predeterminada, la aplicación apaga el Aislamiento de red cuando transcurren 8 horas desde que se encendió. Después de apagar el Aislamiento de red, el equipo puede usar la red sin restricciones.
Cómo configurar el plazo para desactivar el Aislamiento de red de un equipo en modo manual
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la ficha Tareas.
Esto mostrará la lista de tareas disponibles en el equipo.
- Seleccione la tarea Aislamiento de red.
- Seleccione la ficha Configuración de la aplicación.
- Esta acción abre una ventana. En ella, seleccione el plazo para desactivar el Aislamiento de red.
- Guarde los cambios.
Cómo apagar el Aislamiento de red de un equipo de forma manual
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la ficha Aplicaciones.
- Haga clic en Kaspersky Endpoint Security para Windows.
Se abre la configuración local de la aplicación.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a Detection and Response → Endpoint Detection and Response.
- En el bloque Aislamiento de red, haga clic en Desbloquear el equipo aislado de la red.
También puede desactivar el Aislamiento de red de forma local mediante la línea de comandos.
Exclusiones de aislamiento de red
Puede configurar Exclusiones de aislamiento de red. Las conexiones de red que coinciden con las reglas no se bloquean en el equipo cuando el aislamiento de red está activado.
Para configurar las Exclusiones de aislamiento de red, puede usar una lista de perfiles de red estándar. De forma predeterminada, las exclusiones incluyen perfiles de red con reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles de cliente DNS/DHCP. También puede modificar la configuración de los perfiles de red estándar o definir exclusiones de forma manual (ver las instrucciones a continuación).
Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si el aislamiento de red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center o en los detalles de la alerta.
Una directiva activa no evita que se apliquen exclusiones al Aislamiento de red configurado en las propiedades del equipo, porque estos parámetros tienen situaciones de uso diferentes.
Cómo añadir una exclusión del Aislamiento de red en modo automático
- En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a Detection and Response → Endpoint Detection and Response.
- En el bloque Exclusiones de aislamiento de red, haga clic en Exclusiones.
- Esto abre una ventana: aquí debe hacer clic en Añadir desde el perfil y seleccionar los perfiles de red estándar para configurar las exclusiones.
Las exclusiones del aislamiento de red desde el perfil se añaden a la lista de Exclusiones de aislamiento de red. Puede ver las propiedades de las conexiones de red. Si es necesario, puede modificar la configuración de conexiones de red.
- Si es necesario, añada una Exclusión de aislamiento de red de forma manual. Para hacerlo, en la ventana de la lista de exclusiones, haga clic en Añadir y modifique la configuración de conexiones de red de forma manual.
- Guarde los cambios.
Cómo añadir una exclusión del Aislamiento de red en modo manual
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la ficha Tareas.
Esto mostrará la lista de tareas disponibles en el equipo.
- Seleccione la tarea Aislamiento de red.
- Seleccione la ficha Configuración de la aplicación.
- Esta acción abre una ventana. En ella, haga clic en Exclusiones.
- Esto abre una ventana: aquí debe hacer clic en Añadir desde el perfil y seleccionar los perfiles de red estándar para configurar las exclusiones.
Las exclusiones del aislamiento de red desde el perfil se añaden a la lista de Exclusiones de aislamiento de red. Puede ver las propiedades de las conexiones de red. Si es necesario, puede modificar la configuración de conexiones de red.
- Si es necesario, añada una Exclusión de aislamiento de red de forma manual. Para hacerlo, en la ventana de la lista de exclusiones, haga clic en Añadir y modifique la configuración de conexiones de red de forma manual.
- Guarde los cambios.
También puede ver la lista de Exclusiones de aislamiento de red de forma local mediante la línea de comandos. Para usar esta opción, es necesario que el equipo esté aislado.
Inicio de página