Izolacja sieci komputerowej

Izolacja sieci komputerowej umożliwia automatyczne izolowanie komputera od sieci w odpowiedzi na wykrycie wskaźnika naruszeń bezpieczeństwa (IOC) – to jest tryb automatyczny. Możesz ręcznie włączyć Izolację od sieci, gdy analizujesz wykryte zagrożenie – to jest tryb ręczny.

Jeśli Izolacja sieci jest włączona, aplikacja zrywa wszystkie aktywne połączenia i blokuje wszystkie nowe połączenia sieciowe TCP/IP na komputerze, za wyjątkiem następujących połączeń:

• Połączenia znajdujące się w wykluczeniach Izolacji sieci.
• Połączenia zainicjowane przez usługi Kaspersky Endpoint Security.
• Połączenia zainicjowane przez agenta sieciowego Kaspersky Security Center.
• Połączenia z maszyną SVM i serwerem integracyjnym, jeśli aplikacja jest używana w trybie Light Agent.

Możesz skonfigurować ustawienia komponentu tylko w Web Console.

Automatyczny tryb izolacji od sieci

Możesz skonfigurować Izolację sieci tak, aby była włączana automatycznie w odpowiedzi na wykrycie IOC. Możesz skonfigurować automatyczny tryb izolacji od sieci za pomocą zasad grupy.

Konfigurowanie Izolacji sieci tak, aby była włączana automatycznie w odpowiedzi na wykrycie IOC

Możesz skonfigurować Izolację sieci tak, aby była wyłączana automatycznie po upłynięciu określonego czasu. Domyślnie, aplikacja wyłącza Izolację sieci po 8 godzinach od czasu, gdy została włączona. Możesz także wyłączyć izolację od sieci ręcznie (patrz instrukcje poniżej). Po wyłączeniu Izolacji sieci komputer może używać sieci bez ograniczeń.

Konfigurowanie opóźnienia wyłączania Izolacji sieci dla komputera w trybie automatycznym

Ręczny tryb izolacji od sieci

Możesz także ręcznie włączyć i wyłączyć Izolację od sieci. Możesz skonfigurować ręczny tryb Izolacji od sieci, korzystając z właściwości komputera w konsoli Kaspersky Security Center.

Izolację sieci można włączyć:

• W szczegółach alertów (tylko dla EDR Optimum).

  Szczegóły wykrycia to narzędzie do przeglądania całości zebranych informacji o wykrytym zagrożeniu. Szczegóły wykrycia obejmują, na przykład, historię plików pojawiających się na komputerze. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.

• Przy pomocy lokalnych ustawień aplikacji.
• W ustawienia zadania Skanowanie IOC.

  Jeśli zadanie Skanowanie IOC wykryje wskaźnik naruszeń bezpieczeństwa, możesz odizolować komputer od sieci bezpośrednio z poziomu wskaźnika naruszeń bezpieczeństwa (właściwości Skanowanie IOC → Ustawienia aplikacji → zadanie Wyniki skanowania IOC). Kaspersky Endpoint Security umożliwia również natychmiastowe zarządzanie dodatkowymi ustawieniami: Okresem wyłączenia izolacji sieciowej oraz Wykluczeniami izolacji sieciowej.

Ręczne włączanie Izolacji sieci komputera

Możesz skonfigurować Izolację sieci tak, aby była wyłączana automatycznie po upłynięciu określonego czasu. Domyślnie, aplikacja wyłącza Izolację sieci po 8 godzinach od czasu, gdy została włączona. Po wyłączeniu Izolacji sieci komputer może używać sieci bez ograniczeń.

Konfigurowanie opóźnienia wyłączania Izolacji od sieci dla komputera w trybie ręcznym

Ręczne wyłączanie Izolacji sieci komputera

Możesz także wyłączyć Izolację sieci lokalnie przy użyciu wiersza polecenia.

Począwszy od wersji Kaspersky Endpoint Security 12.10 for Windows możesz zarządzać izolacją sieci w szczegółach alertów. Dodatkowo w szczegółach alertu można określić okres izolacji komputera od sieci. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.

Wykluczenia Izolacji sieci

Możesz skonfigurować wykluczenia Izolacji sieci. Połączenia sieciowe, które odpowiadają regułom, nie są blokowane na komputerze, gdy Izolacja sieci jest włączona.

Aby skonfigurować wykluczenia izolacji sieci, możesz użyć listy standardowych profili sieciowych. Domyślnie, wykluczenia obejmują profile sieciowe zawierające reguły, które zapewniają nieprzerwane działanie urządzeń z rolami serwera DNS/DHCP i klienta DNS/DHCP. Możesz także ręcznie zmodyfikować ustawienia standardowych profili sieciowych lub zdefiniować wykluczenia (patrz instrukcja poniżej).

Wykluczenia określone we właściwościach zasady są stosowane tylko wtedy, gdy Izolacja sieci zostaje włączona automatycznie w odpowiedzi na wykryte zagrożenie. Wykluczenia określone we właściwościach komputera są stosowane tylko wtedy, gdy Izolacja od sieci zostanie włączona ręcznie we właściwościach komputera w konsoli Kaspersky Security Center lub w szczegółach alertu.

Aktywna zasada nie zapobiega stosowaniu wykluczeń z Izolacji sieci, skonfigurowanej we właściwościach komputera, ponieważ te parametry mają inne scenariusze korzystania.

Dodawanie wykluczenia Izolacji sieci w trybie automatycznym

Dodawanie wykluczenia Izolacji sieci w trybie ręcznym

Możesz także przejrzeć listę wykluczenia Izolacji sieci lokalnie, korzystając z wiersza polecenia. W takim przypadku komputer musi zostać odizolowany.

Począwszy od wersji Kaspersky Endpoint Security 12.10 for Windows w szczegółach alertu można dodać Wykluczenia izolacji sieciowej. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.

Przejdź do góry