Isolamento do computador em relação à rede
O isolamento de rede do computador permite isolar automaticamente um computador da rede em resposta à detecção de um indicador de compromisso (IOC). Esse é modo automático. É possível ativar o isolamento de rede manualmente enquanto a ameaça detectada estiver sendo investigada. Esse é o modo manual.
Quando o isolamento de rede é ativado, o aplicativo corta todas as conexões ativas e bloqueia todas as novas conexões de rede TCP/IP no computador, exceto as seguintes conexões:
- Conexões listadas em exclusões de isolamento de rede.
- Conexões iniciadas pelos serviços do Kaspersky Endpoint Security.
- Conexões iniciadas pelo Agente de Rede do Kaspersky Security Center.
O componente só pode ser configurado no Web Console.
Modo de isolamento de rede automático
É possível configurar o isolamento de rede para ser ligado automaticamente em resposta a uma detecção de IOC. É possível configurar o modo de isolamento de rede automático com uma política de grupo.
Como configurar o isolamento de rede para ser ligado automaticamente em resposta a uma detecção de IOC
- Na janela principal do Web Console, selecionar Dispositivos → Tarefas.
A lista de tarefas é aberta.
- Clique na tarefa Verificação de IOC do Kaspersky Endpoint Security.
A janela de propriedades da tarefa é exibida.
Caso seja necessário, crie a tarefa Verificação de IOC.
- Selecione a guia Configurações do aplicativo.
- No bloco Ação ao detectar IOC, marque as caixas de seleção Adotar ações de resposta após um IOC ser encontrado e Isolar o computador da rede.
- Salvar alterações.
Consequentemente, quando um IOC for detectado, o aplicativo isola o computador em relação à rede para prevenir a difusão da ameaça.
É possível configurar o isolamento de rede para ser desligado automaticamente após o período específico decorrer. Por padrão, o aplicativo desliga o isolamento de rede após decorrer oito horas em relação ao momento em que ele foi ligado. Também é possível desativar o isolamento de rede manualmente (consulte as instruções abaixo). Após desligar o isolamento de rede, o computador pode utilizar a rede sem restrições.
Como configurar o atraso para o desligamento automático do isolamento de rede de um computador no modo automático
- Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
- Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
- Selecione a guia Configurações do aplicativo.
- Selecione Detection and Response → Endpoint Detection and Response.
- No bloco Isolamento de rede, clique em Definir as configurações de desbloqueio do computador.
- Uma janela é aberta; nesta janela, marque a caixa de seleção Desbloquear automaticamente o computador isolado em N horas e insira o atraso para desligar automaticamente o isolamento de rede.
- Salvar alterações.
Modo de isolamento de rede manual
É possível ligar e desligar manualmente o isolamento de rede. É possível configurar o modo de isolamento de rede manual com o uso das propriedades do computador no console do Kaspersky Security Center.
É possível ligar o isolamento de rede:
Como ligar o isolamento de rede de um computador manualmente
- Na janela principal do Web Console, selecionar Dispositivos → Dispositivos gerenciados.
- Selecione o computador para o qual você deseja definir as configurações locais do aplicativo.
Isso abre as propriedades do computador.
- Selecione a guia Aplicativos.
- Clique em Kaspersky Endpoint Security for Windows.
Isso abre as configurações locais do aplicativo.
- Selecione a guia Configurações do aplicativo.
- Selecione Detection and Response → Endpoint Detection and Response.
- No bloco Isolamento de rede, clique em Isolar o computador da rede.
É possível configurar o isolamento de rede para ser desligado automaticamente após o período específico decorrer. Por padrão, o aplicativo desliga o isolamento de rede após decorrer oito horas em relação ao momento em que ele foi ligado. Após desligar o isolamento de rede, o computador pode utilizar a rede sem restrições.
Como configurar o atraso para o desligamento do isolamento de rede de um computador no modo manual
- Na janela principal do Web Console, selecionar Dispositivos → Dispositivos gerenciados.
- Selecione o computador para o qual você deseja definir as configurações locais do aplicativo.
Isso abre as propriedades do computador.
- Selecione a guia Tarefas.
A lista de tarefas disponíveis no computador será exibida.
- Selecione a tarefa Isolamento de rede.
- Selecione a guia Configurações do aplicativo.
- Uma janela será aberta; nessa janela, selecione o atraso para o desligamento do isolamento de rede.
- Salvar alterações.
Como desligar o isolamento de rede de um computador manualmente
- Na janela principal do Web Console, selecionar Dispositivos → Dispositivos gerenciados.
- Selecione o computador para o qual você deseja definir as configurações locais do aplicativo.
Isso abre as propriedades do computador.
- Selecione a guia Aplicativos.
- Clique em Kaspersky Endpoint Security for Windows.
Isso abre as configurações locais do aplicativo.
- Selecione a guia Configurações do aplicativo.
- Selecione Detection and Response → Endpoint Detection and Response.
- No bloco Isolamento de rede, clique em Desbloquear o computador isolado da rede.
Também é possível desativar o isolamento de rede localmente usando a linha de comando.
Exclusões de isolamento de rede
É possível configurar as exclusões de isolamento de rede. As conexões de rede que correspondem às regras não são bloqueadas no computador quando o isolamento de rede é ativado.
Para configurar as exclusões de isolamento de rede, é possível utilizar a lista de perfis de rede padrão. Por padrão, as exclusões incluem os perfis de rede contendo as regras que garantem a operação ininterrupta de dispositivos com funções de servidor DNS/DHCP e cliente DNS/DHCP. Também é possível modificar as configurações dos perfis de rede padrão ou definir as exclusões manualmente (consulte as instruções abaixo).
As exclusões especificadas nas propriedades da política são aplicadas apenas se o isolamento de rede for ativado automaticamente em resposta a uma ameaça detectada. As exclusões especificadas nas propriedades do computador são aplicadas apenas se o isolamento de rede for ativado manualmente nas propriedades do computador no console do Kaspersky Security Center ou nos detalhes de alertas.
Uma política ativa não impede a aplicação de exclusões do isolamento de rede configurada nas propriedades do computador, uma vez que estes parâmetros possuem diferentes cenários de uso.
Como adicionar uma exclusão de isolamento de rede no modo automático
- Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
- Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
- Selecione a guia Configurações do aplicativo.
- Selecione Detection and Response → Endpoint Detection and Response.
- No bloco Exclusões de isolamento de rede, clique em Exclusões.
- Uma janela é aberta; nesta janela, clique em Adicionar a partir do perfil e selecione os perfis de rede padrão para configurar as exclusões.
As exclusões de isolamento de rede a partir do perfil são adicionadas à lista de exclusões de isolamento de rede. É possível visualizar as propriedades das conexões de rede. Caso seja necessário, é possível modificar as configurações da conexão de rede.
- Caso seja necessário, adicione uma exclusão de isolamento de rede manualmente. Para fazer isso, na janela com a lista de exclusões, clique em Adicionar e edite manualmente as configurações de conexão de rede.
- Salvar alterações.
Como adicionar uma exclusão de isolamento de rede no modo manual
- Na janela principal do Web Console, selecionar Dispositivos → Dispositivos gerenciados.
- Selecione o computador para o qual você deseja definir as configurações locais do aplicativo.
Isso abre as propriedades do computador.
- Selecione a guia Tarefas.
A lista de tarefas disponíveis no computador será exibida.
- Selecione a tarefa Isolamento de rede.
- Selecione a guia Configurações do aplicativo.
- Uma janela será aberta; nessa janela, clique em Exclusões.
- Uma janela é aberta; nesta janela, clique em Adicionar a partir do perfil e selecione os perfis de rede padrão para configurar as exclusões.
As exclusões de isolamento de rede a partir do perfil são adicionadas à lista de exclusões de isolamento de rede. É possível visualizar as propriedades das conexões de rede. Caso seja necessário, é possível modificar as configurações da conexão de rede.
- Caso seja necessário, adicione uma exclusão de isolamento de rede manualmente. Para fazer isso, na janela com a lista de exclusões, clique em Adicionar e edite manualmente as configurações de conexão de rede.
- Salvar alterações.
Também é possível visualizar a lista de exclusão de isolamento de rede utilizando a linha de comando. Neste caso, o computador deve estar isolado.
Início da página