如果在 Kaspersky Industrial CyberSecurity for Networks 中配置了与 EPP 应用程序的联合操作,您可以在设备上手动触发以下响应操作:
启用设备的网络隔离后,Endpoint Agent 软件组件会终止设备上的所有活动 TCP/IP 网络连接,并阻止所有新连接,但以下连接除外:
在 Kaspersky Industrial CyberSecurity for Networks 中禁用网络隔离之前,设备网络隔离一直处于活动状态。如果未手动禁用网络隔离,则会在启用后 9999 小时自动禁用。
您可以配置规则以阻止可执行文件和脚本的启动,以及在选定设备上打开 Office 格式的文件。例如,您可以阻止在运行 Endpoint Agent 软件组件的选定设备上启动您认为不安全的应用程序。应用程序使用 MD5 和 SHA256 哈希算法通过文件路径或校验和来识别文件。
在启动阻止的事件中,会向用户通知触发的启动阻止规则。如果设备用户没有关闭弹出通知,它将在弹出通知出现 60 秒后自动关闭。
隔离区是运行 Endpoint Agent 软件组件的设备上的指定本地存储,用于存储可能感染病毒或在检测时无法清除的文件。隔离文件是加密存储的,不会对设备安全造成威胁。
在装有 Kaspersky Endpoint Agent 的计算机上,默认情况下,本地隔离区存储位于 %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<版本>\Quarantine 文件夹中。默认情况下,从隔离区恢复的对象存储在 %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<版本>\Restore 文件夹中。
Kaspersky Security Center 在运行 Endpoint Agent 的设备上生成隔离对象的通用列表。设备网络代理将有关隔离文件的信息传输到管理服务器。
Kaspersky Security Center 网络代理不会将隔离的文件复制到管理服务器。所有对象都位于运行 Endpoint Agent 的受保护设备上。对象已从受保护设备上的隔离区中恢复。
响应操作允许防止或最小化检测到的来自工业网络中的设备的威胁的后果。
具有 Endpoint Agent 软件组件的设备可以使用触发响应操作的功能。当触发响应操作时,Kaspersky Industrial CyberSecurity for Networks 会将有关该操作的信息传输到 Endpoint Agent。Endpoint Agent 软件组件执行接收到的命令,并向 Kaspersky Industrial CyberSecurity for Networks 发送完成通知。
一旦触发的响应操作完成并且设备的威胁消除,您就可以触发相应的反向操作。对于列出的响应操作,可以使用以下反向操作:
Kaspersky Industrial CyberSecurity for Networks 注册触发了响应操作和相应的反向操作。已注册的操作显示在“事件”部分的“响应操作”选项卡上。
您可以通过选择相关事件、设备或以前注册并完成的响应操作来触发响应操作。可用的操作取决于选定的对象。例如,如果选择了带有 Endpoint Agent 软件组件的设备,则只能管理该设备的网络隔离。在其他条件下也可以使用其他响应操作(例如,如果 Endpoint Agent 中为事件构建了威胁发展链,则在选择与此设备关联的事件时,可以使用“阻止运行”和“移动到隔离区”操作)。
只有具有管理员角色的用户才能触发响应操作和相应的反向操作。